ماهو بروتوكول نقل النص التشعبي الآمن ( HTTPS )… كيف يعمل

بروتوكول نقل النص التشعبي الآمن ( HTTPS ) هو امتداد لبروتوكول نقل النص التشعبي (HTTP). يتم استخدامه للاتصال الآمن عبر شبكة الكمبيوتر ، ويستخدم على نطاق واسع على الإنترنت  في HTTPS ، يتم تشفير بروتوكول الاتصال باستخدام بروتوكول أمان طبقة النقل (TLS) أو ، سابقًا ، طبقة مآخذ التوصيل الآمنة (SSL). لذلك يشار إلى البروتوكول أيضًا باسم HTTP عبر TLS ، أو HTTP عبر SSL .

الدوافع الرئيسية لHTTPS هي المصادقة من الوصول إلى الموقع ، وحماية الخصوصية و سلامة البيانات المتبادلة أثناء العبور. لأنه يحمي ضد الهجمات رجل في والمتوسطة ، وثنائي الاتجاه تشفير الاتصالات بين العميل والخادم يحمي الاتصالات ضد التنصت و العبث .   يتطلب جانب المصادقة في HTTPS طرفًا ثالثًا موثوقًا به لتوقيع الشهادات الرقمية من جانب الخادم. كانت هذه من الناحية التاريخية عملية باهظة الثمن ، مما يعني أن اتصالات HTTPS المصادق عليها بالكامل عادة ما يتم العثور عليها فقط في خدمات معاملات الدفع المضمونة وأنظمة معلومات الشركة الأخرى المؤمنة على شبكة الويب العالمية . في عام 2016 ، أدت حملة من قبل Elec­tron­ic Fron­tier Foun­da­tion بدعم من مطوري مستعرض الويب إلى انتشار البروتوكول بشكل أكبر. يتم استخدام HTTPS الآن في كثير من الأحيان بواسطة مستخدمي الويب أكثر من HTTP الأصلي غير الآمن ، وذلك لحماية مصداقية الصفحة على جميع أنواع مواقع الويب ؛ حسابات آمنة وللحفاظ على خصوصية اتصالات المستخدم وهويته وتصفح الويب.

نظرة عامة 

مزيد من المعلومات : أمن طبقة النقلماهو بروتوكول نقل النص التشعبي الآمن ( HTTPS )… كيف يعمل, الملك التقنييبدأ عنوان URL بنظام HTTPS وتسمية اسم مجال WWW

و معرف الموارد مخطط (URI) HTTPS بناء جملة استخدام مطابق لمخطط HTTP. ومع ذلك ، يشير HTTPS إلى المتصفح لاستخدام طبقة تشفير مضافة من SSL / TLS لحماية حركة المرور. يعد SSL / TLS مناسبًا بشكل خاص لـ HTTP ، حيث يمكنه توفير بعض الحماية حتى لو تمت مصادقة جانب واحد فقط من الاتصال . هذا هو الحال مع معاملات HTTP عبر الإنترنت ، حيث عادةً ما يتم مصادقة الخادم فقط (بواسطة العميل الذي يفحص شهادة الخادم ).

ينشئ HTTPS قناة آمنة عبر شبكة غير آمنة. وهذا ما يضمن حماية معقولة من أفرادا و الهجمات رجل في متوسطي ، شريطة أن كافية الأجنحة الشفرات وتستخدم وأن شهادة الملقم يتم التحقق من وموثوق به.

نظرًا لأن HTTPS pig­gy­backs HTTP بالكامل أعلى TLS ، يمكن تشفير بروتوكول HTTP الأساسي بالكامل. يتضمن ذلك عنوان URL للطلب (الذي تم طلب صفحة ويب معينة) ، ومعلمات الاستعلام ، والعناوين ، وملفات تعريف الارتباط (التي غالبًا ما تحتوي على معلومات تعريفية عن المستخدم). ومع ذلك ، لأن عناوين مواقع الويب وأرقام المنافذ هي بالضرورة جزء من TCP / IP الأساسيالبروتوكولات ، لا يمكن لـ HTTPS حماية الكشف عنها. يعني هذا عمليًا أنه حتى على خادم ويب تم تكوينه بشكل صحيح ، يمكن للمتنصرين الاستدلال على عنوان IP ورقم المنفذ لخادم الويب ، وأحيانًا اسم المجال (مثل www.example.org ، ولكن ليس بقية عنوان URL) يتواصل المستخدم مع كمية البيانات المنقولة ومدة الاتصال ، ولكن ليس محتوى الاتصال. 

تعرف متصفحات الويب كيفية الوثوق بمواقع HTTPS استنادًا إلى المراجع المصدقة المثبتة مسبقًا في برامجها. بهذه الطريقة يتم الوثوق بالمراجع المصدقة من قبل منشئي مستعرض الويب لتقديم شهادات صالحة. لذلك ، يجب على المستخدم الوثوق في اتصال HTTPS بموقع ويب إذا وفقط إذا كان كل ما يلي صحيحًا :

  • يثق المستخدم في أن برنامج المتصفح ينفذ HTTPS بشكل صحيح مع المراجع المصدقة المثبتة مسبقًا بشكل صحيح.
  • يثق المستخدم في سلطة إصدار الشهادات لتكفل مواقع الويب الشرعية فقط.
  • يوفر موقع الويب شهادة صالحة ، مما يعني أنه تم التوقيع عليها من قبل سلطة موثوقة.
  • تحدد الشهادة موقع الويب بشكل صحيح (على سبيل المثال ، عندما يزور المتصفح ” https://example.com ” ، تكون الشهادة المستلمة مناسبة لـ “example.com” وليس كيانًا آخر).
  • يثق المستخدم في أن طبقة تشفير البروتوكول (SSL / TLS) آمنة بشكل كافٍ ضد أجهزة التنصت.

HTTPS مهم بشكل خاص على الشبكات والشبكات غير الآمنة التي قد تكون عرضة للعبث. تسمح الشبكات غير الآمنة ، مثل نقاط وصول Wi-Fi العامة ، لأي شخص على نفس الشبكة المحلية برصد الحزم واكتشاف المعلومات الحساسة غير المحمية بواسطة HTTPS. بالإضافة إلى ذلك ، لوحظ أن بعض شبكات WLAN المجانية والمدفوعة تتلاعب بصفحات الويب من خلال الانخراط في حقن الحزم من أجل عرض إعلاناتها الخاصة على مواقع الويب الأخرى. يمكن استغلال هذه الممارسة بشكل ضار بعدة طرق ، مثل حقن برامج ضارة في صفحات الويب وسرقة معلومات المستخدمين الخاصة. 

يعد HTTPS مهمًا أيضًا للاتصالات عبر شبكة Tor ، حيث يمكن لعقد Tor الضارة أن تلحق الضرر أو تغير المحتويات التي تمر عبرها بطريقة غير آمنة وتضخ البرامج الضارة في الاتصال. وهذا هو أحد الأسباب التي تجعل مؤسسة الحدود الإلكترونية و مشروع تور التي تطور HTTPS في كل مكان ، والتي يتم تضمينها في متصفح تور. 

اقرأ ايضا :  ما هو عنوان URL وكيف يعمل

مع الكشف عن مزيد من المعلومات حول المراقبة الجماعية العالمية وسرقة المجرمين للمعلومات الشخصية ، أصبح استخدام أمان HTTPS على جميع مواقع الويب مهمًا بشكل متزايد بغض النظر عن نوع اتصال الإنترنت المستخدم.   على الرغم من أن البيانات الوصفية حول الصفحات الفردية التي يزورها المستخدم قد لا تعتبر حساسة ، عند تجميعها يمكن أن تكشف الكثير عن المستخدم وتعرض خصوصية المستخدم للخطر.  

يتيح نشر HTTPS أيضًا استخدام HTTP / 2 (أو سابقه ، البروتوكول SPDY الذي تم إيقافه الآن ) ، وهو جيل جديد من HTTP مصمم لتقليل أوقات تحميل الصفحة وحجمها وزمن وصولها.

يوصى باستخدام HTTP Strict Trans­port Secu­ri­ty (HSTS) مع HTTPS لحماية المستخدمين من هجمات man-in-the-mid­dle ، وخاصةً تعرية SSL .  

يجب عدم الخلط بين HTTPS و Secure HTTP (S‑HTTP) المستخدم نادرًا والمحدّد في RFC 2660.

الاستخدام في المواقع 

اعتبارًا من أبريل 2018 ، يستخدم 33.2٪ من مواقع Alexa الأعلى 1،000،000 HTTPS كإعداد افتراضي ، 57.1٪ من مواقع الإنترنت الأكثر شيوعًا التي يبلغ عددها 137971 لديها تنفيذ آمن لـ HTTPS ، و 70٪ من تحميل الصفحات (تم قياسها بواسطة Fire­fox Teleme­try ) استخدم HTTPS. 

تكامل المتصفح 

تعرض معظم المتصفحات تحذيرًا إذا حصلت على شهادة غير صالحة. المتصفحات القديمة ، عند الاتصال بموقع ما بشهادة غير صالحة ، ستقدم للمستخدم مربع حوار يسأل عما إذا كان يريد المتابعة. تعرض المتصفحات الأحدث تحذيرًا عبر النافذة بأكملها. تعرض المتصفحات الأحدث أيضًا بشكل بارز معلومات أمان الموقع في شريط العناوين . تُظهر شهادات التحقق الممتدة الكيان القانوني في معلومات الشهادة. تعرض معظم المتصفحات أيضًا تحذيرًا للمستخدم عند زيارة موقع يحتوي على مزيج من المحتوى المشفر وغير المشفر. بالإضافة إلى ذلك ، تعرض العديد من فلاتر الويب تحذيرًا أمنيًا عند زيارة مواقع الويب المحظورة.مقارنة بين أنواع مختلفة من شهادات SSL / TLS
(باستخدام Fire­fox كمثال)

  • ماهو بروتوكول نقل النص التشعبي الآمن ( HTTPS )… كيف يعمل, الملك التقنيتستخدم العديد من متصفحات الويب ، بما في ذلك Fire­fox (الموضح هنا) ، شريط العنوان لإخبار المستخدم بأن اتصاله آمن ، ويجب أن تحدد شهادة التحقق من الصحة الموسعة الكيان القانوني للشهادة.
  • ماهو بروتوكول نقل النص التشعبي الآمن ( HTTPS )… كيف يعمل, الملك التقنيعند الوصول إلى موقع بشهادة عامة فقط ، تظهر علامة “قفل” على شريط عنوان Fire­fox والمتصفحات الأخرى .
  • ماهو بروتوكول نقل النص التشعبي الآمن ( HTTPS )… كيف يعمل, الملك التقنيتنبه معظم متصفحات الويب المستخدم عند زيارة المواقع التي تحتوي على شهادات أمان غير صالحة.

و مؤسسة الحدود الإلكترونية قدمت، فردوا أنه “في عالم مثالي، يمكن أن تخلف كل طلب على شبكة الإنترنت لHTTPS”، إحدى الوظائف الإضافية تسمى HTTPS في كل مكان ل موزيلا فايرفوكس ، جوجل كروم ، الكروم ، و الروبوت ، التي تمكن HTTPS افتراضيا ل المئات من مواقع الويب الأكثر استخدامًا.  

تم دعم إجبار متصفح الويب على تحميل محتوى HTTPS فقط في Fire­fox بدءًا من الإصدار 83. 

