HTTPS o Hypertext Transfer Protocol Secure ay ang secure na extension ng HTTP protocol. Ito ay ginagamit para sa secure na naka-encrypt na komunikasyon sa pagitan ng mga web browser at mga web server.
Ang HTTPS ay nangangahulugang Hyper Text Transfer Protocol Secure at ito ang secure na naka-encrypt na bersyon ng pangunahing HTTP protocol na ginagamit kapag nakikipag-usap sa internet
Ano ang HTTPS?
Ang HTTPS ay kumakatawan sa Hypertext Transfer Protocol Secure na nagpapanatiling pribado ng sensitibong data kapag inilipat sa pagitan ng mga user at website, na may teknolohiya ng pag-encrypt na tinitiyak na ang mga awtorisadong partido lamang ang makakakita nito.
Ang HTTPS ay isang paraan upang ligtas at pribado na magpadala ng data sa pagitan ng dalawang partido. Ito rin ang pinakakaraniwang pangalan para sa HTTP Secure, na nag-e-encrypt ng lahat ng iyong mga komunikasyon upang hindi sila ma-intercept o mabasa ng mga third party. Tinutulungan ka ng HTTPS Everywhere na kumonekta sa mga website sa pamamagitan ng naka-encrypt na bersyon ng HTTP (HTTPS) hangga't maaari. Ang mga gumagamit ng web ay makakahanap ng isang web page na maaasahan sa HTTPS.
Ano ang HTTPS?
Kung naisip mo na kung ano ang HTTPS, huwag mag-alala–hindi ka nag-iisa. Ang Internet ay maaaring maging isang nakakatakot na lugar upang mag-navigate para sa mga hindi pa nakakaalam. Dapat mong matutunan ang tungkol sa protocol na ito bago magpasya kung aling mga website ang magsa-sign up kung nagsisimula ka pa lang. Sa kabutihang palad, narito kami upang tumulong sa mga modernong web browser.
Mayroong maraming iba't ibang mga URL na maaari mong gamitin upang ma-access ang isang website. Ang isang uri ay tinatawag na HTTP URL, na nangangahulugang Hypertext Transfer Protocol. Tinutukoy ng protocol na ito kung paano magpapalitan ng data sa Internet.
Mayroon ding FTP (File Transfer Protocol), Telnet, at higit pa! Ngunit isa sa mga pinakasikat na protocol ay HTTPS, na kumakatawan sa Hypertext Transport Layer Security.
Ito ay naging napakapopular dahil ini-encrypt nito ang lahat ng impormasyong ipinadala sa pagitan ng iyong browser at ng server na nagho-host ng iyong site – kabilang dito ang mga password pati na rin ang mga numero ng credit card!
Pagkakaiba sa pagitan ng HTTP at HTTPS
Ang HTTP at HTTPS ay dalawa sa pinakakaraniwang web protocol na iyong gagamitin. Gayunpaman, mayroong isang malaking pagkakaiba sa pagitan ng dalawa! Ang HTTP ay kumakatawan sa Hypertext Transfer Protocol at naglilipat ng data mula sa isang device patungo sa isa pa sa Internet. Itinuturing itong “insecure” dahil nagpapadala ito ng impormasyon sa plain text – ibig sabihin, maaaring harangin ng sinuman ang iyong data habang naglalakbay ito sa cyberspace.
Sa kabilang banda, ang HTTPS (Hypertext Transfer Protocol Secure) ay isang mas secure na bersyon ng HTTP dahil nangyayari ang lahat ng komunikasyon sa pag-encrypt at pagpapatotoo – nangangahulugan ito na hindi makikita ng mga hacker na iyon kung ano ang iyong pinagkakaabalahan sa iyong susunod. online shopping spree!
HTTP ay independiyente sa operating system at gumagana sa ibabaw ng TCP/IP. Gumagamit ang HTTP ng port 80 bilang default, ngunit maaaring gamitin ang anumang port. Ang isang magandang pagkakatulad dito ay magiging tulad ng address ng iyong bahay (tahanan). Maaaring mayroon kang ibang numero ng bahay depende sa kalye, numero ng apartment, lungsod na tinitirhan mo, atbp. Ngunit bahay mo pa rin ito; ito ay tungkol sa kung saan ka matatagpuan. Ganito rin gumagana ang HTTP.
