فرادرسچرا گوگل کروم پیام غیر امن بودن (Not Secure) وبسایت را اعلام میکند؟
گوگل کروم از نسخه 68 خود همه وبسایتهای غیر HTTPS را به صورت «Not Secure» اعلام میکند. البته چیزی فرق نکرده است؛ وبسایتهای HTTP همچنان به همان مقداری که قبلاً امن بودند، هم اینک نیز امن هستند؛ اما گوگل کل وب را به سمت استفاده از اتصالهای امن و رمزنگاریشده سوق میدهد.
گوگل در آینده حتی برنامههایی برای حذف واژه «Secure» از نوار آدرس دارد. در نهایت همه وبسایتها باید به صورت امن باشند.
وبسایتهای HTTPS «امن» چگونه عمل میکنند؟
حتی اگر در ارتباط با وبسایتها رمز عبور، شماره کارت بانکی، یا اطلاعات حساس مالی وارد میکنید، این رمزنگاری تضمین میکند که هیچ کس نمیتواند اطلاعاتی که ارسال میشوند را هنگام تبادل بین دستگاه شما و سرور وبسایت ببیند و یا بستههای داده را تغییر دهد.
دلیل این امر آن است که وبسایت طوری تنظیم شده است که از رمزنگاری SSL امن استفاده کند. مرورگر وب شما از پروتکل HTTP برای اتصال به وبسایتهای رمزنگاری نشده سنتی استفاده میکند؛ اما وقتی که به وبسایتهای امن وصل میشود از پروتکل HTTPS به معنی HTTP دارای SSL بهره میگیرد. مالکان وبسایتها باید پیش از آنکه بتوانند از HTTPS استفاده کنند، آن را بر روی وبسایت خود پیکربندی نمایند.
امنیت وایفای عمومی
HTTPS در برابر افراد بداندیش که به دنبال سوءاستفاده از یک وبسایت هستند نیز سد دفاعی ایجاد میکند. برای نمونه اگر از یک هاتاسپات وایفای عمومی برای اتصال به وبسایت google.com استفاده کنید، سرورهای گوگل یک گواهی امنیتی ارائه میکنند که تنها برای دامنه google.com معتبر است. اگر گوگل از HTTP رمزنگاری نشده استفاده میکرد، هیچ راهی برای این که بدانیم به دامنه google.com وصل شدهایم یا سایتی جعلی که برای فریب دادن کاربر و دزدیدن رمز عبورش جعل شده است. برای مثال، یک هاتاسپات مخرب وایفای میتواند افراد را هنگام اتصال به وایفای های عمومی به این نوع وبسایتهای جعلی هدایت کند.
از لحاظ فنی HTTPS هویت وبسایت را تأیید نمیکند و به گواهیهای گسترده اعتباری (EV) نیاز هست. با این وجود بهتر از هیچ است. HTTPS مزیتهای دیگری نیز دارد. وقتی برای اتصال به وبسایتی از پروتکل HTTPS استفاده شود، هیچ کس نمیتواند مسیر کامل صفحههای وبی که بازدید میکنید را ببیند. بنابراین اگر در مورد یک شرایط پزشکی به صفحهای مانند example.com/medical_condition مطالعه کنید، حتی شرکت ISP نیز اطلاعی در مورد مطالب پزشکی که میخوانید نخواهد داشت. اگر از ویکیپدیا بازید کنید ISP یا هر کس دیگری تنها میتواند ببیند که شما در وبسایت ویکیپدیا هستید و نمیتواند بفهمد که چه مقالهای را مطالعه میکنید.
ممکن است فکر کنید که HTTPS کندتر از HTTP است، اما این تصور نادرستی است. توسعهدهندهها بر روی فناوری جدیدی به نام HTTPS/2 کار میکنند که باعث افزایش سرعت مرور وب میشود. HTTPS/2 تنها بر روی اتصالهای HTTPS در دسترس است. همین مسئله باعث میشود که HTTPS سریعتر از HTTP باشد.
چرا وقتی وبسایتها رمزنگاری نمیشوند، ناامن محسوب میشوند؟
HTTP سنتی قدیمی شده است. به همین دلیل در نسخه 68 کروم، پیام «Not Secure» هنگام بازدید از وبسایتهای HTTP در نوار آدرس مشاهده میشود. کروم قبلاً اطلاعاتی به صوت یک «i» درون یک دایره نشان میداد. اگر بر روی متن «Not Secure» کلیک کنید، کروم اعلام میکند که «اتصال شما به این سایت امن نیست».
کروم به این دلیل سایت را ناامن میداند که هیچ گونه رمزنگاری برای حفاظت از ارتباط وجود ندارد. همه چیزهایی که بر روی این ارتباط ارسال میشوند به صورت متن ساده است، یعنی در معرض دستکاری یا مشاهده قرار دارد. اگر اطلاعات خصوصی مانند رمز عبور یا اطلاعات پرداخت را در چنین وبسایتهایی وارد کنید، یک نفر سوم میتواند وقتی اطلاعات بر بستر اینترنت مبادله میشوند، آنها را مشاهده کند.