الأمن 

المقال الرئيسي : أمن طبقة النقل § الأمن

أمان HTTPS هو أمان TLS الأساسي ، والذي يستخدم عادةً مفاتيح عامة وخاصة طويلة المدى لإنشاء مفتاح جلسة قصير المدى ، والذي يتم استخدامه بعد ذلك لتشفير تدفق البيانات بين العميل والخادم. تُستخدم شهادات X.509 لمصادقة الخادم (وأحيانًا العميل أيضًا). ونتيجة لذلك، السلطات شهادة و شهادات المفتاح العمومي ضرورية للتحقق من العلاقة بين الشهادة وصاحبها، وكذلك لتوليد وعلامة، وإدارة صحة الشهادات. في حين أن هذا يمكن أن يكون أكثر فائدة من التحقق من الهويات عبر شبكة من الثقة ، إلا أن عمليات المراقبة الجماعية لعام 2013 تكشفلفت الانتباه إلى المراجع المصدقة كنقطة ضعف محتملة تسمح لهجمات man-in-the-mid­dle .  من الخصائص المهمة في هذا السياق سرية التوجيه ، والتي تضمن عدم إمكانية استرداد الاتصالات المشفرة المسجلة في الماضي وفك تشفيرها في حالة اختراق المفاتيح السرية طويلة المدى أو كلمات المرور في المستقبل. لا توفر جميع خوادم الويب سرية إعادة التوجيه.  

لكي يكون HTTPS فعالاً ، يجب أن تتم استضافة الموقع بالكامل عبر HTTPS. إذا تم تحميل بعض محتويات الموقع عبر HTTP (البرامج النصية أو الصور ، على سبيل المثال) ، أو إذا تم تحميل صفحة معينة فقط تحتوي على معلومات حساسة ، مثل صفحة تسجيل الدخول ، عبر HTTPS بينما يتم تحميل باقي الموقع عبر بروتوكول HTTP العادي ، سيكون المستخدم عرضة للهجمات والمراقبة. بالإضافة إلى ذلك ، يجب أن يتم تمكين السمة الآمنة لملفات تعريف الارتباط على موقع يتم تقديمه عبر HTTPS . في موقع يحتوي على معلومات حساسة ، سيتم الكشف عن المستخدم والجلسة في كل مرة يتم فيها الوصول إلى هذا الموقع باستخدام HTTP بدلاً من HTTPS. 

تقني 

الاختلاف عن HTTP 

تبدأ عناوين HTTPS URL بـ “https : //” وتستخدم المنفذ 443 افتراضيًا ، بينما تبدأ عناوين HTTP URL بـ “http : //” وتستخدم المنفذ 80 افتراضيًا.

اقرأ ايضا :  ماهو SSH وماهي استعمالاته

HTTP غير مشفرة، وبالتالي عرضة لل رجل في والمتوسطة و التنصت الهجمات ، والتي يمكن أن تسمح وصول المهاجمين الربح إلى حسابات الموقع والمعلومات الحساسة، وتعديل صفحات الويب لحقن البرمجيات الخبيثة أو الإعلانات. تم تصميم HTTPS لمقاومة مثل هذه الهجمات ويعتبر آمنًا ضدها (باستثناء تطبيقات HTTPS التي تستخدم إصدارات مهملة من SSL).

طبقات الشبكة 

يعمل HTTP على أعلى طبقة في نموذج TCP / IP — طبقة التطبيق ؛ كما يفعل بروتوكول أمان TLS (يعمل كطبقة فرعية أقل من نفس الطبقة) ، والذي يقوم بتشفير رسالة HTTP قبل الإرسال ويفك تشفير الرسالة عند وصولها. بالمعنى الدقيق للكلمة ، HTTPS ليس بروتوكولًا منفصلاً ، ولكنه يشير إلى استخدام HTTP العادي عبر اتصال SSL / TLS مشفر .

