Strona główna > Newsy > Ochrona witryny WWW przez HTTPS jest prostsza i tańsza niż myślisz

"Ochrona witryny WWW przez HTTPS jest prostsza i tańsza niż myślisz".

2010-11-18

Boisz się rozszerzenia Firesheep i podglądaczy przechwytujących w kawiarni hasła do serwisu internetowego? Niepotrzebnie. Dzięki radom Chrisa Palmera możemy sprawić, by nasza strona nie była podatna na takie ataki. Wystarczy wprowadzić protokół HTTPS, nie jest to tak trudne i nie wymaga tak wiele mocy procesora, jak można by sądzić.

HTTPS wprowadza trzy formy bezpieczeństwa:

• Autoryzację serwera, która oznacza, że użytkownik i przeglądarka wiedzą, że połączenie następuje z prawdziwym serwerem, a nie komputerem podszywającym się pod niego,

• Poufność danych poprzez szyfrowanie komunikacji między przeglądarką a serwerem,

• Integralność danych, czyli niemożność modyfikacji treści komunikacji przez hakerów

Wprowadzenie HTTPS jest ważne, gdyż standardowy protokół HTTP nie zapewnia takich zabezpieczeń.

Ostatnio pisaliśmy o dodatku Firesheep do Firefoksa. Program obnaża luki komunikacji HTTP i pokazuje jak ważne jest wprowadzenie lepszych zabezpieczeń. Jednak Firesheep jest jedynie narzędziem do pasywnego ataku tj. takiego, który nie zmienia treści komunikacji. Są jednak dostępne narzędzia takie jak the Upside-Down-Ternet, które mogą wpływać na treść przekazywaną od serwera do użytkownika i w drugą stronę, pozwalając napastnikowi na podszycie się na przykład pod stronę banku.

Chris Palmer z Electronic Frontier Foundation radzi, aby w celu uniknięcia powyższych problemów stosować protokół HTTPS.

Uważa on, że całość komunikacji serwer-klient powinna opierać się właśnie na nim. Odrzuca on pożyteczność metody mieszanej, w której tylko część strony, np. formularz do logowania, używa HTTPS. Uważa on bowiem, że w takim wypadku nie można mówić o poufności komunikacji. Ponadto jeżeli skrypty JS albo obrazki nie są objęte HTTPS, mogą one również stać się przedmiotem ataku, narażając bezpieczeństwo użytkownika.

Radzi on, żeby przekierowywać ruch HTTP za pomocą HTTP 301 i 302 do adresów URL bezpiecznego protokołu.

Ponadto radzi, aby podczas dodawania ciasteczek zawężać ich zasięg do bezpiecznej domeny (Set-Cookie: header) i dodawać atrybut Secure, który sprawia, że ciasteczka przekazywane są jedynie przez HTTPS.

HTTPS a wydajność

Adam Langley z Google ujawnił dane na temat kosztów obsługi autoryzacji HTTPS. Nie zdają się one wcale duże: ?Na naszych produkcyjnych maszynach, SSL/TLS odpowiada za mniej niż 1% zużycia CPU, mniej niż 10KB pamięci na połączenie i mniej niż 2% obciążenia łącza. Wielu ludzi uważa, że SSL zabiera dużo czasu procesora, ale mamy nadzieję, że ujawnione teraz pierwszy raz publicznie dane pomogą rozwiać ten mit?.

Bezpieczeństwo użytkowników zdaje się być ważne na razie tylko dla tych bardziej doświadczonych. Jednak ostatnie działania, takie jak pojawienie się Firesheepa, mogą pomóc w uświadomieniu ryzyka wszystkim internautom. To zaś sprawi, że sieć z której korzystamy, stanie się bezpieczniejsza. Takie działania z pewnością zwiększą zaufanie do wprowadzających je właścicieli stron komercyjnych.

źródło: eff.com