Diferenta dintre http si https

3 iulie 2017
HTTP si HTTPS

HTTP si HTTPS

Am sa va explic in articolul asta care e diferenta dintre http si https si cand ar trebui folosit https in loc de http. Http este protocolul prin care puteti accesa o pagina web si o puteti vedea pe ecranul computerului dumneavoastra. Https face acelasi lucru numai ca face asta securizat, adica anumite date care sunt transmise intre computerul dumneavoastra si server, prin intemediul browserului, sunt securizate. Securizarea inseamna, de fapt, criptare. Criptarea, pentru cei care nu stiu, este procesul prin care se ascund informatii pentru a nu putea fi citite de persoane neavizate.

Https face criptarea datelor care se transmit intre computerul vostru si server. Nu toate datele sunt criptate, sunt criptate doar anumite date ca username si parola, iar criptarea se face pentru a nu fi interceptate de catre rauvoitori. Asa cum va dati deja seama si asa cum vorbeam intr-un articol trecut (http://adesoft.ro/2017/07/02/cum-iti-alegi-o-parola-puternica/) daca un rauvoitor are acces la username-ul si parola voastra la un site, acel cont este compromis. In functie de cat de important este contul, compromiterea poate fi doar a contului respectiv (si a altora pentru care folositi aceiasi parola) sau a intregului site daca contul este unul de administrator. In cazul asta se recomanda inlocuirea rapida a parolei.

Hai sa vedem cum un rauvoitor poate intercepta parola si username-ul vostru! Problema apare atunci cnad folositi diverse retele pentru a va conecta la internet. De exemplu: mergeti intr-o cafenea si va conecatati la reteaua cafenelei. Puteti crede ca e sigura, dar nu e asa. Daca un hacker se afla in spatele acelei retele, adica si-a creat un hotspot wifi gratis si va conectati la el (e foarte simplu de facuta asta, se poate cu un simplu computer si o poate denumi astfel incat sa semene cu cea a cafenelei, pacalindu-va ca e reteaua cafenelei) si are redirectionat tot traficul retelei printr-un server de proxy, deja va poate receptiona toate datele. Acel server de proxy este configurat sa retina toate cererile trimise prin POST si GET. Ca sa intelegeti am sa explic ce inseamna POST i GET. Atunci cand va conctati la un site si completati un formular (de exemplu formularul de autentificare in site) cand ati dat submit pagina trimite datele catre pagina urmatoare, adica va prelua datele din formular si le va trimite catre pagina care verifica autentificarea si da ok-ul sau nu de intrare in site. Exista doar 2 metode de transmitere a datelor: GET, datele se trimit prin link, prelungind lungimea linkului prin adaugarea acestor data sau prin POST, datele nu  se vad de catre utilizator. De obicei datele care se transmit sunt date de conectare, adica username si parola, iar astea s etrimit prin POST. Interpunand un server proxy intre voi si server hackerul poate avea acces la toate datele care se schimba intre voi si server, mai mult, va poate directiona catre site-uri false care sa semene cu cele originale, site-uri pe care el le controleaza, iar voi sa nu va dati seama de asta.

Revenind la http si https, diferenta dintre ele este ca https transmite aceste date criptat, iar http le transmite in clar. In ambele cazuri hackerul va receptiona datele, dar in cazul https le va receptiona criptat si, cel putin teoretic, nu prea are ce face cu ele.

Cand trebuie sa folositi http si cand https? Daca aveti un blog iar utilizatorii nu se logheaza in site, asa cum se intampla la bloguri nu e nevoie de https. Singura conecatre in site, unde ai nevoie de username si parola este sectiunea de administrare, iar acolo te loghezi doar tu, ca si administrator. Daca ai grija de unde si cum te conecatezi, adica daca folosesti retele wifi cunoscute nu va nici o problema (de exemplu folosesti telefonul ca sa te conectezi si nu reteaua cafenelei sau alta retea publica). Daca ai un magazin virtual sau alte aplicatii care cer utilizatorilor sa se autentifice cu username si parola atunci e recomandat sa folosesti https. O sa revin cu un aticol viitor despre cum puteti implemnta https in site sau blog.

Google cere de ceva ani implementarea https in loc de http si depuncteaza siteurile sau blogurile care nu au https. Totusi trebuie sa retineti ca implementarea https nu este gratis, cu toate ca exista si niste variante gratuite care pot fi folosite.

Ca ultima concluzie: evitati pe cat posibil sa va autentificati in site-uri atunci cnad folositi retele publice de wifi, mai ales la siteuri sensibile cum sunt cele de banca. Asa cum va spuneam mai sus, un hacker va poate directiona spre un site fals de banca sa intercepteze datele voastre pe acel site (acolo el controleaza si criptarea https, deci va putea decripta datele) si in paralel sa se conecteze la site-ul real al bancii si sa foloseasca datele voastre pentru a face tranzactii in paralel cu voi.

One Comment

  • chr 8 august 2017 at 8:40

    un spelling pe text nu ar strica

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *