secure https

В предыдущей статье мы выяснили для чего используется защищенное соединение в интернете, принципы его работы и как узнать, что вы его используете. Однако остался открытым вопрос, действительно ли HTTPS обеспечивает полную безопасность и никто не может перехватить ваши данные? В теории это так, а как на самом деле? Давайте попробуем разобраться с этим вопросом.

Сразу скажем, что на практике все не так однозначно. Несмотря на высокую степень защиты, гарантировать 100% конфиденциальность от всех и всегда невозможно. Зачастую люди сами из-за собственной невнимательности, неграмотности или наплевательского отношения позволяют осуществить MiTM атаку даже когда используется https. Достаточно просто игнорировать соответствующие сообщения браузера, чтобы злоумышленник смог ее осуществить.

Так же стоит отметить тот факт, что иногда перехват https сессии может происходить вполне легально, хотя и не для кражи ваших данных. Это может делать ваш собственный антивирус, в случае если он проверяет зашифрованный трафик. Вклиниваясь между браузером и сайтом, он разбивает сессию на две, используя для этого собственный сертификат, что, однако может приводить к проблемам. Конечно, он не отправляет ваши пароли кому-либо, но только по тому, что в него не добавили такой функционал.

В качестве другого примера можно привести ситуацию компьютера в корпоративной сети. В этом случае часто используется корпоративный прокси для контроля над трафиком организации. Вполне нормальное желание, правда с HTTPS соединениями возникает небольшая проблема. Хотя это тоже решаемо, достаточно иметь в организации свой собственный центр сертификации, который выдаст соответствующий сертификат прокси-серверу. Осталось только сделать так, чтобы компьютеры доверяли данному сертификату.

Учитывая, что речь идет о компьютерах организации администраторам будет сделать это не проблема. В итоге в браузере все зеленое, но на самом деле вы общаетесь с прокси, а он в свою очередь от вашего имени с конечным сайтом. Правда, вы можете заметить это, если обратите внимание кому выдан сертификат, хотя много ли людей обращает внимание на такие мелочи. Хотя и эту нестыковку можно обойти, поскольку существуют программы позволяющие создавать SSL-сертификаты на любое имя прямо на лету.

В итоге у работника данной организации будет полная иллюзия защищенного соединения с интернет-магазином или банком, а в реальности он будет общаться с прокси работодателя со всеми вытекающими из этого последствиями. В данной ситуации остается надеяться только на порядочность админов вашей организации, что они не воспользуются данными вашей кредитки или просто не пользоваться служебным компьютером в личных целях.

Аналогичная ситуация возможна в случае использования мобильного интернета на устройствах, продаваемых непосредственно мобильным оператором, поскольку в них могут быть зашиты соответствующие сертификаты, которым будет доверять ваше устройство. В конце концов возможен взлом самого центра сертификации или выдача им по каким-то причинам сертификатов, лицам которым они принадлежать не должны. Скандалы такого рода уже случались.

Как мы видим, приведенные примеры демонстрируют, что в реальности о 100% надежности говорить не приходится. При определенных условиях вклинивание в HTTPS соединение без ведома пользователя все-таки возможно. Другое дело, что для этого требуются довольно специфические условия, выполнить которые не так просто. Поэтому от обычных хакеров защищенное соединение вполне обеспечивает защиту.

 

Добавить комментарий


Защитный код
Обновить