ИнтернетКак протокол HTTPS защищает сайты крупных компаний от хакеров
Чем он лучше привычного HTTP и почему на него ещё не перешли все
МАТЕРИАЛ ПОДГОТОВИЛ
Артём Лучко
Всё больше компаний переходит на протокол HTTPS — защищённое расширение протокола HTTP. Наверняка вы уже не раз сталкивались с ним, что-нибудь покупая в интернет-магазинах. Facebook и Twitter пользуются им уже долгое время, а не так давно к ним присоединилась российская компания Mail.Ru Group, которая перевела на HTTPS свою главную страницу. Кроме того, компания Google заявила о том, что собирается отдавать в поисковой выдаче предпочтение тем сайтам, которые используют HTTPS. Look At Me выяснил у специалистов, почему на протокол, разработанный двадцать лет назад, активно начали переходить только сейчас.
Денис Аникин
технический директор «Почты Mail.Ru»
«Протокол HTTPS — это HTTP secure, то есть безопасная версия HTTP. Он защищает персональные данные пользователей от тех, кто пытается незаконно получить к ним доступ. Речь идёт о логинах, паролях, сообщениях, фотографиях — в общем, любых данных, не предназначенных для широкого круга адресатов. HTTPS шифрует данные между пользователем и сервером, благодаря чему «подслушать» пользовательский трафик практически невозможно. Если объяснять совсем на пальцах, то между пользователем и сервером существует отдельный тоннель, по которому направляются все данные, и ни у кого нет возможности проникнуть внутрь этого тоннеля.
Мы надеемся, что российские порталы последуют нашему примеру и тоже переведут на HTTPS свои главные страницы.
Появление HTTPS на главной странице Mail.Ru — важный шаг для защиты пользовательских данных. Именно здесь находится форма ввода логина и пароля от почты. Если HTTPS не включен, то на этапе ввода данных их может перехватить злоумышленник. Выражаясь техническим языком, страницу, не использующую протокол HTTPS, можно подменить в ходе атаки SSLstrip, которая довольно популярна среди киберпреступников. Вот в чем её суть на примере несуществующего сайта example.com:
Допустим, пользователь сидит в кафе, заходит в интернет через публичный Wi-Fi и пишет в браузере example.com;
Запрос уходит на серверы example.com, на которых формируется ответ. Он содержит в том числе ссылку на URL, где происходит авторизация (https://auth.example.com);
Злоумышленник перехватывает ответ и меняет этот URL на любой другой (https://some-fraudlent-server.com). Без HTTPS хакер может не только «слушать» трафик, но и посылать клиенту поддельные данные от имени сервера;
Злоумышленник передаёт поддельную страницу в браузер пользователя, который её отображает. Она выглядит абсолютно так же, как обычная страница;
Ничего не подозревающий пользователь вводит там свои логин и пароль, затем нажимает «Войти»;
Браузер переводит пользователя на действие формы авторизации. Если бы не действия злоумышленника, он бы перевёл его на https://auth.example.com, но из-за того что произошла подмена URL, браузер переведёт его на свою страницу http://some-fraudlent-server.com, отослав туда логин и пароль пользователя.
Теперь же, когда главная страница защищена HTTPS-протоколом, провести такую атаку невозможно.
Не для всех ресурсов наличие HTTPS важно в одинаковой степени. Он нужен прежде всего тем, кто работает с данными, чувствительными с точки зрения безопасности: почтовым сервисам, социальным сетям, интернет-магазинам, онлайн-хранилищам. Кроме того, он, безусловно, повлечёт за собой определённый рост нагрузки на сервера — или нужно будет оптимизировать программный комплекс, чтобы этого избежать.
Переход на HTTPS — это довольно затратный и непростой процесс, справиться с которым под силу только высокотехнологичным компаниям. Во-первых, переход на защищённый протокол — это не разовое действие, а комплексный долгосрочный проект. Он включает в себя такие аспекты, как разработку и системное администрирование, и нуждается в хорошем техническом менеджменте. Во-вторых, переход на HTTPS подразумевает серьёзную переработку сайта, поскольку на нём не должно остаться ни одного HTTP-элемента, причём изменения нужно постоянно поддерживать. Наконец, приходится менять даже некоторые бизнес-процессы: в частности, взаимодействие с внешними партнёрами, поставляющими контент на сайт. Так, практически все сайты сегодня работают со счётчиками и баннерными системами. Чтобы всё это продолжало работать на сайте с HTTPS, их владельцы должны тоже перейти на HTTPS.
Повсеместно HTTPS будет использоваться относительно не скоро: пока на него перешли в основном лидеры индустрии. Но рано или поздно это сделает большинство сайтов, и тогда больше всего будут страдать остальные ресурсы, так как они останутся в меньшинстве, и именно на них придётся весь удар хакерских атак. Мы надеемся, что российские порталы последуют нашему примеру и тоже переведут на HTTPS свои главные страницы».
Ринат Сафин
специалист Google
«Мы стремимся к тому, чтобы сделать интернет более безопасным. Помимо того что мы постоянно увеличиваем безопасность наших сервисов, мы хотим, чтобы те сайты, на которые наши пользователи переходят из результатов поиска, тоже были более безопасными. HTTPS обеспечивает защиту и целостность данных, когда они пересылаются между браузером и сервером, а также позволяет подтвердить подлинность сервера. Передача данных по протоколу HTTPS не даёт злоумышленникам:
Современные процессоры оптимизированы для эффективного выполнения операций, нужных в HTTPS.
Перехватывать данные, потому что они передаются по зашифрованному каналу. Когда данные передаются в открытом виде, их можно довольно легко перехватить. Например, в сетях Wi-Fi — особенно если пользователь подключился к неизвестной точке доступа, которая могла быть организована злоумышленником;
Модифицировать данные, которые передаются от пользователя к серверу и обратно;
Перенаправлять пользователя на поддельный сервер, который внутри определённой подсети может оказаться доступен по тому же адресу, что и тот сервер, на который хотел попасть пользователь.
сейчас переход на HTTPS достаточно прост. Раньше он был связан с использованием специального оборудования или увеличением нагрузки на сервер. Современные процессоры оптимизированы для эффективного выполнения операций, нужных в HTTPS. Некоммерческие сайты могут получить сертификат SSL бесплатно, а его цена для коммерческих применений зависит от того, для скольких доменов он должен работать. В самых простых случаях, которые подходят для большинства сайтов, стоимость сертификата составляет порядка $10. После перехода на HTTPS можно использовать протоколы SPDY и HTTP/2, а это, в свою очередь, может ускорить загрузку страниц пользователями и даже снизить нагрузку на сервер.
Наличие HTTPS учитывается в поисковом ранжировании, но очень слабо. Гораздо в меньшей степени, чем многие другие факторы, которых более 200. Но мы не исключаем, что со временем этот фактор будет сильнее влиять на ранжирование. Качество поиска при этом не снизится: мы тщательно проверяем каждое изменение в алгоритмах ранжирования и следим, чтобы качество поиска улучшалось при каждом изменении, которое мы вносим.
Доля сайтов, которые заботятся о безопасности данных пользователя и поддерживают HTTPS, будет увеличиваться с каждым днём. Мы надеемся, что наши изменения приведут к ещё большей распространённости HTTPS и увеличению числа сайтов, которые заботятся о безопасности своих пользователей».
Комментарии
Подписаться