يقوم HTTPS بتشفير جميع محتويات الرسائل ، بما في ذلك رؤوس HTTP وبيانات الطلب / الاستجابة. باستثناء هجوم التشفير CCA المحتمل الموضح في قسم القيود أدناه ، يجب أن يكون المهاجم قادرًا على الأكثر على اكتشاف وجود اتصال بين طرفين ، جنبًا إلى جنب مع أسماء المجال وعناوين IP الخاصة بهم.

إعداد الخادم 

لإعداد خادم ويب لقبول اتصالات HTTPS ، يجب على المسؤول إنشاء شهادة مفتاح عام لخادم الويب. يجب توقيع هذه الشهادة من قبل مرجع مصدق موثوق به حتى يقبلها مستعرض الويب دون سابق إنذار. تشهد السلطة أن حامل الشهادة هو مشغل خادم الويب الذي يقدمه. يتم توزيع مستعرضات الويب بشكل عام مع قائمة شهادات التوقيع الخاصة بمراجع التصديق الرئيسية حتى يتمكنوا من التحقق من الشهادات الموقعة بواسطتهم.

الحصول على الشهادات 

يوجد عدد من هيئات الشهادات التجارية ، تقدم شهادات SSL / TLS مدفوعة الثمن لعدد من الأنواع ، بما في ذلك شهادات التحقق من الصحة الممتدة .

Let’s Encrypt ، الذي تم إطلاقه في أبريل 2016 ، يوفر خدمة مجانية ومؤتمتة توفر شهادات SSL / TLS أساسية لمواقع الويب. وفقًا لمؤسسة Elec­tron­ic Fron­tier Foun­da­tion ، فإن Let’s Encrypt سيجعل التبديل من HTTP إلى HTTPS “سهلاً مثل إصدار أمر واحد أو النقر فوق زر واحد.” تستفيد غالبية مضيفي الويب ومقدمي الخدمات السحابية الآن من Let’s Encrypt ، مما يوفر شهادات مجانية لعملائهم.

استخدام كعنصر تحكم في الوصول 

يمكن أيضًا استخدام النظام لمصادقة العميل من أجل تقييد الوصول إلى خادم الويب للمستخدمين المصرح لهم. للقيام بذلك ، يقوم مسؤول الموقع عادةً بإنشاء شهادة لكل مستخدم يقوم المستخدم بتحميلها في المستعرض الخاص به. عادةً ، تحتوي الشهادة على الاسم وعنوان البريد الإلكتروني للمستخدم المصرح له ويتم فحصها تلقائيًا بواسطة الخادم في كل اتصال للتحقق من هوية المستخدم ، وربما دون الحاجة إلى كلمة مرور.

في حالة اختراق المفتاح السري (الخاص) 

خاصية مهمة في هذا السياق هي السرية التامة للأمام (PFS). إن امتلاك أحد المفاتيح السرية غير المتماثلة طويلة المدى المستخدمة لإنشاء جلسة HTTPS يجب ألا يسهل اشتقاق مفتاح الجلسة قصير المدى لفك تشفير المحادثة ، حتى في وقت لاحق. تبادل مفاتيح Diffie-Hell­man (DHE) ومنحنى Diffie – Hell­man لمفاتيح التبادل (ECDHE) هما المخططات الوحيدة المعروفة بامتلاكها لتلك الخاصية في عام 2013. في عام 2013 ، استخدمه 30٪ فقط من جلسات متصفح Fire­fox و Opera و Chromi­um ، وما يقرب من 0٪ من جلسات Safari و Microsoft Inter­net Explor­er . TLS 1.3 ، الذي نُشر في أغسطس 2018 ، أسقط دعم الأصفار بدون سرية مسبقة. اعتبارًا من فبراير 2020يدعم 96.6٪ من خوادم الويب التي شملها الاستطلاع شكلاً من أشكال سرية إعادة التوجيه ، وسيستخدم 52.1٪ السرية إلى الأمام مع معظم المتصفحات. 

