هنگامی که کاربران بر روی اینترنت اطلاعات رد و بدل می کنند. این اطلاعات به صورت پروتکل های مختلف رد و بدل می شود که بستگی به نیاز کاربر و سرور مربوطه این پروتکل (مجموعه قوانيني که با استناد به آن ، گفتگو و تبادل اطلاعات بين دو کامپيوتر برقرار خواهد شد. پروتکل ها اغلب متني هستند و نحوه مکالمه بين کلاينت و سرور را تعيين مي کنند)در بسياري از وب سرورها بايد امنيت داده ها در نظر گرفته شود. مثلا براي صفحات خاصي از وب ، سطوح امنيتي متفاوتي در نظر گرفته شود که فقط افرادي که داراي نام کاربري وکلمه عبور باشند مجاز به بازديد از آن صفحه يا وب سايت هستند.
پروتکل HTTP يا Hyper Text Transfer Protocol
اين پروتکل از معروفترين پروتکل ها بوده و ما را قادر مي سازد تا فرمت هاي مختلف متني ، صوتي ، تصويري را به راحتي مبادله کنيم. براي اين امر بايد روي وب سرورها ، سرويس هاي لازم را نصب کنند وکلاينت ها نيز از مرورگرtpht وب استفاده نمايند. وظيفه وب سرور و مرورگر وب را هنگام دريافت هر فرماني مشخص مي كند. مثلا وقتي شما آدرس يك سايت را در مرورگر وب خود وارد مي كنيد يك دستوربه وب سروري كه صفحه مورد نظر شما در آن قرار دارد ، فرستاده مي شود و باعث مي شود تا صفحه مورد نظر براي شما ارسال شود.
https چيست؟
HTTP، پروتكل امن انتقال اطلاعات ابر متن هاست كه براي انتقال اطلاعات رمز گذاري شده ميان كامپيوترها از راه اينترنت به كار مي رود. لغت S است که تفاوت میان HTTP و HTTPS را ایجاد می کند. لغت S مخفف کلمه Secure به معنی امن است.
HTTPS همان HTTP است كه از يك SSL استفاده مي كند.( پروتکل (SSL (Socket Secure Layer ، یک استاندارد وب برای کدکردن اطلاعات بین کاربر و وب سایت است. اطلاعاتی که توسط یک اتصال SSL مبادله می شوند بصورت کد شده ارسال می شوند.)
پروتکل //:https معمولاً برای بانک ها ایجاد حساب کاربری و ورودکاربری به پورتال ها – سرویس دهنده ها پیغام الکترونیکی، خریداینترنتی و فروشگاه های اینترنتی، ورود به صفحات با اطلاعات سری و مهم وغیره استفاده می شود.
در موقع ورود به وب سایت ها، به طور معمول عبارت //:http در جلوی آدرس سایت ظاهر می شود. این بدین معناست که شما درحال بررسی سایت با استفاده از زبان معمول غیر امن هستید.
به زبان دیگر یعنی ممکن است شخص سومی (در اینجا شخص هر چیزی معنی می دهد، مانند برنامه کامپیوتری – هکر – …) در حال ثبت اطلاعات ارسال رد و بدل شده شما با وب سایتی که در آن حضور دارید، باشد.
اما در صورت شروع شدن نام وب سایت با //: https، این بدین معناست که کامپیوتر شما در حال رد و بدل کردن اطلاعات با سایت با زبانی است که شخص دیگری قادر به استفاده از آن نیست.
وقتی کاربر بخواهد به یک وب سایت معمولی یا یک وبلاگ برود، در قسمت آدرس نت براوزر خود قبل از درج آدرس مربوطه اول پروتکل مورد نیاز را می نویسیم و بعد آدرس سایت را:
به آدرس بالا نگاه کنید، این آدرس از دو بخش تشکیل شده بخش اول //:http پروتکل مورد استفاده است و بخش دوم آدرس سایت blog.hasanagha.net.
در شرایطی اگر کاربر بخواهد به سایت دیگری که نیاز به رد و بدل کردن اطلاعات به صورت رمزگذاری شده باشد از پروتکل HTTPS استفاده می شود. تمام اطلاعات رد و بدل شده بین کاربر و سایت (سرور سایت) را بصورت رمزگذاری شده رد و بدل می کند، تا اطلاعات ردوبدل شده بین کاربر و سرورمربوطه برای دیگران قابل خواندن نباشد. با استفاده از این روش قبل از ارسال اطلاعات، داده ها رمزگذاری می شوند و سپس به سایت مربوطه ارسال می شوند.اطلاعات ارسالی کاربر پس از رسیدن به سایت رمز گشایی می شود و مجددا اگر نیاز به پاسخ به کاربر باشد بازهم اطلاعات به صورت رمزگذاری بازگشت داده می شود و تا زمانی که در قسمت آدرس نت براوزر شما علامت (HTTPS) مورد استفاده قرار گرفته باشد تمام اطلاعات رد و بدل شده بصورت رمزگذاری شده رد و بدل خواهد شد.
