Archive for the ‘https’ Category

Η Google χαρακτηρίζει τα websites που έχουν http στη διεύθυνση τους, ως μη ασφαλή!

Εδώ και καιρό θα έχετε δει σε πολλές ιστοσελίδες ότι τα SSL πιστοποιητικά είναι απολύτως απαραίτητα, τόσο για την ασφάλεια των επισκεπτών ενός διαδικτυκού τόπου, όσο και για την διαχείριση της καλύτερης εμφάνισης στις αναζητήσεις στο Google, το γνωστό S.E.O. [Search Engine Optimization]. Αυτή η πληροφορία είχε προκύψει από επίσημη ανακοίνωση από την  Google το 2014, όπου επισήμανε ότι το HTTPS αποτελεί κριτήριο κατάταξης για τα αποτελέσματα αναζήτησης.

Σύμφωνα με ανακοίνωση της Google, στις αρχές του 2017, τo SSL δεν αποτελεί πλέον επιλογή. Είναι απαραίτητο για όλα τα websites! Αυτό γιατί στο πρόγραμμα περιήγησης της Google, τον Chrome, που έχει γίνει ο δημοφιλέστερος σε χρήση [αν και όχι τόσο φιλικός στους αρχάριους χρήστες], από 27 Οκτωβρίου 2017, θα επισημαίνει αρνητικά όσα websites δεν χρησιμοποιούν κρυπτογράφηση – δεν έχουν δηλαδή ενεργό SSL πιστοποιητικό ασφαλείας. Ποτέ μέχρι τώρα οι συνδέσεις HTTP δεν είχαν χαρακτηριστεί ως “μη ασφαλείς”. Τα πράγματα, όμως, αλλάζουν.

Όσες ιστοσελίδες έχουν ήδη εγκατεστημένο SSL ανταμείβονται από τη Google με καλύτερη θέση στη σειρά αναζητήσεων και έχουν πλέον το χαρακτηριστικό πράσινο λουκετάκι ασφαλείας στη γραμμή διεύθυνσης τους [URL]. Από 27 Οκτωβρίου 2017 όσες ιστοσελίδες δεν διαθέτουν SSL (non-encrypted) θα χαρακτηρίζονται από τον Google Chrome με αρνητικούς δείκτες ασφάλειας και τη φράση ‘not secure’ στη διεύθυνση τους [URL]! Παλαιότερα ο Google Chrome επισήμαινε τις HTTP σελίδες με έναν ουδέτερο δείκτη, που δεν έδειχνε έλλειψη ασφάλειας.

Το επόμενο βήμα από την Google είναι η προειδοποίηση ‘not secure’  να επεκταθεί και στις ανώνυμες επισκέψεις ιστοσελίδων,  όπου σε αυτές οι χρήστες έχουν υψηλότερες απαιτήσεις ασφάλειας δεδομένων. Τελικός στάδιο θα είναι να χαρακτηριστούν ‘not secure’ όλες οι HTTP σελίδες και να αλλάξει η ένδειξη τους σε κόκκινο προειδοποιητικό τρίγωνο, το οποίο χρησιμοποιείται μέχρι τώρα για τις μη σωστές ασφαλείες σελίδες HTTPS.

Εάν μία HTTP σύνδεση δεν είναι ασφαλής (HTTPS) μέσω SSL πιστοποιητικού, πρακτικά σημαίνει ότι αυξάνονται οι πιθανότητες απάτης ενός χρήστη που επισκέπτεται το site, καθώς οι hackers μπορούν να υποκλέψουν ευκολότερα πληροφορίες σύνδεσης, passwords ή στοιχεία πιστωτικών καρτών.

Έρευνες έχουν δείξει ότι οι χρήστες δεν αντιλαμβάνονται την έλλειψη συμβόλου ασφαλείας ως προειδοποίηση, ενώ τείνουν να αγνοούν προειδοποιήσεις που εμφανίζονται πολύ τακτικά. Για τους παραπάνω λόγους, η Google στην νέα έκδοση του Chrome θα κάνει χρήση του κόκκινου προειδοποιητικού τριγώνου!