إبطال الشهادة 

قد يتم إبطال الشهادة قبل انتهاء صلاحيتها ، على سبيل المثال بسبب اختراق سرية المفتاح الخاص. تقوم الإصدارات الأحدث من المتصفحات الشائعة مثل Fire­fox و Opera و و Inter­net Explor­er على Win­dows Vista بتطبيق بروتوكول حالة الشهادة عبر الإنترنت (OCSP) للتحقق من أن الأمر ليس كذلك. يرسل المستعرض الرقم التسلسلي للشهادة إلى المرجع المصدق أو مفوضه عبر OCSP (بروتوكول حالة الشهادة عبر الإنترنت) وتستجيب السلطة ، لإخبار المتصفح بما إذا كانت الشهادة لا تزال صالحة أم لا. قد يصدر المرجع المصدق أيضًا قائمة إلغاء الشهاداتلإخبار الأشخاص بإلغاء هذه الشهادات. لم يعد منتدى CA / Brows­er مطلوبًا CRLs ، ومع ذلك ، لا تزال مستخدمة على نطاق واسع من قبل CAs. تختفي معظم حالات الإبطال على الإنترنت فور انتهاء صلاحية الشهادات. 

القيود 

يمكن تكوين SSL (طبقة مآخذ التوصيل الآمنة) وTLS التشفير (أمان طبقة النقل) في وضعين : بسيطة و متبادلة . في الوضع البسيط ، يتم إجراء المصادقة فقط بواسطة الخادم. يتطلب الإصدار المشترك من المستخدم تثبيت شهادة عميل شخصية في متصفح الويب لمصادقة المستخدم. في كلتا الحالتين ، يعتمد مستوى الحماية على صحة تنفيذ البرنامج وخوارزميات التشفير المستخدمة.

اقرأ ايضا :  ماهي خدمة استضافة المواقع ... وكيف تعمل

لا يمنع SSL / TLS فهرسة الموقع بواسطة متتبع ارتباطات الويب ، وفي بعض الحالات يمكن استنتاج عنوان URI للمورد المشفر من خلال معرفة حجم الطلب / الاستجابة الذي تم اعتراضه فقط. يسمح هذا للمهاجم بالوصول إلى النص العادي (المحتوى الثابت المتاح للجمهور) والنص المشفر (النسخة المشفرة من المحتوى الثابت) ، مما يسمح بهجوم التشفير .

نظرًا لأن TLS يعمل على مستوى بروتوكول أقل من مستوى HTTP وليس لديه معرفة ببروتوكولات المستوى الأعلى ، يمكن لخوادم TLS تقديم شهادة واحدة فقط لمجموعة عنوان ومنافذ معينة. في الماضي ، كان هذا يعني أنه لم يكن من الممكن استخدام الاستضافة الافتراضية القائمة على الاسم مع HTTPS. يوجد حل يسمى مؤشر اسم الخادم (SNI) ، والذي يرسل اسم المضيف إلى الخادم قبل تشفير الاتصال ، على الرغم من أن العديد من المتصفحات القديمة لا تدعم هذا الامتداد. يتوفر دعم SNI منذ Fire­fox 2 و Opera 8 و Apple Safari 2.1 و Google Chrome 6 و Inter­net Explor­er 7على نظام التشغيل Win­dows Vista .  

