مای ترفند

منظور گوگل کروم از سایت‌های ناامن (Not secure) چیست؟

در نسخه Chrome 68، گوگل کروم تمام وبسایت‌های غیر HTTPS را با عبارت «Not Secure(نا امن)» مشخص می‌کند. چیز خاصی تغییر نکرده است. در واقع سایت‌های HTTP هنوز همان امنیتی که قبلا داشتند را دارند. گوگل فقط در تلاش است تمام وب را به سوی ارتباطات امن و رمزگذاری شده سوق دهد.

روش کار سایت‌های HTTPS امن

وقتی در حال بازدید از وبسایتی باشید که از رمزگذاری HTTPS یا HTTPS encryption استفاده می‌کند، یک علامت «قفل» سبز رنگ و کلمه «Secure» در نوار آدرس بالای صفحه ظاهر می‌شوند.

در طول این نوع ارتباطات، حتی اگر پسورد و شماره کارت اعتباری خود را وارد کنید یا داده‌های مالی مهمی برایتان فرستاده شود، رمزگذاری سایت از امنیت آن‌ها اطمینان پیدا می‌کند. این رمزگذاری باعث می‌شود هیچ فردی، توان دزدی اطلاعات فرستاده شده از دستگاه به سرور وبسایت را نداشته باشد. همچنین می‌تواند از به خطر افتادن داده‌های در حال انتقال به سرورهای وبسایت جلوگیری کند.

این امنیت به این دلیل حاصل می‌شود که وبسایت از رمزگذاری SSL استفاده می‌کند. مرورگر دستگاه هنگام اتصال به وبسایت‌های قدیمی رمزگذاری نشده، از پروتوکل HTTP استفاده می‌کند؛ اما هنگام برقراری اتصال با وبسایت‌های امن، از پروتوکل HTTPS – یا دقیق تر بگوییم: HTTP همراه با SSL – استفاده می‌کند. صاحبان وبسایت‌ها برای اینکه بتوانند از این پروتوکل بهره‌مند شوند، باید تنظیمات HTTPS را روی سایت خود انجام دهند.

HTTPS همچنین مهیا کننده ایمنی در مقابل افراد بد نیتی است که هویت خود را جعل می‌کنند. برای مثال، اگر به وای فای هات اسپات عمومی متصل شوید و سپس سایت Google.com را باز کنید، سرورهای گوگل تاییدیه‌ای امنیتی ارائه می‌دهند که فقط و فقط برای Google.com معتبر است. اما اگر گوگل از HTTP رمزگذاری نشده استفاده می‌کرد، به هیچ صورت نمی‌توانستید تشخیص دهید به سایت Googe.com واقعی وارد شده‌اید یا وارد سایتی جعلی شده‌اید که می خواهد شما را فریب دهد و پسوردها و سایر اطلاعات شما را بدزدد. به عنوان مثال، هنگام متصل بودن به وای فای عمومی، وای فای هات اسپات‌های دزد، می‍توانند افراد را به همچین وبسایت‍های جعلی‌ای هدایت کنند. نحوه بلاک کردن سایت های مزاحم در گوگل کروم را در این مطلب مطالعه کنید.

(در واقع، HTTP به خوبی تاییدیه‌های Extended Validation هویت وبسایت‌ها را تایید نمی‌کند، اما بالاخره از هیچ بهتر است.)

HTTPS سودمندی های دیگری نیز دارد. با وجود HTTPS، هیچ کس نمی تواند آدرس کامل صفحه اینرنتی ای که در حال مشاهده آن هستید را ببیند، آن ها فقط می توانند آدرس وبسایتی که به آن متصل هستید را مشاهده کنند. برای مثال، اگر در حال مطالعه درباره یک بیماری در مسیر example.com/medical_condition باشید، حتی مهیا کننده سرویس اینترنتیتان هم فقط می تواند ببیند که شما به example.com متصل شده اید و نمی تواند بفهمد در حال مطالعه چه مطلبی هستید.

همچنین بخوانید:  وزارت دفاع و امنیت استرالیا استفاده از وی چت را ممنوع کرد

ممکن است بعضی فکر کنند HTTPS سرعت کمتری نسبت به HTTP دارد، اما اشتباه می کنند. توسعه دهندگان در حال کار روی تکنولوژی های نوینی چون HTTP/2 بوده اند تا سرعت جستجوی اینترنتی را بالا ببرند. منتهی نکته آنجاست که HTTP/2 فقط روی ارتباط HTTPS مجاز است، در نتیجه واضح است که HTTPS سرعت بیشتری از HTTP دارد.

