Objaśnienia OTT - HTTPS, SSL i zielony pasek adresu
Czy kiedykolwiek byłeś na stronie i zauważyłeś, że pasek adresu jest zielony? Jeśli odwiedzasz inną witrynę, czasami nie jest zielona. W niektórych witrynach tekst jest zielony, a nazwa firmy pojawia się na zielono. Zacząłem zauważać ten weekend i chciałem dowiedzieć się, co oznaczają wszystkie różne wersje zielonego adresu.
Jak widać z powyższego, przeglądanie czterech różnych witryn daje mi cztery różne typy pasków adresu, niektóre zielone, a inne nie. O co w tym wszystkim chodzi? Po pierwsze, zrozumiemy prostą koncepcję, która sprawi, że zrozumienie różnych ikon i kolorów będzie bardzo łatwe: zawartość bezpieczna a niezabezpieczona.
Bezpieczna treść niezabezpieczona
Pierwszą rzeczą do zrozumienia jest to, co naprawdę oznacza bezpieczna i niezabezpieczona treść. To właśnie w grę wchodzą HTTPS i SSL. SSL oznacza Secure Socket Layer i jest podstawową technologią, której używa protokół HTTPS do zabezpieczenia zawartości HTTP. Najprościej mówiąc, HTTPS to HTTP przez SSL. HTTP to niezaszyfrowany ruch HTML między klientem a serwerem.
Dlatego odwiedzając witrynę, taką jak Online Tech Tips, nie zobaczysz zielonego tekstu ani HTTPS w pasku adresu. Na powyższym zrzucie ekranu widać tylko białą ikonę dokumentu. Co to znaczy? Oznacza to tylko, że strona nie używa SSL, co oznacza, że dane nie są szyfrowane.
Jeśli więc wpiszesz jakąś informację w formularz na mojej stronie, na przykład, dane nie będą szyfrowane przez Internet, a zatem potencjalnie mogą zostać przechwycone przez stronę trzecią i odczytane. W Google Chrome, jeśli klikniesz małą ikonę dokumentu, uzyskasz szczegółowe informacje, takie jak poniżej:
Wyświetlane są dwie karty: Uprawnienia i połączenie. Porozmawiajmy o karcie Połączenie. Tutaj zobaczysz, że tożsamość strony nie została zweryfikowana. Wszystko to oznacza, że nie kupiłem certyfikatu bezpieczeństwa dla mojej witryny od zaufanego wydawcy certyfikatów, takiego jak Verisign, dlatego też porady techniczne online mogą być własnością każdego, w tym Rosjan, a ty naprawdę nie możesz być tego pewien. Dlatego nigdy nie należy wpisywać żadnych poufnych informacji na stronie, która nie jest szyfrowana, co będzie prawie wszystkimi blogami i zwykłymi stronami internetowymi.
Zielony pasek adresu
Teraz, gdy rozumiesz, dlaczego nie masz zielonego tekstu w pasku adresu, wyjaśnijmy różne sytuacje, gdy pracujemy z bezpiecznym połączeniem. Po pierwsze, porozmawiajmy o witrynie, która do tej pory mnie myliła: Gmail! Po pierwszym załadowaniu Gmaila adres wygląda tak z ładną zieloną ikoną kłódki i zielonym tekstem HTTPS.
Jednak po pewnym czasie ikona będzie szara z żółtym trójkątem w środku:
Więc o co chodzi? Ta ikona oznacza, że strona używa SSL z szyfrowaniem, ale niektóre treści na stronie są niezabezpieczone (nie zaszyfrowane). Czy to czyni witrynę niebezpieczną? Niekoniecznie. Na przykład w Gmailu obrazy pojawiające się w wiadomościach e-mail nie są bezpieczne i dlatego nie są szyfrowane. Dlatego zawsze musisz kliknąć link „Zawsze wyświetlaj obrazy z…”. Po kliknięciu tego linku zauważysz, że zielona ikona kłódki zmienia się w szarą trójkąt. Gmail jest więc nadal bezpieczny, ale niektóre treści w tym e-mailu nie są bezpieczne.
Jedyne, co naprawdę powinieneś się martwić, to zobaczenie kłódki z czerwoną ikoną i przekreśleniem na tekście HTTPS.
Może to oznaczać kilka rzeczy, w tym wygasający certyfikat bezpieczeństwa witryny lub inne treści, takie jak Javascript, który jest niebezpieczny na stronie. Nazywa się to niezabezpieczoną treścią wysokiego ryzyka. Obrazy nie są uważane za wysokie ryzyko, ponieważ zazwyczaj nie ma interakcji z użytkownikiem. Jeśli jednak JavaScript jest niezabezpieczony, użytkownicy mogą wypełniać formularze, a dane są przesyłane niepewnie.
Skąd wiesz, jakie treści są niepewne na stronie? Możesz to sprawdzić w Google Chrome. Kliknij ikonę Ustawienia w prawym górnym rogu, a następnie kliknij Przybory - Narzędzia deweloperskie.
Po kliknięciu karty Konsola otrzymasz listę wszystkich ostrzeżeń lub błędów, jak pokazano poniżej.
Jak widać z powyższego, e-mail od AA ma kilka obrazów, które postanowiłem wyświetlić, a które są niepewne. W konsoli możesz zobaczyć konkretne obrazy, które powodują, że strona jest niepewna. Jest to miły sposób na sprawdzenie, czy coś ważnego jest niepewne lub czy to tylko obrazy i tego typu rzeczy.
Wreszcie na niektórych stronach widzisz zielony tekst, a nazwa firmy na zielono, podobnie jak na pierwszym zrzucie ekranu po zalogowaniu się do mojego konta Apple online. Nie ma różnicy w poziomie szyfrowania lub bezpieczeństwa, to tylko wizualny wskaźnik zaufania.
Firmy mogą ubiegać się o certyfikaty rozszerzonej walidacji, które zasadniczo kosztują więcej pieniędzy i sprawiają, że firma weryfikuje więcej informacji o stronie i sobie. Nazwa firmy lub witryny znajduje się na certyfikacie i dlatego pojawia się w ozdobnym zielonym polu po lewej stronie tekstu HTTPS.
Jeśli klikniesz tutaj kłódkę, zobaczysz o wiele więcej informacji o bezpieczeństwie niż na tym samym zrzucie ekranu powyżej dla mojej witryny:
Jak widać, firma Apple Inc. została zweryfikowana przez certyfikat VeriSign Class 3 Extended Validation SSL. Możesz również zobaczyć ilość szyfrowania (128-bit) i inne informacje. Banki zwykle mają 256-bitowe szyfrowanie, co jest dobre, ponieważ są to dane finansowe przechodzące przez Internet.
Więcej informacji na temat ostrzeżeń i ikon dotyczących zabezpieczeń Chrome można znaleźć tutaj:
http://support.google.com/chrome/bin/answer.py?hl=pl&answer=95617
Mam nadzieję, że daje to trochę więcej informacji o tym, jak działają HTTPS i SSL i jak przeglądarki wyświetlają te informacje w pasku adresu. W przypadku każdej przeglądarki jest nieco inna pod względem używanych ikon itp., Ale ogólnie jest to ta sama koncepcja. Cieszyć się!