Γιατί είναι σημαντικό να έχει μία ιστοσελίδα SSL (HTTPS);

Κυρίως για ασφάλεια! Το HTTPS εξασφαλίζει ότι όταν ένας χρήστης φτάνει σε ένα website, τα δεδομένα του είναι κρυπτογραφημένα μέσω του πρωτοκόλλου ασφαλείας που χρησιμοποιείται. Για να εφαρμοστεί το HTTPS χρειάζεται ο ιδιοκτήτης του site να εγκαταστήσει στο site ένα SSL πιστοποιητικό.

Το HTTPS έχει πολλά πλεονεκτήματα συγκριτικά με το HTTP:

Always-on SSL (AOSSL): μία πρακτικά καλύτερη μέθοδος προστασίας των δεδομένων των χρηστών, αλλά και εξασφάλισης των σελίδων ενός site, των cookies, του API και των sessions

SEO: ο αλγόριθμος της Google ανταμείβει με καλύτερες θέσεις στα αποτελέσματα αναζήτησης όσα site χρησιμοποιούν HTTPS

Επιδόσεις σελίδας: τα sites που χρησιμοποιούν κρυπτογράφηση επωφελούνται από τα πλεονεκτήματα στην ταχύτητα που παρέχει το HTTPS σε συνδιασμό με το HTTP/2 και η ταχύτητα από μόνη της αποτελεί άλλο ένα κριτήριο κατάταξης για τις μηχανές αναζήτησης

Αξιοπιστία: Οι οπτικές ενδείξεις ασφάλειας, πχ. το λουκετάκι, δημιουργούν ένα αίσθημα εμπιστοσύνης στους επισκέπτες, βοηθούν στη μείωση του ποσοστού εγκατάλειψης (bounce rate) μιας σελίδας και στην τυχόν διακοπή μιας αγοράς (abandoned shopping cart).

Δεν έχω ecommerce site, χρειάζομαι SSL;

Ακόμα και όσες σελίδες δεν είναι εμπορικές, χρειάζονται και αυτές SSL. Δηλαδή ακόμη κι αν ένα website δεν έχει  eShop, χρειάζεται να έχει SSL, γιατί η Google θα συμπεριλάβει κάθε είδους website στις αλλαγές της! Ευαίσθητα και προσωπικά δεδομένα δεν διαχειρίζονται μόνο τα ecommerce sites. Κάθε website που σου ζητάει να κάνεις login κρατάει προσωπικά σου δεδομένα. Αυτό φυσικά δεν είναι κακό, εφόσον το εκάστοτε website τηρεί τις προϋποθέσεις ασφαλείας.

Οι σελίδες του διαδικτυακού χώρου helpu.eu είναι πλέον σε ασφαλή server και προβάλλονται με το πρωτόκολλο https.

 

Τι είναι το HTTPS και γιατί είναι τόσο σημαντικό;

Το Διαδίκτυο είναι μία τεράστια πηγή πληροφοριών και ψυχαγωγίας που διαρκώς ανανεώνεται, όμως κατά τις δεκάδες καθημερινές σου περιηγήσεις στον κυβερνοχώρο δεν μπορεί να μην έχεις παρατηρήσει ένα μικρό πράσινο λουκετάκι, το οποίο εμφανίζεται στην γραμμή αναζήτησης του browser σου, δίπλα από το URL της εκάστοτε ιστοσελίδας.

Ίσως να μη το γνωρίζεις, όμως αυτό το μικρό πράσινο λουκέτο παίζει έναν ιδιαίτερα σημαντικό ρόλο όσον αφορά την ασφάλεια των συνδέσεων σου και κατ’ επέκταση των δεδομένων σου.

Γνωρίζεις ήδη ότι οι ISPs (Internet Service Providers ή πάροχοι) μπορούν να εντοπίσουν και να καταγράψουν σχεδόν όλες τις διαδικτυακές σου δραστηριότητες (όπως πχ. την επισκεψιμότητα ιστοσελίδων, το χρόνο παραμονής κα.) όμως δεν μπορούν – ακόμα – να γνωρίζουν και το περιεχόμενο που καταναλώνεις.

