Το μεγαλύτερο μέρος της κυκλοφορίας στο διαδίκτυο στέλνεται πλέον μέσω μιας σύνδεσης HTTPS, καθιστώντας την “ασφαλή”. Άλλωστε η Google προειδοποιεί ότι οι μη κρυπτογραφημένες τοποθεσίες HTTP είναι “μη ασφαλής”. Γιατί λοιπόν υπάρχει ακόμα τόπο πολύ κακόβουλο λογισμικό, phishing και άλλες επικίνδυνες online δραστηριότητες;
Όταν επισκέπτεστε έναν ιστότοπο χρησιμοποιώντας το HTTPS, το Chrome παλαιότερα ανάγραφε την λέξη “Ασφαλής”. Τώρα σας δείχνει ένα πράσινο λουκέτο στη γραμμή διευθύνσεων. Και αντίθετα αν εισέλθετε σε μία HTTP διεύθυνση το λουκέτο χάνεται, στην θέση του υπάρχει ένα θαυμαστικό μέσα σε κύκλο, και αναγράφεται η λέξη “Μη ασφαλής”.
Αυτό συμβαίνει εν μέρει, επειδή το HTTPS θεωρείται πλέον το νέο βασικό πρότυπο. Ωστόσο, η λέξη “Ασφαλής” (Secure) έχει φύγει από το Chrome επειδή ήταν λίγο παραπλανητική. Μοιάζει σαν το Chrome να εγγυάται για τα περιεχόμενα του ιστότοπου, και ότι είναι όλα ασφαλή στη συγκεκριμένη σελίδα. Αλλά αυτό δεν είναι αλήθεια. Ένας “ασφαλής” ιστότοπος HTTPS θα μπορούσε να περιέχει κακόβουλο λογισμικό ή να είναι ένας ψεύτικος ιστότοπος ηλεκτρονικού “ψαρέματος”.
Το HTTPS είναι ένα πρωτόκολλο μεταφοράς δεδομένων και κάνει σπουδαία δουλειά, αλλά δεν κάνει τα πάντα ασφαλή. Είναι σαν το τυπικό πρωτόκολλο HTTP για τη σύνδεση με ιστότοπους, αλλά έχοντας επιπλέον ένα επίπεδο ασφαλούς κρυπτογράφησης.
Αυτή η κρυπτογράφηση εμποδίζει τους κακόβουλους χρήστες να υποκλέπτουν τα δεδομένα σας κατά την διαμετακόμιση και σταματά τις επιθέσεις κατά την διαδικασία της επικοινωνίας. Για παράδειγμα, κανείς δεν μπορεί να παρακολουθήσει τις λεπτομέρειες πληρωμής που στέλνετε σε ένα HTTPS ιστότοπο. Ή κάνεις δεν μπορεί να επέμβει στην επικοινωνία σας με ένα ιστότοπο και να σας παραδώσει τον ιστότοπο αυτόν τροποποιημένο κατά την βούλησή του.
Εν ολίγοις, το HTTPS διασφαλίζει ότι η σύνδεση μεταξύ εσάς και αυτού του συγκεκριμένου ιστότοπου είναι ασφαλής. Κανείς δεν μπορεί να το υποκλέψει ή να το παραβιάσει. Αυτό όμως δεν σημαίνει πραγματικά ότι ένας ιστότοπος είναι “ασφαλής”.
Το HTTPS από μόνο του, το μόνο που σημαίνει είναι ότι χρησιμοποιείτε μια ασφαλή σύνδεση με έναν συγκεκριμένο ιστότοπο. Η λέξη “Ασφαλής” δεν λέει τίποτα για το περιεχόμενο αυτού του ιστότοπου. Το μόνο που σημαίνει είναι ότι ο διαχειριστής του ιστότοπου έχει αγοράσει ένα πιστοποιητικό και έχει δημιουργήσει κρυπτογράφηση για να εξασφαλίσει τη σύνδεση.