Ito ay HTTP na may idinagdag na SSL/TLS layer ng seguridad upang ang lahat ng data na inilipat mula sa kliyente patungo sa server ay naka-encrypt at protektado sa loob ng isang secure na koneksyon. Gumagamit ang HTTPS ng TCP port 443 bilang default, ngunit maaari ding gamitin ang anumang port. Tinitiyak ng HTTPS ang komunikasyon sa pagitan ng isang kliyente at isang server gamit ang mga scheme ng pag-encrypt tulad ng SSL. Nagbibigay ang HTTPS ng pagpapatunay ng website sa pamamagitan ng mga digital na sertipiko.
Tinitiyak din nito ang integridad ng mga komunikasyon sa pamamagitan ng paggamit ng mga message authentication code (MACs). Kaya hindi lamang nito pinoprotektahan ang impormasyon sa panahon ng paglilipat sa pamamagitan ng mga naka-encrypt na channel, ngunit pinoprotektahan din nito ang impormasyon mula sa pagbabago habang nasa daan! Ang isang pagkakatulad dito ay magiging tulad ng iyong susi sa harap ng pinto. Mayroon kang susi upang makapasok sa iyong bahay, na nagpoprotekta sa iyo mula sa mga tagalabas, magnanakaw, atbp. Ganito rin gumagana ang HTTPS. Sa HTTP protocol, ang mga web page at web browser ay may kasamang secure na sockets layer para sa mas mahusay na kahusayan.
Maaari bang ma-hack ang HTTPS?
Sa 31st Chaos Communication Congress, ipinakita ng security researcher na si Moxie Marlinspike ang HTTPS BE hacking. Isa itong pag-atake laban sa SSL/TLS. Hindi nito pinagsasamantalahan ang isang kahinaan sa anumang mga protocol ngunit gumagamit ng matalinong social engineering upang linlangin ang mga biktima na suriin ang mga pekeng sertipiko.
Ang posibilidad ng naturang mga pag-atake ay napag-usapan na noon pa. Gayunpaman, sa pagkakataong ito ay ipinaliwanag ang isang matagumpay na pagpapatupad ng patunay-ng-konsepto, kasama ang source code ng kliyente at server na maaari mong patakbuhin ang iyong sarili.
Sa kanyang talumpati, ipinaliwanag ni Marlinspike kung paano gumagana ang HTTPS, kung bakit minsan ay nabigo ito, at kung paano ito maaaring atakihin ng isang tao. Bilang karagdagan, nagpapakita siya ng isang bagong pamamaraan para sa pagsasagawa ng mga secure na DNS lookup at pag-bypass sa mga passive eavesdropping technique tulad ng mga ginagamit ng mga censorship system, corporate firewall, at maging ng governmental intercept system.
Higit pa tungkol sa mga detalye
Sinasaklaw ng usapan ang isang buong hanay ng mga kahirapan sa HTTPS at ipinapakita kung paano, sa ilang mga kaso, posibleng magawa ang isang buong SSL/TLS exchange nang hindi nagtataglay ng inaasahang sertipiko ng server. Habang tina-target ng pag-atake ang mga website ng HTTPS, walang dahilan kung bakit hindi magagamit ang mga katulad na diskarte laban sa iba pang mga protocol na binuo sa ibabaw ng SSL/TLS.
Ang Marlinspike ay nag-publish ng [IPREDATOR client](<https://github.com/iPredator/>) na idinisenyo upang hadlangan ang mga naturang pag-atake sa pamamagitan ng pagpayag sa mga naturang pag-atake sa mga user na magtatag ng mga secure na koneksyon sa isa't isa gamit ang mga self-signed certificate.
Tinatalakay niya ang mga layunin sa disenyo sa likod ng I predator at nagpapakita ng ilang mga pag-optimize na ipinakilala niya upang tumakbo nang mas mabilis kaysa sa pinaka malawak na magagamit na alternatibong anonymous na mga tool sa komunikasyon.
Ano ang ibinibigay ng HTTPS?
Narito kung ano ang kasama ng internet service provider na ito:
Encryption
Walang makakakita sa iyong data, kahit na ang WiFi operator. Nangangahulugan ito na hindi alam ng **ISP** kung aling mga website o iba pang serbisyo ang iyong ginagamit at **hindi maaaring i-block ang mga ito o makita ang diskriminasyon sa pagitan ng mga ito**. Gayundin, mas mahirap bumuo ng profile ng iyong gawi sa paglipas ng panahon sa pamamagitan ng paghahambing ng iba't ibang session dahil ganap na naka-encrypt ang mga ito nang hiwalay.
