https در طراحي سايت

طراحي سايت، سئو، طراحي فروشگاه اينترنتي

https در طراحي سايت

۲۸ بازديد

تعريف پروتكل htps

در طراحي سايت، پروتكل htps مانند پروتكل http پروتكلي است براي استفاده از وب سايت ها اما تفاوت htps با http در اين است كه https ميان كلاينت كاربر و سرور وب اطلاعات را رمز نگاري مي كند و اين رمز نگاري توسط certificate اي كه آن سايت به شما مي دهد اتفاق مي افتد . اما در صورت استفاده از پروتكل http ديتاي تبادل شده ي شما به سرور وب به صورت plain text تبادل شده و اگر شخصي ميان كلاينت شما و به طور مثال مودم اينترنت شما مي تواند isp و … باشد ) واقع شود و شروع به عمليات arp poisoning نمايد ( در اين روش مهاجم آدرس مك gateway شما رو جاي مك آدرس كارت شبكه ي خودش جا ميزند و به اصلاح شروع به sniff كردن ميكند بعني تمامي ترافيك اي كه قرار است به سمت مودم اينترنت برود ابتدا به سمت اين شخص مهاجم مي رود و سپس پكت ها از سيستم هكر به سمت gateway واقعي روانه مي شوند . به اين نوع حمله man in themiddle( mitm ) attack
مي گويند مي تواند پكت هاي ارسالي شما به سرور وب را ديده و اگر اين ديتا ها رمز نگاري نباشند خواندن محتوي آنها براي هكر كار بسيار بسيار راحتي مي شود ، براي همين امر است كه در طراحي اكثر وب سايت هاي مهم ( مانند سرويس دهنده گان ايميل و با اينترنت بانك ها و يا … ) حداقل هنگامي كه به صفحه ي لاگين و ورود نام كاربر و رمز عبور مي رسيم از پروتكل https استفاده مي كنند . اين نكته را اضافه مي كنيم كه به صادر كنند هاي CA ) CertificateAuthority ) مي گويند و هر شخصي كه بخواهد در وب سايت خودش از certificate استفاده نمايد بهتر است از ca هاي شناخته شده certificate بخرد و در وب سايت خودش قرار دهد.Related image

برخي از اين ca هاي معروف

verisign- godaddy – … حال اين سوال مطرح مي شود كه مگر نمي شود ما خودمان ca باشيم ؟! در پاسخ بايد گفت كه بله اين امكان هست اما اگر certificate مورد استفاده ي ما توسط ca هاي متفرقه صادر شده باشد كلاينت هنگامي كه مي خواهد صفحه ي https ما را browse كند browser آن به او هشدار مي دهد كه certificate مورد استفاده در اين وب سايت valid نيست! پس اين نكته را بايد بدانيم كه سيستم عامل ها و browser ها از قبل به تعداد مشخص و معيني ca اطمينان دارند و زماني كه صفحه اي كه از certificate استفاده مي كند ( ssl page ) را باز نماييم ممكن است كه مشاهده كنيم در محيط url بالاي صفحه ي مرورگر به رنگ سبز رنگ در آيد و اين به معني اطمينان داشتن سيستم ما به certificate مورد استفاده در آن سايت است و اگر محيط url مرورگر به رنگ قرمز درآمد اين بدين معني است كه سيستم ما به آن certificate مورد استفاده اطمينان ندارد ( كه دلايل آن را كاملا در ادامه شرح مي دهيم ) پس مي بينيم كه اگر براي طراحي وب سايت مان كه قرار است در محيطي عمومي publish شود از ca معتبري استفاده نكنيم كاربران هنگام ورود به صفحه ي اين سايت ما هشدار valid نبودن cerfitiface را مي گيرند و احتمالا به آن trust نميكنند. اطلاعات مربوط به Certificate را مي تواند در همان url در قسمت cerfiticate information ديد كه صادر كننده ي اين certificate كيست ؟ براي كجا صادر شده و در چه بازه ي زماني اي valid است . اين نكته را نيز اضافه ميكنيم كه ما ميتوانيم certificate هر cdl را روي سيستم خود در ليست trust ها قرار دهيم تا سيستم ما به آن certificate و صادر كننده ي اطمينان داشته باشد ( اما هنگام add كردن Certificate در trust هاي سيستم بايد دقت داشته باشيم و ca مزبور را بشناسيم ). در بالا اشاره كرديم كه اگر هنگام باز كردن صفحه ي ssl محيط url امان به رنگ قرمز درامد يعني كه اين Cerfiticate مورد اطمينان سيستم ما نيست ، حال ميخواهيم دلايل اين مورد را بررسي نماييم :

  • ممكن است تاريخ سيستم عامل ما تاريخ روز نباشد براي مثال ممكن است تاريخ سيستم ۳ سال اختلاف داشته باشد و certificate مورد استفاده در بازه ي زماني ۲ ساله valid باشد.
  • ممكن است صاحب سايت از certificate متفرقه اي استفاده كرده باشد ( كه در بالا اشاره كرديم اگر آن سايت و ca آن را مي شناختيم مي توانيم آن را در ليست trust هاي خود add نماييم
  • ممكن است مورد حمله ي MITM واقع شده باشيم و شخصي دارد پكت هاي ما را sniff ميكند و اين بدين معني است كه ممكن است شخص يك certificate جعلي را به ما بدهد تا بتواند پسورد و ساير اطلاعات مهم ما را بدست آورد . پس بايد دقت كنيم كه هر certificate اي رو در trust هاي سيستم خود قرار ندهيم كه چه بسا ممكن است آن Certificate مربوط به يك هكر اي باشد كه ميان ما و اينترنت واقع شده است.

از موارد بالا موارد ۳ و ۱ و ۲ به ترتيب مي توانند بيشتر براي ما اتفاق رخ دهند پس خيلي خيلي بايد به مورد ۳ دقت داشته باشيم ! و توصيه براي كاربران عادي اين است كه اگر در محيط url خود ديدند كه certificate مورد اطمينان نيست ( به اصطلاح failed ميشود و در صورتي كه از تاريخ سيستم خود اطمينان دارند كه به روز است بدون اين كه پسورد و نام كاربر خود را وارد كنند آن صفحه را ببندند . و اگر به اشتباه لاگين كردند سريعا از آن محيط sign out كنند و از محيطي كه اين مشكل را ندارد مجددا لاگين كرده و تمامي پسورد ها و ايميل هاي recovery و … را تعويض كنند.