Turvaline “surfamine” #1

1. HTTPS vs HTTP

#1
Jälgi,  et veebilehtedel millel on vaja logida sisse (sotsiaalsaidid, pank), oleks aadressiribal ees liides https://.

Lühidalt ja konkreetselt

Olles juba wifi võrgus sees, kasutab iga veebileht omakorda turvalisuse protokolle. See on üldjuhul koht, kus ei piisa turvaliseks jäämiseks ainult arvutist, vaid ka internetikasutaja teadlikkusest. Kõige rohkem turvatud on veebilehed, mille kasutamiseks tuleb sisse logida, nagu Facebook, Twitter, internetipangad. Kõige olulisemad kaks fakti, mida iga teadlik internetikasutaja peab jälgima, on veebilehe ees olev liides http:// või https://.

Lisa täht „s“ on väga oluline, kui on soov hoida oma andmeid kaitstuna, sest ei kirjutata oma kasutajanime ja parooli postkaardile ning saadeta kogu maailma laiali. Praktiliselt nii tehakse võrgus, kui kasutatakse lihtsalt http:// protokolli.


Detailsemalt

HTTP

HTTP (Hypertext Transfer Protocol) on internetis kasutusel olevaks alusprotokolliks. HTTP määrab kuidas informatsioon vormindatakse ning saadetakse ning kuidas veebilehed ja veebilehitseja (Mozilla Firefox, Internet Explorer, Google Chrome) käituvad. Selle kaudu vahetatakse andmeid, nagu tekst, pildid, helid ja muud sellised.
HTTP kontseptsioon seisneb selles, et failid võivad sisaldada endis viiteid järgmistele, mis tõstavad esile täiendavaid ümberpaigutustaotlusi. Lihtsustades võib öelda, et igas arvutis, mis sisaldab veebilehe faile, on programm, mis on disainitud ootama HTTP päringuid ning neid töötlema, kui saabuvad. Meie kasutatav veebilehitseja on HTTP klient, mis saadab päringu veebilehte haldavasse arvutisse. Kui kasutaja soovib avada teatud veebilehekülge, siis veebibrauser loob HTTP päringu ning saadab selle IP aadressile, mis haldab veebileheaadressi. Programm veebilehte haldavas arvutis võtab päringu vastu, töötleb seda ning saadab kasutajale tagasi failid, mis on seotud päringuga – meie näites avab veebilehe.
Kokkuvõtvalt liigub läbi HTTP päringu väga palju informatsiooni. See andmevoog pole aga eriti turvaline ning seetõttu on seda võimalik häkkida. Sellepärast on kasutusele võetud HTTPS protokoll, mis on mitmeid kordi turvalisem.

HTTPS

HTTPS (Hyper Text Transfer Protocol Secure) on turvalisem versiooni HTTP-st. HTTPS vahendusel tehtud kasutajasse sisselogimised või tähtsad toimingud, nagu pangaülekanded on kaitstumad kui lihtsalt HTTP protokolli kasutades.
Kui kasutaja asub veebilehel, mis kasutab HTTPS-i, siis on tavaliselt aadressiribal väike tabaluku ikoon, mis tähendabki, et veebileht on turvaline. Lisaks sellele on aadressi ees protokolli HTTP asemel HTTPS. Kasutaja ühendamisel veebileht krüpteerib toimingud digitaalse sertifikaadiga.
Pisikene „s“ protokolli taga on tegelikult SSL ehk Secure Sockets Layer, mis kasutab vastavat süsteemi, et tagada andmete krüpteering kahe võtmega. See tähendab, et võetakse kasutusele digitaalne sertifikaat. Kui HTTPS serveriga on ühendus loodud ning SSL hakkab tööle, tekib aadressiribale seda tõendav roheline ikoon . Ühesõnaga HTTPS protokoll tagab palju turvalisema töökeskkonna ning muudab andmete kättesaamise kolmandale osapoolele keerulisemaks.

Miks kogu veeb ei kasuta „HTTPS“ protokolli?

