ما هو الـ HTTP؟
في الحالة العادية، يقوم متصفح الإنترنت لديك بنقل المعلومات إلى مخدمات الإنترنت بشكل غير مشفر عن طريق برتوكول يدعى HTTP، وهو مختصر لـ Hypertext Transfer Protocol أي بروتوكول نقل النص التشعبي، وهو البروتوكول الرئيسي لنقل البيانات عبر مواقع الإنترنت والأداة التي تسمح لكم بنقل المعلومات من المخدم لحاسوبكم الشخصي عبر المتصفحات.
ماهي المعلومات المكشوفة في حال استخدام الـ http؟
جميع الطلبات والمعلومات تعتبر مكشوفة لمزود الإنترنت الخاص بكم أو الهاكر الذي يتوسط بينكم وبين الموقع الذي تريدون الدخول إليه عند استخدام الـ http، وهي تبدأ من اللحظة التي تقومون فيها بطلب الموقع، أي تسجيل طلبكم وتسجيل الصفحة التي طلبتم زيارتها. بالإضافة إلى ذلك، في حال قمتم بإدخال كلمة السر وإسم المستخدم سيتم إرسال هذه البيانات كـنص واضح إلى المخدم، مما يعني أنّ مزود خدمة الإنترنت أو الهاكر يمكنهما الإطلاع على كلمة السر ايضاً.
وعند عودة ناتج طلبكم أيضاُ – أي فتح الصفحة التي طلبتموها – يستطيع مزود خدمة الإنترنت الإطلاع عليها.
طلبات الـ http كما يراها مزود خدمة الانترنت الخاص بكم
فمثلاً إذا كنتم تريدون تصفح الفيسبوك، وأدخلتم إسم المستخدم وكلمة السر، فإن هذه المعلومات الحساسة ستنتقل بشكل نص واضح عبر شبكة الإنترنت، وبالتالي تصبح مكشوفة لأي شخص يترصّدكم.
ماهو الـ https؟
Https هو مختصر لـ Hypertext Transfer Protocol Secure أي بروتوكول النص التشعبي الآمن، وهو مزيج من بروتوكول الـ http، الذي تحدثنا عنه أعلاه، بكل تفاصيله، وبروتوكول الـ SSL/TLS الذي يقوم بإنشاء قناة مشفرة وآمنة ما بين المستخدم ومخدم الإنترنت من أجل نقل بيانات الـ http ضمنها.
باستخدام هذا البرتوكول، يتم نقل كل البيانات الخارجة من جهازكم بشكل مشفر ليتم فك تشفيرها في مخدم الإنترنت، كما يقوم المخدم بتشفير البيانات قبل إرسالها إليكم ليقوم البرتوكول بعد ذلك بفك تشفيرها.
يجب التنبّه إلى أنّ الرابط يبدأ بـ //:https، أما الرابط الخاص بالـ http فيكون //:http. ومن أجل الوثوق بموقع على الإنترنت يستخدم الـ HTTPS، يجب أن يقدم الأخير شهادة موثقة وموقعة، حيث يقوم متصفح الإنترنت من التحقق من الشهادة ومصداقيتها وتاريخ انتهائها، فإن اكتشف المتصفح أنّ هناك مشكلة ما بالشهادة، يظهر رسالة تنبيه.
تفاصيل شهادة موقع Google
ملاحظة:
إنّ ظهور أي رسالة تنبيهية بأن الشهادة مزورة قد لا يعني بالضرورة بأنكم ضحية لعملية قرصنة، فقد يكون تاريخ الحاسوب الخاص بكم غير صحيح، أو أن مدير المخدم لم يقم بشراء الشهادة أو تجديدها. ولكن ظهور رسالة الخطأ في موقع مثل فيسبوك أو غوغل والتواريخ لديكم سليمة او اللغة المستخدمة في الموقع هي اللغة التلقائية (الانكليزية) – يعني حتماً وجود عملية قرصنة من أجل سرقة بياناتكم، لذا يجب الخروج من الموقع وعدم الوثوق به إلى أن تزول رسالة التحذير.
ماهي المعلومات المكشوفة في حال استخدام الـ https؟
جميع المواقع التي تقومون بالدخول اليها عن طريق https تكون معروفة، أي سيكون من المعروف أنكم تستخدمون موقع https://facebook.com، ولكن لن يُكشف محتوى نشاطكم، اي لا يستطيع احد أن يعرف الصفحات التي تدخلون اليها داخل فيسبوك (التعليقات الذي تكتبونها، إلخ.)
طلبات الـ https المشفرة كما يراها مزود خدمة الانترنت الخاص بكم
معظم مخدمات البريد الإلكتروني حالياً تدعم الـ HTTPS بشكل تلقائي وكذلك المواقع مثل فيسبوك وتويتر…، ولكن بعض المواقع قد تدعم الـ HTTPS ولكن ليس تلقائياً، وبالتالي حتى تدخلوا إلى هذه المواقع بشكل آمن يجب استبدال HTTP بـ HTTPS عند إدخال أي عنوان.
كما يمكن إجبار متصفح الإنترنت على استخدام الـ HTTPS عند الدخول إلى أي موقع (يدعم https)، وذلك باستخدام إضافة اسمها HTTPS Everywhere .
وهذه الاضافة متوفرة حالياً لمتصفح فيرفوكس وغوغل كروم واوبيرا ومتصفح فيرفوكس لاجهزة اندرويد.
Https Everywhere
بعد التنصيب، توجهوا إلى Tools ثم Add ons ثم Extensions، تأكدوا أنّ HTTPS Everywhere مفعلة.
ثم إذهبوا إلى Tools، إختاروا HTTPS Everywhere ثم Enable HTTPS Everywhere
SSL Observatory
تتوفر أيضاً إضافة مع الـ HTTPS Everywhere اسمها SSL Observatory. هذه الإضافة مسؤولة عن التحقق من شهادات الـ HTTPS المقدمة من قبل المواقع التي تدعم الـ HTTPS. كما يقوم بحماية متصفحكم من هجمات من نوع (الرجل في المنتصف) Man-in-the-middle Attack. في هذه الهجمات، يقوم المهاجم بالتسلل بينكم وبين الجهة التي تتصلون بها، وبالتالي يقوم باستقبال بياناتكم ثم تغييرها وإعادة إرسالها للطرف المستقبل، والعكس. كما يقوم الـ SSL Observatory بالتحقق من الإتصالات غير الآمنة التي قد يقوم متصفحكم بإجراءها مع مواقع مشبوهة وتحذيركم منها.
|
