Son vaxtlar xəbərlərdə bu qədər böyük məlumat pozuntusu olduğu üçün onlayn olduğunuz zaman məlumatlarınızın necə qorunduğu ilə maraqlana bilərsiniz. Bir az alış-veriş etmək üçün vebsayta girib kredit kartı nömrənizi daxil etdiyiniz zaman, inşallah, bir neçə gündən sonra bir paket qapınıza çatar. Amma Sifariş düyməsini basmazdan əvvəl onlayn təhlükəsizliyin necə işlədiyi ilə maraqlanırsınız?
Onlayn Təhlükəsizliyin Əsasları
Əsas formasında onlayn təhlükəsizlik - kompüter və vebsayt arasında baş verən təhlükəsizlik bir sıra suallar və cavablar vasitəsilə həyata keçirilir. Siz brauzerə veb ünvanı daxil edirsiniz və sonra brauzer həmin saytdan onun həqiqiliyini yoxlamağı xahiş edir. Sayt müvafiq məlumatla cavab verir və hər ikisi razılaşdıqdan sonra sayt veb brauzerdə açılır.
Verilən suallar və mübadilə edilən məlumatlar arasında brauzer məlumatını, kompüter məlumatını və şəxsi məlumatı brauzer və vebsayt arasında ötürən şifrələmə növü haqqında məlumatlar var. Bu sual və cavablara əl sıxma deyilir. Bu əl sıxma baş tutmazsa, ziyarət etməyə çalışdığınız veb sayt təhlükəli sayılır.
HTTP vs
- Yol boyu hər kəsin görə biləcəyi açıqdır.
- Quraşdırmaq və işə salmaq daha asandır.
- Parollar və təqdim edilmiş data üçün təhlükəsizlik yoxdur.
-
Məlumatı gizlətmək üçün tam şifrələnib.
- Əlavə server konfiqurasiyası tələb olunur.
- Parollar daxil olmaqla ötürülən məlumatları qoruyur.
İnternetdə saytlara daxil olanda diqqət edə biləcəyiniz bir şey odur ki, bəzilərinin http, bəzilərinin isə https ilə başlayan ünvanı var. HTTP Hypertext Transfer Protocol deməkdir; bu, internet üzərindən təhlükəsiz ünsiyyəti təyin edən protokol və ya təlimatlar toplusudur.
Bəzi saytlar, xüsusən də sizdən həssas və ya şəxsiyyətinizi müəyyənləşdirən məlumatları təqdim etməyiniz xahiş olunan saytlar https nömrəsini yaşıl və ya qırmızı rəngdə, üzərindən xətt çəkə bilər. HTTPS Hypertext Transfer Protocol Secure deməkdir, yaşıl rəng isə saytın yoxlanıla bilən təhlükəsizlik sertifikatına malik olduğunu bildirir. Üzərində xətt olan qırmızı saytın təhlükəsizlik sertifikatının olmadığını və ya sertifikatın qeyri-dəqiq və ya vaxtı keçmiş olduğunu bildirir.
İşlərin bir az qarışıq olduğu yer budur. HTTP kompüter və veb sayt arasında ötürülən məlumatların şifrələndiyi demək deyil. Bu, yalnız brauzerlə əlaqə saxlayan veb-saytın aktiv təhlükəsizlik sertifikatına malik olması deməkdir. Yalnız S daxil edildikdə (HTTP S-da olduğu kimi) ötürülən data təhlükəsiz olur və bu təhlükəsiz təyinatı edən başqa texnologiya istifadə olunur. mümkündür.
SSL və TLS
- İlk olaraq 1995-ci ildə hazırlanıb.
- Veb şifrələmənin əvvəlki səviyyəsi.
- Sürətlə böyüyən internetdən geri qaldı.
- SSL-in üçüncü versiyası kimi başladı.
- Nəqliyyat Qatının Təhlükəsizliyi.
- SSL-də istifadə edilən şifrələməni təkmilləşdirməyə davam etdi.
- Yeni hücum növləri və təhlükəsizlik boşluqları üçün əlavə təhlükəsizlik düzəlişləri.
SSL vebsaytların və saytlar arasında ötürülən məlumatların təhlükəsiz olmasını təmin etmək üçün orijinal təhlükəsizlik protokolu idi. GlobalSign-a görə, SSL 1995-ci ildə 2.0 versiyası olaraq təqdim edilmişdir. İlk versiya (1.0) heç vaxt ictimai sahəyə çevrilməmişdir. Protokoldakı boşluqları aradan qaldırmaq üçün bir il ərzində 2.0 versiyası 3.0 versiyası ilə əvəz edildi.
1999-cu ildə danışıq sürətini və əl sıxma təhlükəsizliyini yaxşılaşdırmaq üçün SSL-in Nəqliyyat Layer Təhlükəsizliyi (TLS) adlı başqa bir versiyası təqdim edildi. TLS hal-hazırda istifadə edilən versiyadır, lakin sadəlik üçün onu SSL adlandırırlar.
SSL Protokolunu Anlamaq
- Kompüter və vebsayt arasında yığılmış məlumatı gizlədir.
- Giriş məlumatını qoruyur.
- Onlayn alışları təmin edir.