من الناحية المعمارية :

  • تتم إدارة اتصال SSL / TLS بواسطة الجهاز الأمامي الأول الذي يبدأ اتصال TLS. إذا لم يكن هذا الجهاز الأمامي ، لأي سبب من الأسباب (التوجيه ، وتحسين حركة المرور ، وما إلى ذلك) هو خادم التطبيق ويجب عليه فك تشفير البيانات ، فيجب العثور على حلول لنشر معلومات مصادقة المستخدم أو الشهادة إلى خادم التطبيق ، والذي يحتاج إلى تعرف من الذي سيتم توصيله.
  • بالنسبة إلى SSL / TLS مع المصادقة المتبادلة ، تتم إدارة جلسة SSL / TLS بواسطة الخادم الأول الذي يبدأ الاتصال. في المواقف التي يجب فيها نشر التشفير على طول الخوادم المتسلسلة ، تصبح إدارة وقت الجلسة صعبة للغاية في التنفيذ.
  • الأمان هو الحد الأقصى مع SSL / TLS المتبادل ، ولكن من جانب العميل لا توجد طريقة لإنهاء اتصال SSL / TLS بشكل صحيح وفصل المستخدم إلا عن طريق انتظار انتهاء صلاحية جلسة الخادم أو إغلاق جميع تطبيقات العميل ذات الصلة.

تم تقديم نوع متطور من هجوم man-in-the-mid­dle يسمى تجريد SSL في مؤتمر Black­hat لعام 2009 . هذا النوع من الهجوم يهزم الحماية التي يوفرها HTTPS عن طريق تغيير https:الارتباط إلى http:رابط ، والاستفادة من حقيقة أن قلة من مستخدمي الإنترنت يقومون بالفعل بكتابة “https” في واجهة المتصفح الخاصة بهم : حيث يصلون إلى موقع آمن عن طريق النقر فوق ارتباط ، و وبالتالي يتم خداعهم للاعتقاد بأنهم يستخدمون HTTPS بينما في الواقع يستخدمون HTTP. ثم يتواصل المهاجم مع العميل بوضوح. دفع هذا إلى تطوير إجراء مضاد في HTTP يسمى HTTP Strict Trans­port Secu­ri­ty .

ثبت أن HTTPS عرضة لمجموعة من هجمات تحليل حركة المرور . هجمات تحليل حركة المرور هي نوع من هجمات القناة الجانبية التي تعتمد على الاختلافات في توقيت وحجم حركة المرور من أجل استنتاج خصائص حول حركة المرور المشفرة نفسها. تحليل حركة المرور ممكن لأن تشفير SSL / TLS يغير محتويات حركة المرور ، ولكن له تأثير ضئيل على حجم وتوقيت حركة المرور. في مايو 2010، ورقة بحثية قام بها باحثون من مايكروسوفت للبحوث و جامعة إنديانااكتشف أن بيانات المستخدم الحساسة المفصلة يمكن استنتاجها من القنوات الجانبية مثل أحجام الحزم. وجد الباحثون أنه على الرغم من حماية HTTPS في العديد من تطبيقات الويب رفيعة المستوى والمتقدمة في مجال الرعاية الصحية والضرائب والاستثمار وبحث الويب ، يمكن للمتنصت استنتاج الأمراض / الأدوية / العمليات الجراحية للمستخدم ، دخل أسرتها ، وأسرار الاستثمار.  على الرغم من أن هذا العمل أظهر ضعف HTTPS في تحليل حركة المرور ، إلا أن النهج الذي قدمه المؤلفون تطلب تحليلًا يدويًا وركز بشكل خاص على تطبيقات الويب المحمية بواسطة HTTPS.

حقيقة أن معظم مواقع الويب الحديثة ، بما في ذلك Google و Yahoo ! و Ama­zon ، تستخدم HTTPS تسبب مشاكل للعديد من المستخدمين الذين يحاولون الوصول إلى نقاط اتصال Wi-Fi العامة ، لأن صفحة تسجيل الدخول إلى نقطة اتصال Wi-Fi لا يتم تحميلها إذا حاول المستخدم ذلك افتح مورد HTTPS. تضمن العديد من مواقع الويب ، مثل neverssl.com و nonhttps.com ، إمكانية الوصول إليها دائمًا عن طريق HTTP.  

wikipedia.org

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *