جلسه ۰۵ : HTTPS چیست و جه اهمیتی در تست امنیت دارد؟

• جزئیات
• نوع محتواآموزشی

سلام به همه پی وی لرنی های عزیز!
به دوره آموزش تست امنیت Security Testing خوش آمدید.
امروزه به صورت گسترده ای از اینترنت و دنیای وب استفاده می شود و جهان ما اکنون یک جهان آنلاین است که در آن بسیاری از مشاغل به سمت اینترنتی شدن پیش می روند. امروزه ما با پدیده های گسترده خرید و فروش در بستر اینترنت رو به رو هستیم؛ نمونه جهانی آن سایت آمازون است و نمونه ایرانی آن هم سایت دیجیکالا است.
خطرات و تهدید های زیادی در اینترنت وجود دارد؛ از هکر هایی که سعی می کنند از طریق روش های گوناگون از جمله فیشینگ اطلاعات کارت بانکی شما را سرقت کنند تا بد افزار هایی که قصد اختلال در سیستم کامپیوتری شما را دارند و البته ویروس های کامپیوتری و تروجان ها و غیره و غیره.
داده ها و اطلاعات کاربران و البته وبسایت ها ممکن است به سرقت برده شوند؛ مورد سوء استفاده قرار بگیرند و یا در فضای عمومی و بدون خواست صاحبان آن عرضه شوند. تست امنیت Security Testing امروزه مبحث داغ امنیت است تا آسودگی خیال افراد را در بستر اینترنت فراهم کند.
در جلسه گذشته با اهمیت HTTP آشنا شدیم و آموختیم که چرا استفاده از آن مهم است.
در این جلسه و در قسمت دوم آشنایی با مبانی HTTP در تست امنیت می خواهیم که نقش HTTPS در تست امنیت چیست.

نقش HTTPS در تست امنیت چیست ؟

HTTPS (پروتکل انتقال Hypertext از لایه سوکت ایمن) یا HTTP over SSL یک پروتکل وب است که توسط Netscape ساخته شده است. این HTTPS یک پروتکل نیست بلکه فقط نتیجه لایه بندی HTTP در SSL/TLS یا Secure Socket Layer/Transport Layer Security محسوب می شود.

به طور خلاصه= HTTPS = HTTP + SSL

چه زمانی به HTTPS نیاز است؟

معمولاً اطلاعات را با استفاده از پروتکل HTTP ارسال و دریافت می کنیم و بنابراین این باعث می شود هر یک هکر بتواند به مکالمه بین رایانه و سرور وب دسترسی داشته باشد. اما بارها پیش می آید که اطلاعات در حال تبادل اطلاعات حساس و مهمی اند که باید از دسترسی شخص سوم (هکر یا سارق اطلاعات) به آن جلوگیری کرد و دسترسی به آن را میان کاربر و وب سرور محدود نمود. در چنین شرایطی است که به Https نیاز پیدا می کنیم در بستر امن آن دسترسی به اطلاعات را برای نفر سوم ببندیم و همین نیز نکته اهمیت وجود Https را به خوبی توجیه می کند.

معمولاً برای موارد زیر از پروتکل Https استفاده می شود:

• وب سایت های بانکی
• درگاه های پرداخت
• سایت ها وب سایت های خرید
• همه صفحات ورود یا Login Pages ها
• برنامه های ایمیل

Https چگونه کار می کند؟

• کلیدهای عمومی و گواهی های امضا شده برای پروتکل HTTPS برای سرور لازم است.
• درخواست کاربر برای صفحه //:https
• هنگام استفاده از اتصال https، سرور با ارائه لیستی از روش های رمزگذاری که وب سرور پشتیبانی می کند که لازم است به اتصال اولیه پاسخ دهد.
• در پاسخ، کاربر یک روش اتصال را انتخاب می کند و کاربر و گواهی های مبادله سرور برای تأیید هویت هویت خود می توانند اقدام کنند.
• پس از اتمام این کار هم وب سرور و هم کاربر، اطلاعات رمزگذاری شده را پس از اطمینان از استفاده ،کلید یکسان را رد و بدل کرده و در این هنگام اتصال بسته می شود.
• برای میزبانی از اتصالات https، یک سرور باید دارای گواهی کلید عمومی باشد که اطلاعات اصلی را با تأیید هویت صاحب کلید جاسازی می کند.
• تقریباً تمام گواهینامه ها توسط شخص ثالث تأیید می شوند تا مشتری اطمینان داشته باشد که کلید همیشه امن است.

HTTPS چگونه کار می کند – نقش HTTPS در تست امنیت چیست

سخن پایانی

در این جلسه با اهمیت HTTPS و نقشی که در تست امنیت دارد و علاوه بر این آموختیم که در چه مواردی باید از HTTPS استفاده کرد.
در جلسه بعدی قرار است با رمزگذاری و رمزگشایی آشنا شویم.
با پی وی لرن همراه باشید.