Για παράδειγμα, ένας επικίνδυνος ιστότοπος γεμάτος κακόβουλες λήψεις ενδέχεται να παραδοθεί μέσω HTTPS. Αυτό σημαίνει ότι ο ιστότοπος και τα αρχεία που λαμβάνετε αποστέλλονται μέσω ασφαλούς σύνδεσης, αλλά ενδέχεται να μην είναι ασφαλή.
Ομοίως, ένας εγκληματίας θα μπορούσε να αγοράσει έναν domain όπως το “aticabank.gr”, να πάρει ένα πιστοποιητικό κρυπτογράφησης SSL για αυτό και να μιμηθεί την πραγματική ιστοσελίδα της Attica Bank. Θα ήταν ένας ιστότοπος ηλεκτρονικού “ψαρέματος” (phishing) έχοντας το “ασφαλές” λουκέτο, αλλά όλα αυτά θα σήμαιναν ότι έχετε μια ασφαλή σύνδεση σε έναν ιστότοπο ηλεκτρονικού “ψαρέματος”.
Παρά το γεγονός ότι τα προγράμματα περιήγησης χρησιμοποιούν “προτάσεις διατύπωσης” (phrasing) εδώ και χρόνια, οι ιστότοποι HTTPS δεν είναι πραγματικά “ασφαλής”. Οι ιστότοποι που αλλάζουν πρωτόκολλο και από το HTTP πάνε στο HTTPS, βοηθούν στην επίλυση ορισμένων προβλημάτων, αλλά δεν τερματίζουν τη μάστιγα του κακόβουλου λογισμικού, του phishing , των ανεπιθύμητων μηνυμάτων, και άλλες απάτες στο διαδίκτυο.
Η στροφή προς το πρωτόκολλο HTTPS εξακολουθεί να είναι μεγάλη στο Διαδίκτυο. Σύμφωνα με τα στατιστικά στοιχεία της Google , το 80% των ιστοσελίδων που έχουν φορτωθεί μέσω του Chrome στα Windows, διακινείται μέσω του HTTPS. Και οι χρήστες του Chrome στα Windows ξοδεύουν το 88% του χρόνου περιήγησής τους σε ιστότοπους HTTPS.
Αυτή η μετάβαση καθιστά πιο δύσκολο για τους εγκληματίες να παρακολουθήσουν τα προσωπικά σας δεδομένα, ειδικά σε δημόσια Wi-Fi ή σε άλλα δημόσια δίκτυα. Εξαλείφει επίσης πολύ τις πιθανότητες ότι θα αντιμετωπίσετε μια επίθεση όταν είστε σε ένα δημόσιο Wi-Fi δίκτυο.
Για παράδειγμα, ας υποθέσουμε ότι κάνετε λήψη ενός αρχείου .exe ενός προγράμματος από έναν ιστότοπο ενώ είστε συνδεδεμένοι σε ένα δημόσιο δίκτυο Wi-Fi. Εάν είστε συνδεδεμένοι με HTTP, ο φορέας Wi-FI θα μπορούσε να παραβιάσει τη λήψη και να σας στείλει ένα διαφορετικό, κακόβουλο αρχείο .exe. Εάν είστε συνδεδεμένοι με το HTTPS, η σύνδεση είναι ασφαλής και κανείς δεν μπορεί να παραβιάσει τη λήψη λογισμικού.
Αυτό από άποψη ασφάλειας του διαδικτύου είναι μια τεράστια νίκη! Αλλά δεν είναι πανάκεια. Θα πρέπει να εξακολουθήσετε να χρησιμοποιήσετε βασικές πρακτικές ασφάλειας για να προστατεύσετε τον εαυτό σας από το κακόβουλο λογισμικό και από ιστότοπους ηλεκτρονικού “ψαρέματος” (phishing)
Σωωωστά ! Πάντως, αυτό με το “bank” μου έφτιαξε το κέφι όσο δεν μπορώ να περιγράψω μιας και όλα τα bank είναι το ίδιο επικίνδυνα (για τις μάζες).
Ειλικρινά, τα σέβη μου σε ΄σας.