Az online biztonság működése
Mivel a közelmúltban annyi nagy adatszegés történt, lehet, hogy azon tűnődik, hogy miként védi az adatokat az interneten. Tudod, megy egy weboldalra, hogy bevásárolsz, írd be hitelkártyaszámát, és remélhetőleg néhány napon belül egy csomag érkezik az ajtóhoz. De abban a pillanatban, mielőtt a Megrendelés gombra kattintasz, valaha is megkérdezed, hogyan működik az online biztonság?
Az online biztonság alapjai
A legegyszerűbb formában az online biztonság - ez az a biztonság, amely a számítógép és az Ön által meglátogatott weboldal között megtörténik - egy sor kérdés és válasz. Beír egy webcímet a böngészőbe , akkor a böngésző megkérdezi az adott webhelytől, hogy ellenőrizze a hitelességét. A webhely a megfelelő információkkal reagál, és ha egyszer egyetért, a webhely megnyílik a webböngészőben.
A feltett kérdések és a kicserélendő információk között szerepelnek a titkosítás típusát, amelyet a böngésző, a számítógépes információk és a személyes adatok átadására használnak a böngésző és a weboldal között. Ezeket a kérdéseket és válaszokat kézfogásnak nevezik . Ha ez a kézfogás nem megy végbe, akkor a meglátogatni kívánt webhelyet nem biztonságosnak fogja tekinteni.
HTTP vs. HTTPS
Az egyik dolog, amit észlelhetsz, amikor meglátogatsz weboldalakat az interneten, hogy vannak olyanok, amelyeknek címe http- kel kezdődik, és néhánynak a https-dal kezdődik . A HTTP jelentése Hypertext Transfer Protocol ; ez egy olyan protokoll vagy iránymutatáskészlet, amely biztonságos kommunikációt jelöl az interneten keresztül. Érdemes észrevenni azt is, hogy egyes webhelyek, különösen azok a webhelyek, ahol érzékeny vagy személyazonosításra alkalmas adatokat kérnek, a https- et zöld vagy piros színnel láthatja egy vonal mentén. A HTTPS jelentése Hypertext Transfer Protocol Secure, és a zöld azt jelenti, hogy az oldalnak hitelesített biztonsági tanúsítványa van. A piros vonalon keresztül azt jelenti, hogy a webhely nem rendelkezik biztonsági tanúsítvánnyal, vagy a tanúsítvány nem pontos vagy lejárt.
Itt a dolgok kicsit zavarosak. A HTTP nem jelenti azt, hogy a számítógép és a webhely közötti adatátvitel titkosított. Ez csak azt jelenti, hogy a böngészőjével kommunikáló webhely aktív biztonsági tanúsítvánnyal rendelkezik. Csak akkor, ha az S (mint a HTTP S ) tartalmazza az átvitt adatokat, és van egy másik olyan technológia, amely lehetővé teszi ezt a biztonságos jelölést.
Az SSL protokoll megértése
Ha úgy gondolod, hogy megosztod a kézfogást valakivel, ez azt jelenti, hogy egy másik fél is részt vesz. Az online biztonság ugyanolyan. Az online biztonságot biztosító kézfogás érdekében egy másik félnek is részt kell vennie. Ha a HTTPS a böngésző protokollja, amely biztosítja a biztonságot, akkor a kézfogás második fele a titkosítási protokoll.
A titkosítás a technológia, amely két, a hálózaton lévő eszköz között átvitt adatok álcázására szolgál. A felismerhető karakterek felismerhetetlen gibberishbe fordulnak, amely titkosító kulcs segítségével visszakerül eredeti állapotába . Ezt eredetileg Secure Socket Layer (SSL) biztonsági technológiával végezték.
Lényegében az SSL volt az a technológia, amely minden olyan adatot váltott át, amely egy weboldal és egy böngésző között mozdulatlanul átkerült, majd visszaadta az adatokat. Így működik:
- Nyissa meg a böngészőt, és írja be a bank címét.
- A webböngésző kopogtat a bank ajtaján és bemutatja Önt.
- A portás ellenõrzi, hogy te vagy az, akinek azt mondod, hogy te vagy, és beleegyezik abba, hogy bizonyos körülmények között engedje meg.
- Az Ön böngészője elfogadja ezeket a feltételeket, és akkor hozzáférhet a bank honlapjához.
A folyamat megismétli a felhasználónevét és a jelszavát, további lépésekkel.
- A felhasználónevét és a jelszavát a fiókhoz való hozzáféréshez adja meg.
- A webböngészők azt mondják a bank számlavezetőjének, hogy szeretne hozzáférni fiókjához.
- Megegyeznek és egyetértenek azzal, hogy ha megadhatja a megfelelő hitelesítő adatokat, akkor hozzáférést kap. Azonban ezeket a hitelesítő adatokat külön nyelv használatával kell bemutatni.
- A webböngésző és a bank számlavezetője elfogadja a használni kívánt nyelvet.
- A webböngésző átalakítja felhasználói nevét és jelszavát a speciális nyelvre, és átadja azt a bank számlavezetőjének.
- A számlavezető megkapja az adatokat, dekódolja és összehasonlítja azokat az adataival.
- Ha a hitelesítő adatok megegyeznek, akkor hozzáférést kap a fiókjához.
A folyamat nano másodpercekben zajlik, így nem veszi észre, hogy ez az egész beszélgetés és kézfogás mennyi időt vesz igénybe a webböngésző és a weboldal között.
SSL vs TLS
Az SSL az eredeti biztonsági protokoll volt, amely biztosította, hogy a webhelyek és az egymás között átadott adatok biztonságosak legyenek. A GlobalSign szerint az SSL-t 1995-ben vezették be 2.0 verzióvá. Az első verzió (1.0) soha nem került nyilvánosságra. A 2.0 verzió egy év alatt 3,0 verzióval váltotta fel a protokoll sebezhetőségeinek kezelését. 1999-ben az SSL másik, ún. Transport Layer Security (TLS) nevű változata került bevezetésre a beszélgetés sebességének és a kézfogás biztonságának javítása érdekében. A TLS a jelenleg használt verzió, bár az egyszerűség kedvéért gyakran SSL néven hivatkoznak.
TLS titkosítás
TLS titkosítást vezettek be az adatbiztonság javítása érdekében. Míg az SSL jó technológia volt, a biztonsági változások gyors ütemben zajlottak le, és ez jobb, naprakész biztonsághoz vezetett. A TLS az SSL keretén alapult, és jelentősen javította a kommunikációs és kézfogási folyamatot irányító algoritmusokat.
Melyik TLS verzió a leginkább aktuális?
Az SSL-hez hasonlóan a TLS titkosítás tovább javult. A jelenlegi TLS verzió 1.2, de a TLSv1.3 készült, és néhány vállalat és böngésző rövid ideig használta a biztonságot. A legtöbb esetben visszatérnek a TLSv1.2-hez, mert az 1.3-as verzió még mindig tökéletes.
A véglegesítéskor a TLSv1.3 számos biztonsági javítást eredményez, beleértve a jelenlegi titkosítási módok jobb támogatását. A TLSv1.3 ugyanakkor le fogja tiltani az SSL protokollok és az egyéb biztonsági technológiák régebbi verzióinak támogatását, amelyek már nem elég erősek a személyes adatok megfelelő biztonságának és titkosításának biztosításához.