HTTPS Güvenlik ve Sahtekarlık - Orta Saldırıda Adam

HTTP, Köprü Metni Aktarım Protokolü anlamına gelir ve İnternet`te yaygın olarak kullanılır. Bu protokol için İnternet`in ilk yıllarında giriş kimlik bilgilerini sormak iyi bir şeydi çünkü farklı web siteleri için giriş bilgilerinizi çalmak için veri paketlerinizi koklatan insanlar çok fazla tehlikesi yoktu. İnsanlar tehlikeyi algıladığında, HTTPS (HTTP Secure) icat edildi. Bu, sizin (istemci) ve etkileşimde bulunduğunuz web sitesi arasındaki veri alışverişini şifreler.

Oku: HTTP ve HTTPS arasındaki fark.

Birkaç yıl öncesine kadar, HTTPS, bir kişi tarafından HTTPS`nin sahteciliğinin yanlış olduğunu kanıtlayana kadar kusursuz olarak kabul edildi. Bu, bağlantının hala şifrelenmiş olduğuna inandırmak için HTTPS güvenlik anahtarını taklit eden biri tarafından iletişimin ortasında veri paketlerinin engellenmesiyle gerçekleştirildi. Bu makalede HTTPS sahtekarlığı , iyi bilinen şirketlerin bile sizi izlemek ve faaliyetlerinizi snoop yapmak için tekniğini kullandı. Orta Saldırıdaki Adamı `yı anlamadan önce, hiçbir şeyin yanlış olduğuna inandırmak için sahte olan HTTPS sertifika anahtarını bilmeniz gerekir.

HTTPS Web Sitesi Sertifika Anahtarı

nedir? Web sitelerine “fitness” sertifikası sunan belirli Sertifika Yetkilileri. “Fitness” faktörünü belirleyen birçok faktör vardır: şifreli bağlantı, virüssüz indirme ve diğer birkaç şey. HTTPS, işlem yaparken verilerinizin güvende olduğu anlamına gelir. Esas olarak, HTTPS, e-ticaret mağazaları ve e-posta siteleri gibi sizin için özel olan verileri / bilgileri olan siteler tarafından kullanılır. Facebook ve Twitter gibi sosyal paylaşım siteleri de HTTPS kullanıyor.

Her sertifikada, o web sitesine özgü bir anahtar var. Bir web sitesinin sertifika anahtarını web sayfasına sağ tıklayarak ve SAYFA BILGILERI öğesini seçerek görüntüleyebilirsiniz. Tarayıcıya bağlı olarak, farklı iletişim kutularına sahip olacaksınız. SERTİFİKA ve sonra THUMBPRINT veya FINGERPRINT arayın. Bu, web sitesinin sertifikasının benzersiz anahtarı olacaktır.

HTTPS Security and Spoofing

HTTPS ile ne kadar güvendiğinize geri döndüğünüzde, sertifika anahtarı müşteri ve web sitelerinin ortasında üçüncü taraflarca sahtekarlığa uğrayabilir. Sohbetlerinize bu şekilde bakma tekniği, Ortada İnsan olarak adlandırılır.

Tarayıcınızın HTTPS`ye nasıl gönderildiğini buradan görebilirsiniz: GİRİŞ düğmesine / bağlantısına tıklarsanız veya URL’yi yazarsınız. İlk durumda, doğrudan HTTPS sayfasına gönderilirsiniz. URl`de yazdığınız ikinci durumda, HTTPS`ye yazmazsanız, DNS otomatik yönlendirmeyi kullanarak sizi HTTPS sayfasına yönlendiren bir sayfaya gider (302).

Ortadaki Adam`ın belirli yöntemleri vardır. HTTPS yazmış olsanız bile web sitesine erişmek için ilk isteğinizi yakalayın. Ortadaki Adam tarayıcınızın kendisi olabilir. Opera Mini ve BlackBerry tarayıcıları, iletişimi baştan başlatmak ve daha hızlı göz atmak için sıkıştırılabilmeleri için şifresini çözer. Bu teknik yanlış - benim görüşüme göre - dinlemeyi kolaylaştırdığı gibi, ancak şirketler hiçbir şeyin kaydedilmediğini söylüyorlar.

Bir URL yazdığınızda, bir bağlantıyı veya yer imini tıklattığınızda, tarayıcıdan bağlantı kurmasını istersiniz (tercihen) Web sitesinin güvenli sürümü ile. Ortadaki Adam, Sertifika Veren Kurumdan bağımsız olarak, web sitesi sertifikaları aynı formatta olduğu için hatalı olarak tanımlanması zor bir sahte sertifika oluşturur. Ortadaki Adam bir sertifikayı başarılı bir şekilde taklit eder ve “Tarayıcınızın zaten güvendiği Sertifika Yetkilileri” ne karşı kontrol edilen bir THUMBPRINT oluşturur. Yani, sertifikanın tarayıcınızın güvenilir sertifika yetkilileri listesine eklenen bir şirket tarafından verildiği anlaşılmaktadır. Bu, sertifika anahtarının geçerli olduğuna ve Ortadaki Adam`a şifreleme verileri sağladığına inanır. Böylece, Ortadaki Adam şimdi o bağlantı üzerinden gönderdiğiniz bilgileri şifresini çözme anahtarı vardır. Ortadaki Adam`ın diğer tarafta da internet sitenize bilgi göndererek, içtenlikle okuyabildiği gibi okuyabildiğini unutmayın.

Bu Web Sitesi HTTPS sahtekarlığını ve nasıl çalıştığını açıklar. Ayrıca HTTPS`nin tamamen güvenli olmadığını gösterir. İyi eğitimli bilgisayar uzmanı olmadıkça Ortada bir Adam olduğunu bilmemize izin veren birkaç araç var. Ortak adam için, GRC web sitesi THUMBPRINT`i almak için bir yöntem sunar. GRc`deki THUMBPRINT sertifikasını kontrol edebilir ve daha sonra PAGE INFO kullanarak aldığınızla eşleştirebilirsiniz. Eşleşirse, sorun değil. Yapmazlarsa, Ortada bir Adam var.