HTTPSとは何ですか？

HTTPSまたはハイパーテキスト転送プロトコルセキュア HTTPプロトコルの安全な拡張です。 これは、WebブラウザとWebサーバー間の安全な暗号化通信に使用されます。

HTTPSとは何ですか？

HTTPSはHypertextTransfer Protocol Secureの略で、ユーザーとWebサイト間で転送されるときに機密データをプライベートに保ち、暗号化技術により、許可された関係者のみがデータを表示できるようにします。

HTTPS は、XNUMX 者間でデータを安全かつ非公開で送信する方法です。 これは、HTTP セキュアの最も一般的な名前でもあり、すべての通信を暗号化して、第三者が傍受したり読み取ったりできないようにします。 HTTPS Everywhere は、可能な限り暗号化されたバージョンの HTTP (HTTPS) を介して Web サイトに接続するのに役立ちます。 Web ユーザーは、HTTPS で信頼できる Web ページを見つけることができます。

HTTPSとは何ですか？

HTTPS とは何か疑問に思ったことがある場合でも、心配しないでください。あなただけではありません。 インターネットは、初心者にとってナビゲートするのに威圧的な場所になる可能性があります。 始めたばかりの場合は、サインアップする Web サイトを決定する前に、このプロトコルについて学習する必要があります。 幸いなことに、私たちは最新の Web ブラウザーを支援するためにここにいます。

Webサイトへのアクセスに使用できるさまざまなURLがあります。 XNUMXつのタイプはHTTPURLと呼ばれ、Hypertext TransferProtocolの略です。 このプロトコルは、インターネットを介してデータを交換する方法を指定します。

FTP (ファイル転送プロトコル)、Telnet などもあります。 しかし、最も一般的なプロトコルの XNUMX つは、Hypertext Transport Layer Security の略である HTTPS です。

ブラウザとサイトをホストしているサーバーの間で送信されるすべての情報を暗号化するため、非常に人気があります。これには、パスワードとクレジットカード番号が含まれます。

HTTPとHTTPSの違い

HTTP と HTTPS は、使用する最も一般的な Web プロトコルの XNUMX つです。 しかし、両者には大きな違いがあります！ HTTP は Hypertext Transfer Protocol の略で、インターネットを介してあるデバイスから別のデバイスにデータを転送します。 情報をプレーンテキストで送信するため、「安全ではない」と見なされます。つまり、サイバースペースを移動するデータを誰かが傍受できるということです。

一方、HTTPS (Hypertext Transfer Protocol Secure) は、すべての通信が暗号化と認証によって行われるため、HTTP のより安全なバージョンです。ネットショッピング大盛況！

HTTP オペレーティング システムに依存せず、TCP/IP 上で動作します。 HTTP はデフォルトでポート 80 を使用しますが、任意のポートを使用できます。 ここでの良い例えは、あなたの家の住所 (自宅) のようなものです。 通り、アパートの番号、住んでいる都市などによって家の番号が異なる場合がありますが、それはあなたの家です。 それはあなたがどこにいるかがすべてです。 HTTP も同様に機能します。

SSL/TLS レイヤーのセキュリティが追加された HTTP であるため、クライアントからサーバーに転送されるすべてのデータは暗号化され、安全な接続内で保護されます。 HTTPS はデフォルトで TCP ポート 443 を使用しますが、任意のポートを使用することもできます。 HTTPS は、次のような暗号化スキームを使用して、クライアントとサーバー間の通信を保護します。 SSL。 HTTPSは、デジタル証明書を介してWebサイトの認証を提供します。

また、メッセージ認証コード（MAC）を利用して、通信の整合性を確保します。 したがって、暗号化されたチャネルを介した転送中に情報を保護するだけでなく、途中で情報が変更されるのを防ぎます。 ここでの例えは、玄関の鍵のようなものです。 あなたは家に入る鍵を持っており、部外者や泥棒などからあなたを守ります。これがHTTPSの仕組みでもあります。 HTTPプロトコルを使用すると、WebページとWebブラウザーには、効率を高めるためのセキュアソケットレイヤーが含まれます。

HTTPSをハッキングできますか？

第31回カオスコミュニケーション会議で、セキュリティ研究者のMoxieMarlinspikeがHTTPSBEハッキングを発表しました。 これはSSL / TLSに対する攻撃です。 プロトコルの脆弱性を悪用することはありませんが、巧妙なソーシャルエンジニアリングを使用して、被害者をだまして偽の証明書をチェックさせます。

そのような攻撃の可能性は以前に議論されました。 それでも、今回は、自分で実行できるクライアントとサーバーのソースコードを含め、成功した概念実証の実装について説明します。

