بایگانی برچسب: s

پروتکل HTTPS و خطرات شنود آن

aliva: اگه پیگیر اخبار اینترنت باشید می‌دونید که هفته پیش خبری مبنی بر جعل گواهی امنیتی گوگل منتشر شد که امنیت کاربران داخل ایران را به خطر انداخت. واسه همین تصمیم گرفتم توضیحاتی ساده در مورد پروتکل HTTPS و گواهی SSL بدم تا بفهمیم که استفاده از HTTPS آنقدرها هم که فکر می‌کنیم کاملاً امن نیست و احتمال نفوذ به اون وجود داره.

این HTTPS که می‌گن چجوری کار می‌کنه؟

شما وقتی یک سایت با پیشوند https را باز می‌کنید کمی با روش معمول باز شدن سایت‌ها فرق داره.
در مرحله اول مرورگر شما گواهینامه SSL سایت مقصد رو چک می‌کنه، یعنی اطلاعات رو به سایتی که از اون گواهی SSL خریداری شده می‌فرسته. سایت فروشنده SSL هم اعلان می‌کنه که این گواهی SSL معتبر است یا خیر. در صورتی که گواهی معتبر بود، مرورگر کار باز کردن سایت رو ادامه می‌ده و در غیر اینصورت پیامی مبنی بر مشکل‌دار بودن گواهی و عدم اعتبار اون نشون میده.
مثلا در سایت بعضی از بانکهای ایرانی بدلیل عدم استفاده از گواهی معتبر با این مشکل مواجه می‌شوید و مرورگر به شما اخطار میده.

حالا که مطمئن شدیم گواهی SSL صحیحه و واقعاً از همین سایته، مرورگر شما یک کد رندوم ایجاد می‌کنه (البته به مقادیری وابسته است و کاملاً رندوم نیست!). سپس ارسال و دریافت اطلاعات شروع می‌شه! اطلاعات در سرور اصلی با استفاده از اون کد ایجاد شده در مرورگر، رمز شده و دوباره به مرورگر فرستاده می‌شه، در آخر اطلاعات توسط مرورگر رمزگشایی شده و شما می‌تونید سایت رو ببینید.
این کد تقریبا مثل رمز فایل‌های فشرده عمل می‌کنه تا کسی رمز رو نداشته باشه نمی‌تونه از محتویاتش مطلع بشه و تنها کسی که این رمز رو داره مرورگر اینترنتی شماست.

کد ایجاد شده از دو بخش تشکیل شده، قسمت Public برای رمزنگاری و قسمت Private برای رمزگشایی اطلاعات استفاده می‌شه. برای رمزگشایی اطلاعات داشتن قسمت Private الزامیه که این بخش فقط در مرورگر اینترنتی قرار داره به همین خاطر سایت اصلی بعد از اینکه اطلاعات رو برای شما رمز کرد خودش هم نمی‌تونه اطلاعات رو بخونه چون قسمت Private رو در اختیار نداره.

ادامه‌ی خواندن