Pagpapatunay
Kapag nagba-browse sa https://wwwoyoyo.com, ito ay sinusuri gamit ang mga sertipiko ng iyong browser, na siguradong nakikipag-usap siya sa myoyoyo.com. Ang tanging paraan para makakuha ng naturang sertipiko ang website ay patunayan na sila ay myoyoyo.com. Tinatawag namin itong pagpapatunay.
Ang HTTPS *ay hindi* lamang encryption, nagbibigay din ito ng **authentication**! Kung walang HTTPS, **makikita ng iyong ISP kung aling www. mga link na binuksan mo at ang nilalaman ng kanilang hindi naka-encrypt na mga komunikasyon** (mahuhulaan pa rin nila na nakipag-usap ka sa email o Facebook sa pamamagitan ng pagtingin sa iyong trapiko sa DNS, ngunit iyon na)
Ligtas bang gamitin ang HTTPS?
Kung gumagamit ka ng HTTPS para sa pagpapalitan ng sensitibong impormasyon, hindi ka dapat magkaroon ng mga error sa pag-verify ng certificate. Sa madaling salita, ang remote na endpoint ay kailangang mapagkakatiwalaan at kailangan ding magkaroon ng valid SSL certificate na nagbe-verify bilang pinagkakatiwalaan ng isa sa mga root CA sa trust store na ginagamit ng iyong client device.
Ito ay mas mahirap kaysa sa pag-install lamang ng self-signed na cert sa iyong server at pag-configure nang tama ng software ng iyong web server; gayunpaman, iniisip ng maraming developer na ito ay sapat na para sa kanilang aplikasyon.
Ang isa pang problema ay ang mahigpit na seguridad sa transportasyon (HSTS). Ang pagpapagana nito sa iyong application ay tunay na secure lamang kapag nagdagdag ka ng suporta para sa pag-pin ng certificate.
At ang pagdaragdag ng ganoong mahalagang tampok na panseguridad tulad ng pag-pin ay mahirap at magastos sa lakas-tao at itinuturing na overkill maliban kung ang iyong aplikasyon ay tumatalakay sa sobrang sensitibong data (hal., pinansyal o medikal na impormasyon).
Google Paghahanap VS Bing Search
Ang isang post sa Imgur ay nagpapakita kung paano pareho Google at Bing ay nagbibigay ng iba't ibang mga resulta kapag naghahanap para sa "TTPS" na site: Imgur vs. StackOverflow. Kapag naghanap ka offline, Google ipapakita sa iyo ang bersyon ng HTTPS ng isang website kung available. Sa kabilang banda, palaging nire-redirect ng Bing ang HTTPS sa bersyon ng HTTP.
Hindi pa rin malinaw kung paano nakita ng Comodo Antivirus ang malware na nakatago sa loob ng isang koneksyon sa HTTPS kapag walang paraan para ma-access ng sinuman ang naka-encrypt na data sa pagitan dahil sa likas na katangian ng HTTPS protocol mismo.
Gayunpaman, ang kakaibang kaso na ito ay nagpapaalala sa amin na ang machine learning ay maaaring gamitin hindi lamang upang tukuyin ang mga nakakahamak na file kundi pati na rin upang awtomatikong alisin ang mga ito sa iyong computer nang walang interbensyon ng tao.
Maraming kumpanya ng antivirus ang gumagamit ng machine learning sa iba't ibang paraan, at sinasabi nila na mas mapoprotektahan ka ng kanilang mga produkto kaysa sa anumang iba pang solusyon doon!
Konklusyon
Ang Internet ay isang hindi ligtas na lugar. Palaging naghahanap ng mga pagkakataon ang mga hacker na makapasok sa iyong site at nakawin ang iyong impormasyon. Ang HTTPS ay ang pinakamahusay na paraan upang maiwasan itong mangyari! Nag-aalok ito ng Transport Layer Security TLS sa loob ng mga pahina ng HTTPS at mga web server.
Mga sanggunian
https://en.wikipedia.org/wiki/HTTPS
https://www.websiterating.com/resources/http-status-codes-cheat-sheet/