- Bütün təhdidlərdən qorunmur.
- SSL istifadə etməyən saytlarda sizi qoruya bilməz.
- Hansı vebsaytlara daxil olduğunuzu gizlətmək mümkün deyil.
Kimsə ilə əl sıxma paylaşmağı düşünsəniz, bu, ikinci tərəfin iştirak etdiyini bildirir. Onlayn təhlükəsizlik təxminən eyni şəkildədir. Onlayn təhlükəsizliyi təmin edən əl sıxma prosesinin baş tutması üçün ikinci tərəf iştirak etməlidir. Əgər HTTPS veb-brauzerin təhlükəsizliyi təmin etmək üçün istifadə etdiyi protokoldursa, o zaman həmin əl sıxmanın ikinci yarısı şifrələməni təmin edən protokoldur.
Şifrələmə şəbəkədəki iki cihaz arasında ötürülən məlumatları gizlətmək üçün istifadə edilən texnologiyadır. Bu, tanınan simvolları şifrələmə açarından istifadə edərək orijinal vəziyyətinə qaytarıla bilən tanınmayan cəfəngiyyata çevirməklə həyata keçirilir. Bu, ilkin olaraq Secure Socket Layer (SSL) təhlükəsizliyi adlı texnologiya vasitəsilə həyata keçirilib.
SSL veb-sayt və brauzer arasında hərəkət edən hər hansı bir məlumatı boşboğazlığa, sonra isə yenidən məlumatlara çevirən texnologiya idi. Bu necə işləyir:
- Brauzeri açıb bankınızın ünvanını yazın.
- Veb brauzer bankın qapısını döyür və sizi təqdim edir.
- Qapıçı dediyiniz kimi olduğunuzu təsdiq edir və müəyyən şərtlər altında sizi içəri buraxmağa razılaşır.
- Veb brauzer bu şərtlərlə razılaşır və sonra sizə bankın veb saytına daxil olmağa icazə verilir.
İstifadəçi adınızı və parolunuzu daxil etdiyiniz zaman bəzi əlavə addımlarla proses təkrarlanır.
- Hesabınıza daxil olmaq üçün istifadəçi adınızı və parolunuzu daxil edin.
- Veb brauzeriniz bankın hesab menecerinə hesabınıza daxil olmaq istədiyinizi bildirir.
- Onlar danışır və razılaşırlar ki, əgər siz düzgün etimadnaməsini təqdim edə bilsəniz, sizə giriş icazəsi veriləcək. Bununla belə, bu etimadnamələr xüsusi dildən istifadə edilməklə təqdim edilməlidir.
- Veb brauzer və bankın hesab meneceri istifadə olunacaq dillə razılaşır.
- Veb brauzer istifadəçi adınızı və parolunuzu həmin xüsusi dilə çevirir və bankın hesab menecerinə ötürür.
- Hesab meneceri məlumatları qəbul edir, deşifrə edir və onların qeydləri ilə müqayisə edir.
- Etibarnamələriniz uyğundursa, sizə hesabınıza giriş icazəsi verilir.
Proses nanosaniyələrdə baş verir, ona görə də veb brauzer və vebsayt arasında söhbət və əl sıxma üçün lazım olan vaxtı hiss etmirsiniz.
TLS Şifrələmə
- Daha təhlükəsiz şifrələmə.
- Kompüter və vebsaytlar arasında verilənləri gizlədir.
- Şifrələnmiş rabitə danışıqları zamanı daha yaxşı əl sıxma prosesi.
- Heç bir şifrələmə mükəmməl deyil.
- DNS-i avtomatik qorumur.
- Köhnə versiyalarla tam uyğun deyil.
TLS şifrələməsi data təhlükəsizliyini təkmilləşdirmək üçün təqdim edilib. SSL yaxşı bir texnologiya olsa da, təhlükəsizlik sürətlə dəyişir və bu, daha yaxşı, daha müasir təhlükəsizlik ehtiyacına səbəb oldu. TLS rabitə və əl sıxma prosesini idarə edən alqoritmlərin təkmilləşdirilməsi ilə SSL çərçivəsi üzərində qurulub.
Hansı TLS Versiyası ən aktualdır?
SSL ilə olduğu kimi TLS şifrələməsi təkmilləşməyə davam edib. Cari TLS versiyası 1.2-dir, lakin TLSv1.3 tərtib edilib və bəzi şirkətlər və brauzerlər qısa müddət ərzində təhlükəsizlikdən istifadə ediblər. Əksər hallarda onlar TLSv1.2-yə qayıdırlar, çünki 1.3 versiyası hələ də təkmilləşdirilir.
Tamamlananda TLSv1.3 çoxsaylı təhlükəsizlik təkmilləşdirmələri, o cümlədən daha cari şifrələmə növləri üçün təkmilləşdirilmiş dəstək gətirəcək. Bununla belə, TLSv1.3 SSL protokollarının köhnə versiyaları və şəxsi məlumatların düzgün təhlükəsizliyini və şifrələnməsini təmin etmək üçün artıq kifayət qədər möhkəm olmayan digər təhlükəsizlik texnologiyaları üçün dəstəyi də dayandıracaq.