HTTPS - 默认情况下不会保护哪种数据

HTTPS如何保护您的数据,并且该信息处于危险之中。

由Csirt.ubi的创始人Pedro Tavares&网络安全博客seguranca-informatica.pt.

 

目前,Web流量采用了一个标准和广泛的协议,以通过Internet更安全地维护连接 - HTTPS。

在过去,安全连接(HTTP安全)与金融交易,在线购物(电子商务),身份验证/登录页面等相关联。

当时,Web设计人员认为,无需在加密时重载TCP连接“信息交换”仅包括基于HTML的页面,没有嵌入信息的敏感信息。

随着网站变得更加功能,动态和复杂的,这种现实已经迅速变化。用户希望其财务数据受到保护,但其他事情也需要保密。例如,它们在社交网络帖子中写的内容,通过电子邮件发送的内容,以及用户在互联网上所做的其他正常情况。

今天,我们有更多的网站与https。这一变化已经如此之快,谷歌在2018年7月标记了所有HTTP网站。

回到2014年,在I / O会议中,HTTPS协议被称为在互联网上传播各种流量的新优先级。立即采取措施通过谷歌采取了第二年。公司开始通过其搜索引擎(Google.com)来评估查询的所有类型的HTTP搜索结果。

一年之后,通过HTTP协议通过信用卡的网站提供不安全的身份验证模块或付款信息,将是“identified” as not secure.

谷歌确认,随着Chrome 68的推出,所有不使用HTTPS的网站都将被识别为“not secure”.

在HTTPS连接中保护的是什么?

HTTPS只是SSL(或今天,TLS)的HTTP。详细地: HTTP +安全结果在HTTPS中.

TCP / IP是一种用于现代网络的还原OSI映射,其中七个原始图层减少到四个。

四层TCP / IP模型具有称为网络接口的最低层,其中执行诸如以太网等协议。

从上图,有一个名为网络的层。这里,操作协议,如ARP,ICMP(Ping)和Internet协议(IP)。该模型由传输层(TCP和UDP)组成,最后应用层,我们每天都交互的应用层!此外,HTTP和HTTPS在这里工作。

在HTTPS协议中,TLS在HTTP下运行,因此加密所有HTTP通信。这些通信是例如,URL,cookie,Web内容,属性 - 基本上,一切。

但重要的是要意识到TCP / IP应用层下面的一切都没有加密。例如,服务器端口,IP地址,以太网地址,即两个或多个主机之间的连接中所需的任何类型的信息。

HTTPS协议只加密HTTP请求的全部内容(消息,cookie,网页的正文) - 在用户之间交换的信息’S计算机(客户)和,例如,社交网络平台(服务器)。

流量是加密端到端的,默认情况下允许隐私和机密性。但是,可以防止某人声称是Facebook并窃取用户数据,例如,在Cyber​​-Cafeb无线网络中? - 答案是证书。

HTTPS可以用两种模式使用:简单而相互

最常见的是,它以简单模式使用,其中服务器仅对客户端进行身份验证。为此,客户端必须具有证书,它用于验证服务器证书。

这些证书提供给所有互联网浏览器并由证书颁发机构(CA)签名。使用服务器建立连接时,服务器提供证书,客户端验证服务器是否验证’S证书有效。为此,客户端依赖于CA签名证书。

没有保护什么样的数据?

HTTPS允许您验证客户是否是“talking”他们认为是谁和“hides”谈话的内容。

但是,它没有隐藏以下数据:

  • 对话发生的次数
  • 与谁进行一次会谈(建立了哪些网站沟通–Facebook,Gmail等)
  • 你多久保持一次触感
  • 估计发送的消息大小的能力
  • 目标服务器端口
  • IP地址(客户端和服务器)
  • 您的位置(葡萄牙,美国等)

关于作者

佩德罗·塔瓦雷斯 是一个网络安全专业人员和Csirt.ubi和创始人的创始成员和普斯特 seguranca-informatica.pt.。近年来,他已经投资了信息安全领域,探索和分析了广泛的主题,例如Pentesting(Kali Linux),恶意软件,黑客,网络安全,计算机网络中的IOT和安全性。他也是一个自由撰稿人.Segurançafiginática博客: www.seguranca-informatica.pt..
linkedin: //www.linkedin.com/in/sirpedrotavares
联络我: [email protected]

全球infosec奖项2021

我们在第9年,这些奖项非常受欢迎 - 帮助建立嗡嗡声,客户意识,销售和营销增长机会,投资机会等等。

现在申请