16-05-06 10:21
Da li je SSL konekcija uvijek sigurna?
piše ACO DMITROVIĆ
Surfajući webom, povremeno otvorimo stranicu čija adresa počinje s https://. Radi se, naravno, o http konekciji preko SSL protokola, koji osigurava enkripciju prometa, tako da se sadržaj ne može vidjeti. HTTPS protokol umjesto porta 80 tipično koristi port 443. Korisnik koji nije tehnički orijentiran primijetit će u dnu prozora svog preglednika sličicu lokota, vizuelnu reprezentaciju sigurne konekcije.
HTTPS protokol koristi se kada se na stranici objavljuje forma koja od posjetitelja traži autentikaciju ili upisivanje povjerljivih podataka, kako bi se osiguralo da paketi koji putuju mrežom te podatke prenose u kriptiranom, nečitkom obliku. Korisnik bi trebao svaki put kada se od njega traži unos takvih podataka provjeriti da li se koristi sigurna komunikacija.
No nije sve tako jednostavno kako izgleda. Činjenica da URL počinje s https još ne garantira sigurnost. Stranica kojoj pristupamo na siguran način može uključivati poziv neke druge stranice, ili cgi skripte. Da bismo se uvjerili da je i taj dio komunikacije siguran, treba pogledati izvorni kod stranice. Evo nekoliko različitih primjera pomoću kojih možemo naučiti kako izbjeći zamke internetske tehnologije i uvjeriti se sami da li je veza sigurna.
Loši primjeri
Stranica na adresi http://www.neki-ducan.hr/ koja sadrži poziv login skripte:
<form action="/cgi-bin/login.cgi" method="get">
Ovo je izrazito loš primjer, jer niti korisnikov preglednik ne komunicira sa stranicom dućana preko SSL-a, niti je način pozivanje login skripte siguran.
https://www.neki-ducan.hr/
Početak izgleda dobro, koristi se HTTPS protokol. Ali ako u kodu stranice nađemo ovakvu naredbu, treba nam zazvoniti na uzbunu:
<form action=http://www.neki-ducan.hr/cgi-bin/login.cgi method="get">
Dakle veza se inicijalno uspostavlja na siguran način, ali se zatim inicijalizira nova HTTP sesija koja više nije sigurna!
Dobri primjeri
Moguća je i ovakva kombinacija, koja uspostavlja običnu, nesigurnu vezu, ali zatim otvara novu, sigurnu sesiju za logiranje:
http://www.neki-ducan.hr s ovakvim pozivom forme:
<form action=https://www.neki-ducan.hr/cgi-bin/login.cgi method="get">
Evo i dobrog primjera pronađenog na webu. T-comov dućan prodaje knjige Superknjižare, obje sesije idu preko SSL-a:
<a href=https://shop.t-com.hr/shop.ashx? htscTarget=https://ssl.superknjizara.hr/narudzba1.php&PHPSESSID=278>
Sve u svemu, razumijevanje HTTP protokola i HTML-a, te budnost i provjeravanje koda jedina su garancija da se nećemo opeći.
|