Kuna HTTPS protokoll on mitmeid korda turvalisem kui lihtsalt HTTP, tuleks seda kasutada, küll aga suurem osa internetist ühendab kasutajat just viimasega. Tavalist HTTP protokolli kasutasid ka kõik suhtlusvõrgustikud ajani, mil hakkas laialdaselt levima programm „Firesheep network sniffing tool“. Kuna puudus digitaalne sertifikaatseerimine, oli andmeid lihtne kätte saada ning eriti just selleks spetsiaalselt loodud programmiga. See sisaldas endas koodi, millega oli võimalik varastada kohalikust võrgust teiste kasutajate cookie’d (cookie on väikene koodilõik arvutis, mis tekib veebi külastamisega ning mis sisaldab informatsiooni toimingute kohta) ning neid ära kasutada ja teiste inimestele kontodele sisse saada. Kõige enam harrastati seda avalikes internetipunktides, nagu raamatukogudes, kohvikutes. Turvarisk oli vaja eemaldada ning seetõttu on enamikel veebilehtedel, mis vajavad sisselogimist, kasutusel HTTPS protokoll, mis muudab antud programmi kasutuskõlbmatuks.

Sellest hoolimata, võib vahel andmeidküsiva veebilehe protokolliks osutuda HTTP. Taoline risk võib tekkida, kui kasutaja ei tunne hästi internetiga seotud riske. HTTP protokoll annab kolmandale isikule kaudse võimaluse samas võrgus olles oma valdusesse saada cookie’d ning nende abil näiteks kasutajanime ja parooli teada saada. Sellepärast on kõige populaarsemad suhtlusportaalid, nagu Facebook, Twitter jms võtnud kasutusele „sunnitud HTTPS ühenduse“. See tähendab, et sellele veebilehele minnes suunatakse kasutaja automaatselt ümber HTTPS protokollile ning kui peaks tekkima takistusi, antakse kasutajale sellest teada. Kui aga automaatselt see alati ei toimi (tavaliselt kasutades samu veebilehti mobiilis), siis peab kasutaja käsitsi HTTP protokolli vahetama HTTPS vastu ning edasipidi juba teeb veebibrauser seda ise (muutes aadressiribal HTTP HTTPS-i vastu ning laadides veebilehte uuesti).

Küsimusele, miks kogu internet ei kasuta HTTPS protokolli, on mitmeid vastuseid: esiteks digitaalsete sertifikaatide loomine on väga kulukas. See tähendab, sertifikaadid ei teki „õhust“, vaid esmalt tuleb need luua ning serveriga ühendada. See pole aga probleemiks võimsamatele veebiserveritele, nagu Facebookile, millel on piisavalt ressursse, et oma kasutajaid turvaliselt hoida.

Teiseks võib probleemiks pidada aeglasemat ühendamiskiirust. See tuleneb omakorda kahest asjaolust. Esmalt HTTPS ei hoia alles üleliigset informatsiooni (midagi ei salvestata arvuti vahemälule), mida oleks võimalik häkkimise teel varastada ning seetõttu luuakse kogu andmestik igal külastuskorral uuesti. Lisaks sellele kasutab HTTPS digitaalset sertifikaati, mille võtmete loomine lisab ühendumisele mõne lisa hetke. Ühesõnaga, kui kõik veebilehed kasutaksid HTTPS protokolli, oleks internet tänapäevaste vahendite juures märkimisväärselt aeglasem.

Kokkuvõtvalt tuleb igal internetikasutajal olla hoolas ning jälgida veebilehtede külastamisel, mis nõuavad kasutajatunnused ja paroole, et oleks kasutusel HTTPS protokoll. See tagab lisa turvatunde ning võib kindel olla, et kasutaja andmed jäävad salajaseks. Küll aga on häkkerid kavalad, ning oma võimalik häkkida ka digitaalsete sertifikaatidega veebilehti, kui see on aeganõudvam.

Sellest tuleneb soovitus, et kui HTTPS protokolliga ei suudeta ühendust luua või edasine ühendamine küsib kasutaja nõusolekut, on mõttekam selleks hetkeks saidi külastamine pooleli jätta, kuna midagi võib valesti olla.

Kirjutanud

Hendrik Tammekivi

Noor ja aktiivne arvutihuviline.