بعد از وارد شدن با پروتکل //:https، اطلاعاتی در رابطه با امنیت اعمال شده در سایت و گروه ارائه دهنده این امنیت نمایش داده می شود. این اطلاعات معمولا ( در اکثر مرورگر ها ) بصورت قفلی در پایین صفحه موجود بوده و بعد ازکلیک بر روی آن این اطلاعات را مشاهده خواهید کرد.
برای استفاده صحیح از پروتکل (HTTPS) نیاز به یک Certificate (گواهینامه) هست. این گواهینامه ها را سایت ها با پرداخت پول به شرکت های شناخته شده و معتبر تهیه می کنند و در نتیجه شرکتی که این گواهینامه راصادرکرده بایدشناخته شده باشد در غیر این صورت نمی توان به گواهینامه آن اعتماد کرد.
به همین خاطر هم هست که هرگاه بخواهیم سایتی را با این مشخصات باز کنیم نت براوزر با نمایش Certificate (گواهینامه) سایت مربوطه از ما سوال می کند که آیا به این گواهینامه اعتماد داریم یا نه
تعداد از شرکت های امنیتی مانند Verisign و Goddady این سرویس را ارائه می دهند که جهت تبدیل اطلاعات سروری که شما به آن متصل شده اید به این سرور ها مراجعه می کند.
جهت داشتن //:https هزینه ای ماهانه باید پرداخت گردد که بر اساس سرعت آن (۱۲۸kb یا ۲۶۵kb یا …) متفاوت است. هر چه سرعت بیشتر، صاحب سرور باید هزینه بیشتری پرداخت کند. سود اصلی HTTPS جلوگیری از Sniff کردن اطلاعات هست. یعنی برای مقابله با دزدهای اطلاعاتی که در مسیر قرار می گیرند. (به طور مثال شما هر اطلاعاتی را که در حالت عادی از HTTP انتقال بدهید یک سازمان واسطه قادراست چه با مجوز و یا بدون مجوز از اطلاعات استفاده کند.)
سرور میزبان باید یک Public Key ثبت کند که هزینه ای هم نخواهد داشت. اما اثبات اینکه آیا خود میزبان کسی که ادعا می کند، هزینه بر است. اینکار بوسیله بدین معنی که با پرداخت هزینه به این سرویس دهنده، کاربران مطمئن می شوند که سرور همان فردی یا سازمانی است که خواهان وارد کردن اطلاعات خود هستند.
در مقابل این گونه گواهینامه ها، گواهینامه های دیگری هم وجود دارند که سایت ها خود درست می کنند و با اینکه یک شرکت معتبر این گواهینامه را صادر نکرده باز هم اطلاعات بصورت رمزگذاری رد و بدل می شود. نکته اساسی در اینجا این است که کاربر باید خود تصمیم بگیرد که آیا اطلاعاتی که می خواهد رد و بدل کند تا چه اندازه حساس است و اینکه آیا حتما نیاز به یک گواهینامه معتبر است یا اینکه یک گواهینامه معمولی بدون پشتوانه معتبر هم کفایت می کند.در شرایطی که یک گواهینامه معتبر در دسترس نباشد، می توان با استفاده از گواهینامه های خود ساخته یک شرایط حداقلی را فراهم.
درشرایط فی#ل*ترینگ برای جلوگیری از دسترسی به اطلاعات کاربران می توانند از پروتکل (HTTPS) استفاده کنند.
انتقال اطلاعات از طریق (HTTPS) هم پیرو شرایطی است که باید به آن توجه داشت. اولین نکته ای که در این زمینه باید در نظر داشت این است که آیا اطلاعاتی که می خواهد رد و بدل شود حساس است یا نه در هر صورت این مساله را کاربران خود باید تصمیم بگیرند و حد و اندازه ایمنی را خود مشخص و بر اساس آن عمل کنند.
کرد تفاوت عمده با در موارد زیر است :
۱-مهمترین تفاوت میان http با https امنیت و حفظ اطلاعات مربوط به شماست.
http .2 روی پورت ۸۰ کار می کند ، اما https روی پورت ۴۴۳ .
۳٫ در //:https اطلاعات ابتدا به کد تبدیل شده و به سرور ارسال می گردد. سپس این کد در سرور رمز گشایی شده و به زبان قابل فهم بر می گردد. این کار مقداری زمان بر بوده و بنابراین سرعت //:https از سرعت //:http کمتر است.
۴٫ فیلتر شکنها و سایتهایی که با ssl کار می کنند قابل فیلتر شدن نیستند ( به دلیل طرز کار ssl ) ، مگر اینکه IP آنها را مستقیما از داخل روتر و یا سیستم فیلترینگ بلاک کنند که چنین چیزی کمتر اتفاق می افتد. ( این کار رو برای اورکات کرده اند ! )
در هنگام ورود به این سایت ها حتما به اطلاعات امنیتی توجه کنید. ممکن است امنیت در کار نبوده و همه اینها با برنامه نویسی ساده ای برای شما نمایش داده شود.