Marlinspikeは講演の中で、HTTPSがどのように機能するか、HTTPSが失敗することがある理由、およびHTTPSを攻撃する方法について説明します。 さらに、彼は、安全なDNSルックアップを実行し、検閲システム、企業ファイアウォール、さらには政府の傍受システムで使用されるようなパッシブ盗聴技術をバイパスするための新しい技術を紹介します。

詳細についての詳細

この講演では、HTTPS の問題の全範囲をカバーし、場合によっては、期待されるサーバー証明書を所有することなく、完全な SSL/TLS 交換を達成できる可能性があることを示しています。 攻撃は HTTPS Web サイトをターゲットにしていますが、SSL/TLS の上に構築された他のプロトコルに対して同様の手法を使用できない理由はありません。

Marlinspike は、[IPREDATOR クライアント](<https://github.com/iPredator/>) を公開しました。これは、このような攻撃のユーザーが自己署名証明書を使用して相互に安全な接続を確立できるようにすることで、このような攻撃を阻止するように設計されています。

彼は、I predatorの背後にある設計目標について説明し、最も広く利用可能な代替の匿名通信ツールよりも高速に実行するために導入したいくつかの最適化を示します。

HTTPSは何を提供しますか？

このインターネットサービスプロバイダーには次のものが付属しています。

Encryption

WiFiオペレーターでさえも、誰もあなたのデータを見ることができません。 つまり、** ISP **は、使用しているWebサイトやその他のサービスを認識せず、**それらをブロックしたり区別したりすることはできません**。 また、異なるセッションは完全に個別に暗号化されているため、異なるセッションを比較して、時間の経過に伴う行動のプロファイルを作成することははるかに困難です。  

認証

https://wwwoyoyo.comにアクセスすると、ブラウザの証明書を使用してこれがチェックされます。これにより、彼はmyoyoyo.comに話しかけることができます。 ウェブサイトがそのような証明書を取得する唯一の方法は、それらがmyoyoyo.comであることを証明することです。 これを認証と呼びます。

HTTPS は単なる暗号化ではなく、**認証**も提供します! HTTPS がなければ、**あなたの ISP はどの www. あなたが開いたリンクと、暗号化されていない通信の内容** (彼らはあなたの DNS トラフィックを見て、あなたがメールや Facebook と話したことを推測できますが、それだけです)

HTTPSは安全に使用できますか？

機密情報の交換に HTTPS を使用する場合、証明書の検証エラーがあってはなりません。 つまり、リモート エンドポイントは信頼できる必要があり、有効な SSL証明書 これは、クライアントデバイスによって使用されるトラストストア内のルートCAのXNUMXつによって信頼されていることを確認します。  

これは、サーバーに自己署名証明書をインストールしてWebサーバーソフトウェアを正しく構成するよりもはるかに困難です。 それでも、多くの開発者は、これでアプリケーションに十分だと考えています。

もうXNUMXつの問題は、厳密なトランスポートセキュリティ（HSTS）です。 アプリケーションでこれを有効にすると、証明書のピン留めのサポートを追加した場合にのみ、本当に安全になります。

また、ピン留めなどの重要なセキュリティ機能を追加することは、人的資源の面で困難でコストがかかり、アプリケーションが非常に機密性の高いデータ（財務情報や医療情報など）を処理しない限り、やり過ぎと見なされます。

Google 検索VSBing検索

Imgurへの投稿は、両方がどのように Google 「TTPS」サイトを検索すると、BingとBingは異なる結果を示します：ImgurとStackOverflow。 オフラインで検索する場合、 Google 可能な場合は、HTTPSバージョンのWebサイトが表示されます。 一方、Bingは常にHTTPSをHTTPバージョンにリダイレクトします。

 HTTPSプロトコル自体の性質上、暗号化されたデータにアクセスする方法がない場合に、ComodoAntivirusがHTTPS接続内に隠されたマルウェアをどのように検出するかはまだ不明です。

ただし、この奇妙なケースは、機械学習を使用して悪意のあるファイルを特定するだけでなく、人間の介入なしにそれらをコンピューターから自動的に削除できることを思い出させます。

多くのウイルス対策会社はさまざまな方法で機械学習を使用しており、自社の製品が他のどのソリューションよりも優れた保護を提供できると主張しています。

結論

インターネットは危険な場所です。 ハッカーは常にあなたのサイトに侵入してあなたの情報を盗む機会を探しています。 HTTPSは、これを防ぐための最良の方法です。 HTTPSページおよびWebサーバー内でトランスポート層セキュリティTLSを提供します。

リファレンス

https://en.wikipedia.org/wiki/HTTPS

https://www.websiterating.com/resources/http-status-codes-cheat-sheet/