Αυτό το περιεχόμενο και οι ιστοσελίδες που το φιλοξενούν μπορεί να εγκυμονούν κινδύνους, οι οποίοι με τη σειρά τους μπορούν να εκθέσουν το σύστημα σου σε netwowrk snoopers, keyloggers και προγράμματα ransomware – αλλοιώνοντας ή υποκλέπτοντας δεδομένα ζωτικής σημασίας.

Για αυτό το λόγο δημιουργήθηκαν κάποιες «αμυντικές γραμμές», συγκεκριμένα δικτυακά πρωτόκολλα σύνδεσης τα οποία χρησιμοποιούνται σε παγκόσμια κλίμακα και υποδεικνύουν πότε μία σύνδεση είναι ασφαλής, ελέγχοντας τις πληροφορίες ασφάλειας κάθε ιστοτόπου.

Το πρώτο από αυτά, το HTTP (HyperText Transfer Protocol δηλαδή Πρωτόκολλο Μεταφοράς Υπερκειμένου), είναι το κύριο πρωτόκολλο που χρησιμοποιείται στους browsers του Παγκοσμίου Ιστού (www.) για τη μεταφορά δεδομένων ανάμεσα σε έναν διακομιστή (server) και έναν πελάτη (client). Οι προδιαγραφές του οριστικοποιήθηκαν το 1991 και σήμερα το πρωτόκολλο αυτό είναι το πλέον καθιερωμένο και διαδεδομένο, σε σημείο που σχεδόν όλοι οι browsers το θεωρούν δεδομένο.

Όταν βλέπεις το HTTP στο browser σου τότε είσαι σίγουρος ότι έχεις συνδεθεί με έναν τυποποιημένο ιστότοπο και δεν έχεις δημιουργήσει σύνδεση υπό άλλο πρωτόκολλο, όπως πχ. FTP (File Transfer Protocol), το οποίο χρησιμοποιείται συχνά από τις βάσεις δεδομένων για την αποθήκευση και μεταφορά δεδομένων.

Άρα λοιπόν το είδος του πρωτοκόλλου, πριν από μια διαδικτυακή διεύθυνση, καθορίζει ακόμα και το είδος της «συναλλαγής» που μπορεί να πραγματοποιηθεί μεταξύ του browser και της συγκεκριμένης ιστοσελίδας.

Τι γίνεται όμως με το πρόσθετο “S” στο HTTPS; Η απάντηση είναι απλή. To S σημαίνει “Secure” δηλαδή ασφάλεια.

Το HTTPS είναι το ουσιαστικά ίδιο με το HTTP – όπως μαρτυρά και το όνομά του – με τη διαφορά ότι διαθέτει μία επιπλέον βαθμίδα ασφαλείας, την SSL (Secure Sockets Layer), μέρος ενός ευρύτερου πρωτοκόλλου ασφαλείας το οποίο ονομάζεται Transport Layer Security (TLS).

Δουλειά του TLS είναι να ελέγχει αν ο ιστότοπος που φορτώνεις στον browser σου είναι πραγματικά αυτός που θέλεις να επισκεφτείς, πχ. ότι το Facebook που βλέπεις μπροστά σου και ετοιμάζεσαι να καταχωρήσεις τα προσωπικά σου δεδομένα (Username, Password) είναι πραγματικά το Facebook και όχι κάποιος «κλώνος» του.

Συν τοις άλλοις, το TLS κρυπτογραφεί όλα τα στοιχεία που διαβιβάζονται σε πραγματικό χρόνο.

Η κρυπτογράφηση είναι μία διαδικασία αρκετά διαδεδομένη τα τελευταία χρόνια και πολλές εφαρμογές, όπως πχ. το WhatsApp, κρυπτογραφούν τα δεδομένα που διακινούνται μέσω της πλατφόρμας τους, ώστε να εξασφαλίσουν τη μέγιστη δυνατή ασφάλεια και ανωνυμία των χρηστών.

Έτσι, εάν κάποιος θέλει να «διαβάσει» το όνομα χρήστη (Username) ή τον κωδικό πρόσβασης (Password) που αποστέλλεις κάθε φορά πχ. στη Google, είτε γιατί θέλει να αποκτήσει πρόσβαση στα μηνύματα του ηλεκτρονικού σου ταχυδρομείου ή να υποκλέψει την ταυτότητα σου στο Instagram, το HTTPS θα τον εμποδίσει!

