الفرق بين HTTP وHTTPS
بروتوكول نقل النص الفائق HTTP
بدأ تطوير البروتوكول من قبل تيم بيرنرز لي في معهد سيرن سنة 1989. تم تطوير وثائق طلب التعليقات بالتنسيق مع مجموعة مهندسي شبكة الإنترنت ورابطة الشبكة العالمية.الهدف الأساسي من بنائه كان إيجاد طريقة لنشر واستقبال صفحات HTML.
نظام HTTP يعمل على نقل البيانات بطريقة يعبر عنها بأنها عديمة الحالة مما يعني سرعة كبيرة في نقل صفحات المواقع من وإلى جهاز العميل، هذا يعني سرعة كبيرة في نقل مواقع الشبكة واستضافة عالية لكافة البيانات أو بمعنى آخر لا يهتم كثيراً بعملية فقد البيانات والحصول عليها أثناء الاتصال.
تكمن المشكلة في بروتوكول HTTP، كما في كثير من البروتوكولات المصممة للإنترنت في عدم أخذ الجانب الأمني في الاعتبار.
من أهم الثغرات الأمنية فيه أن محتويات الصفحات والبيانات المرسلة لها مثل اسم المستخدم وكلمة المرور والبيانات الشخصية التي يتم تعبئتها في النماذج الإلكترونية، يتم إرسالها بطريقة غير مشفرة، وهذا يعني إمكانية التجسس على البيانات المرسلة والمستقبلة من قبل المخترقين بسهولة.
المشكلة الثانية هي عدم وجود آلية للتحقق من هوية الموقع الذي يتم التعامل معه، مما يعرض المستخدم لخطر الوقوع ضحية لأساليب الاصطياد الإلكتروني (phishing)
عند الدخول على موقع يشبه تماما الموقع الأصلي (للبنك مثلا) وقد يتشابه معه في جزء من العنوان مع تغيير بسيط في الحروف.
بروتوكول نقل النص الفائق الآمن HTTPS
يقدم بروتوكول HTTPS (Hypertext Transfer Protocol Secure) الحل لهذه المشاكل وغيرها عن طريق تشفير البيانات المرسلة بين متصفح الإنترنت وبين الموقع، حيث يستخدم بروتوكول SSL/TLS مع بروتوكول HTTP المعتاد.
يتم الاتفاق على المفاتيح المستخدمة في التشفير آليا عند بداية الاتصال (أي عند بداية الدخول على الموقع)، ثم يتم استخدام تلك المفاتيح في التشفير.
وبالإضافة إلى عملية التشفير، فإن بروتوكول SSL يمكنه التأكد من هوية الموقع عن طريق الشهادة الإلكترونية Digital Certificate التي يقدمها الموقع للمتصفح عند بداية الاتصال، والتي تحتوي على معلومات عن الموقع.
يقوم المتصفح بالتأكد من هذه البيانات مثل العنوان وتاريخ صلاحية الشهادة وأن الشهادة لم يتم إلغاؤها.
يجب استخدام HTTPS دائما في المواقع التي تتطلب إدخال بيانات مهمة مثل رقم الهوية أورقم بطاقة الائتمان، وكذلك المواقع الخاصة بالبنوك ومواقع الشراء عبر الإنترنت.
كما أن أغلب مواقع البريد الإلكتروني تستخدم هذا البروتوكول لحماية مستخدميها. من المهم التأكيد على أن مجرد كون الموقع يستخدم HTTPS لا يكفي، بل يجب التأكد من صحة الشهادة التي يحملها، وأغلب المتصفحات المعروفة تحذر المستخدم عند عدم صلاحية الشهادة أوعند عدم تطابق هوية الموقع مع بيانات الشهادة، وعند ذلك يجب عدم الاستمرار في تصفح الموقع وعدم إدخال بيانات مهمة إليه
تعليقات
إرسال تعليق