همچنین اطلاعاتی ک از سوی وبسایت به شما ارسال میشوند نیز قابل مشاهده هستند. بنابراین حتی اگر مشغول مرور وب باشید، افراد میتوانند دقیقاً ببینند که از کدام صفحهها بازدید میکنید. شرکت ISP شما میتواند همه این اطلاعات را به شرکتهای تبلیغاتی بفروشد. افراد دیگری نیز وقتی از وایفای عمومی یک کافیشاپ استفاده میکنید، میتوانند ببینند که به چه مطالبی نگاه میکنید.
حمله مرد میانی
یک وبسایت غیر امن در معرض دستکاری اطلاعات نیز قرار دارد. اگر کسی بین شما و وبسایت قرار بگیرد، میتواند دادههایی را که وبسایت به شما ارسال میکند را دستکاری کند یا دادههایی که شما به وبسایت میفرستید را تغییر دهد. این وضعیت به نام «حمله مرد میانی» نامیده میشود. برای مثال، چنین حالتی هنگام استفاده از یک هاتاسپات وایفای عمومی رخ میدهد. اپراتور هاتاسپات میتواند جزییات شخصی افرادی که به مرور وب میپردازند را ببیند و یا محتوای صفحههای وب را پیش از رسیدن به دست شما تغییر دهد.
برای نمونه فردی میتواند در صورتی که صفحه وبی به جای HTTPS به صورت HTTP برای شما ارسال شود، لینکهای دانلود بدافزار را در یک صفحه دانلود قانونی قرار دهد. اگر این صفحه وب از فناوری HTTPS استفاده نکند، هیچ راهی برای این که متوجه شوید به یک صفحه جعلی وصل شدهاید، وجود نخواهد داشت.
چرا گوگل چنین تغییری ایجاد کرده است؟
گوگل و دیگر شرکتهای وب شامل موزیلا (Mozilla) کمپین بلندمدتی را برای سوق دادن وب از فناوری HTTP به سوی HTTPS آغاز کردهاند. HTTP اینک به عنوان یک فناوری منسوخ شده نگریسته میشود که وبسایتها نباید از آن استفاده کنند.
در ابتدا تنها معدودی وبسایت از HTTPS استفاده میکردند. بانکها و دیگر وبسایتهای حساس میبایست از HTTPS استفاده کنند و شما وقتی میخواهید رمز عبور یا شماره کارت بانکی خود را در وبسایتی وارد کنید، باید به صفحههای HTTPS هدایت شوید.
در آن زمان پیادهسازی HTTPS برای مالکان وبسایتها هزینهای در بر داشت و ارتباطهای HTTPS امن کندتر از ارتباطهای HTTP بودند. اغلب وبسایتها از HTTP استفاده میکردند که امکان مشاهده و دستکاری ارتباط را فراهم میساخت. به همین دلیل استفاده از هاتاسپات های وایفای عمومی کار پر ریسکی محسوب میشد.
سخن پایانی
گوگل و دیگر شرکتهای بزرگ برای تأمین امنیت، حریم خصوصی و اعتبارسنجی هویت به سمت HTTPS حرکت کردهاند. آنها این حرکت را به چند طریق انجام دادهاند: HTTPS به لطف فناوریهای جدید، اینک حتی سریعتر از HTTP است و مالکان وبسایتها میتوانند گواهیهای رایگان SSL را از بنیاد غیرانتفاعی Let’s Encrypt دریافت کنند. گوگل وبسایتهایی که از HTTPS استفاده میکنند را ترجیح میدهد و آنها را در نتایج جستجو در رتبههای بالاتری نمایش میدهد.
بر اساس گزارش شفافیت گوگل 75% از وبسایتهایی که در مرورگر کروم و بر روی سیستم عامل ویندوز بازدید میشوند در حال حاضر از HTTPS استفاده میکنند. اینک زمان آن رسیده است که رویه عوض شود و به کاربرانی که از سایتهای HTTP بازدید میکنند هشدار داده شود.
البته هیچ چیز تغییر نیافته است، HTTP همچنان همان مشکلاتی که همیشه داشته است را دارد. اما وبسایتهای کافی به فناوری HTTPS کوچ کردهاند و زمان آن رسیده است که در مورد HTTP هشدار داده شود و مالکان وبسایتها تشویق شوند تا دست از این فناوری منسوخ بکشند. استفاده از HTTPS موجب میشود که تجربه مرور وب سریعتر شود و امنیت و حریم خصوصی نیز بهبود یابد. همچنین هاتاسپاتهای وایفای عمومی نیز امنتر میشوند.
اگر این نوشته مورد توجه شما قرار گرفته است، پیشنهاد میکنیم موارد زیر را نیز ملاحظه نمایید:
- آموزش امنیت شبکه های کامپیوتری
- آموزش حذف کردن حافظه کش در مرورگرهای اصلی
- آموزش های اینترنت و Internet Download Manager
- راهنمای جامع بهبود امنیت آنلاین و حفاظت از حریم خصوصی
- آشنایی با پروتکلهای رمزنگاری وای فای — چگونه امنیت وای فای خود را افزایش دهیم؟
- آموزش امنیت اطلاعات و رمزنگاری
- آموزش مهارتهای اساسی کامپیوتر
==