Και είναι προφανές γιατί οι κωδικοί σύνδεσης ή οι πληροφορίες των πιστωτικών καρτών οφείλουν να κρυπτογραφούνται και να μην αποστέλλονται με τη μορφή απλού κειμένου σε μία ιστοσελίδα – πόσο μάλλον σε ένα ηλεκτρονικό κατάστημα – οπότε αν σκοπεύεις, εν έτη 2017, να ψωνίσεις από e-shop ή άλλη διαδικτυακή πλατφόρμα η οποία δεν διαθέτει HTTPS, καλύτερα να το ξανασκεφθείς.

Επιπροσθέτως, τo HTTPS αποκρύπτει ένα μεγάλο κομμάτι των δραστηριοτήτων σου από τους ISPs και τους κυβερνητικούς οργανισμούς, οι οποίοι μπορούν να δουν τις διευθύνσεις που επισκέπτεσαι, πχ. το Amazon, αλλά όχι και τις αναζητήσεις ή τις υποσελίδες (mini-sites) που μπορεί να επισκεφθείς για όση ώρα βρίσκεσαι εκεί.

Πολλά mobile apps χρησιμοποιούν τα ίδια ακριβώς πρωτόκολλα για να κάνουν τις συνδέσεις τους ασφαλείς και κρυπτογραφημένες, αλλά δυστυχώς οι χρήστες δεν έχουν τρόπο να τσεκάρουν πότε και αν γίνεται αυτό.

Το μόνο σίγουρο είναι ότι εφαρμογές μεγάλων οργανισμών και εταιρειών, όπως του Facebook, της Google ή της τράπεζας σου, χρησιμοποιούν τα παραπάνω όμως δεν μπορούμε να σου εγγυηθούμε το ίδιο και για τις εφαρμογές που προέρχονται από μικρά software houses ή ανεξάρτητους developers, απλά, μπορούμε να το υποθέσουμε.

Αφού λοιπόν το HTTPS είναι τόσο καλό, γιατί δεν το χρησιμοποιούμε … παντού; Μην ανησυχείς, κάποια στιγμή θα γίνει και αυτό.

Υπάρχει επιτακτική ανάγκη για καθολική υιοθέτηση του HTTPS, η χρήση του οποίου δυστυχώς απαιτεί λίγο μεγαλύτερη επεξεργαστική ισχύ, ταχύτερες συνδέσεις (bandwidth) αλλά και σωστή υποδομή (software), πράγματα τα οποία δεν είναι αναγκαία σε ιστοσελίδες όπου δεν απαιτείται η υποβολή οποιαδήποτε ευαίσθητης πληροφορίας ή δεν εκτελούνται συναλλαγές. Λογικό.

Αυτό έρχονται να αλλάξουν οι πρόσφατες εκδόσεις του HTTPS και έπειτα το δημοφιλές πρωτόκολλο θα γίνει προσιτό σε όλους.

Τώρα, αν θέλεις  να έχεις όσο το δυνατόν μεγαλύτερη ασφάλεια, η επέκταση (plug-in) HTTPS Everywhere για Chrome και Firefox φροντίζει να συνδέεσαι αποκλειστικά στις HTTPS εκδόσεις των ιστοσελίδων, μία λύση την οποία μπορείς να χρησιμοποιείς αν συνδέεσαι σε δημόσια Wi-Fi δίκτυα, όπου συνήθως υπάρχουν αρκετοί «καλοθελητές»

Θα πεις, οκ, το HTTPS δεν μπορεί να είναι 100% απαραβίαστο … Μάντεψε. Κανένα μέτρο ασφάλειας δεν είναι.

Αλλά τουλάχιστον καθιστά δυσκολότερη την παρακολούθηση των προσωπικών σου δεδομένων από τους χάκερ και όσους φιλοδοξούν να χρησιμοποιήσουν τα προσωπικά σου δεδομένα για προσωπικό τους όφελος, ένα εργαλείο ζωτικής σημασίας για την ασφαλή παραμονή σου στο Διαδίκτυο.

Τα μάτια στο «λουκετάκι» λοιπόν και καλό σερφάρισμα!