اگر وبسایت‌ها رمزگذاری نشده‌اند پس چرا نا امن هستند؟

پروتکل قدیمی HTTP دیگر فسیل شده است. به همین دلیل است که در Chrome 68، هنگام مشاهده وبسایت های HTTP رمزگذاری نشده، پیام «Not Secure» در نوار آدرس نشان داده می‌شود، این در صورتی است که کروم، قبلاً فقط یک علامت «i» که درون دایره ای قرار داشت را برای اطلاع رسانی چنین نوع اتصالی نشان می داد. با کلیک روی عبارت «Not Secure» کروم پیام می دهد: «Your connection to this site is not secure» (اتصال به این سایت امن نیست)

منظور کروم از امن نبودن اتصال این است که سایت به دلیل رمزگذاری نشده بودن، توانایی محافظت از اتصال را ندارد. هر آنچه که از طریق این نوع اتصال فرستاده می‌شود، با فرمت فایل متنی قابل ویرایش (plain text) فرستاده می‌شود. یعنی اتصال شما نسبت به جاسوسی و دزدی اطلاعاتی آسیب پذیر است. اگر اطلاعات خصوصی مانند پسوردها یا اطلاعات پرداخت های مالی را در چنین وبسایت هایی تایپ کنید، افراد ماهر می توانند هنگام انتقال، اطلاعاتتان را به سرقت ببرند.

ضمناً داده هایی که وبسایت هم برای شما می فرستد قابل مشاهده هستند. بنابراین، حتی اگر در حال جستجوی وب باشید، دزدان اطلاعات می توانند ببینند که دقیقا در حال مشاهده چه صفحه ای هستید. مهیا کننده سرویس اینترنتتان هم همین قابلیت را خواهد داشت، و ممکن است اطلاعاتتان را به سرویس های تبلیغاتی بفروشد. حتی! سایر افراد متصل به شبکه وای فای عمومی نیز می توانند بفهمند در حال مشاهده چه صفحاتی هستید. برای محافظت از حریم شخصی آنلاین خود، این مطلب را مطالعه کنید.

یک وبسایت رمزگذاری نشده نسبت به نفوذ نیز آسیب پذیر است. اگر در ارتباط بین شما و وبسایت فردی سومی هم حضور داشته باشد و در حال تغییر اطلاعات فرستاده شده از طرف وبسایت برای شما (یا برعکس) باشد، شما یا وبسایت متوجه نخواهید شد. برای مثال، همچین اتفاقی ممکن است در مواقعی که به وای فای عمومی متصل هستید رخ دهد. اپراتور هات اسپات می تواند جاسوسیتان را بکند، اطلاعات شخصی شما را به دست آورد یا محتوایی که صفحه اینترنت برای شما می فرستد را قبل از رسیدن به دستتان تغییر دهد. به عنوان نمونه، ممکن است فردی در یک صفحه سالم و بی عیب دانلود، لینک دانلود فایل های بدافزار قرار دهد؛ این اتفاق زمانی رخ می دهد که صفحه دانلود، داده هایش را به جای HTTPS از طریق پروتکل HTTP ارسال کند. آن ها حتی می توانند وبسایت های جعلی و متقلبی درست کنند که تظاهر می کنند وبسایت های قانونی و سالم هستند. اگر وبسایت های قانونی از HTTPS استفاده نکنند، هیچ راهی وجود ندارد که بتوان فهمید وبسایت مورد نظر جعلی است یا حقیقی.

همچنین بخوانید:  بهترین افزونه‌ها برای مدیریت تب‌ها در فایرفاکس

چرا گوگل همچین تغییری ایجاد کرده است؟

گوگل و سایر کمپانی‌های وب همچون موزیلا، مدت زیادی است که در حال کار بر روی کمپین‌هایی با موضوعیت انتقال وب از HTTP به HTTPS هستند. HTTP امروزه تکنولوژی‌ای منسوخ به شمار می‌رود که دیگر نباید مورد استفاده قرار گیرد.

در آغاز کار، فقط چند وبسایت محدود از HTTPS استفاده می کردند. وبسایت بانک ها و سایر وبسایت های حساس از HTTPS استفاده می کردند. همچنین هنگامی می خواستید برای ورود به وبسایتی پسوردی وارد کنید یا شماره کارت اعتباریتان را تایپ کنید به صفحات HTTPS بازهدایت می شدید. همین بود و بس.

در آن زمان، اعمال HTTPS برای صاحبان وبسایت ها کمی هزینه بردار بود و اتصالات امن HTTPS نسبت به اتصالات HTTP سرعت کمتری داشتند. به همین دلیل، اکثر وبسایت ها از HTTP استفاده می کردند، اما همانطور که گفتیم این پروتکل در اتصال، امکان جاسوسی و نفوذ اطلاعاتی ایجاد می کرد. وجود این پروتکل، استفاده از هات اسپات وای مکان های عمومی را تبدیل به عملی ریسک پذیر کرده بود.

برای ایجاد حریم شخصی، امنیت و تایید هویتی، گوگل و سایر کمپانی ها قصد انتقال وب به HTTPS را کردند. آن ها روش های زیادی برای این امر، به کار برده اند: در حال حاضر، با تشکر از توسعه دهندگان تکنولوژی، HTTPS سرعت بیش تری از HTTP دارد و صاحبان وبسایت ها می توانند برای رمزگذاری وبسایت هایشان، به صورت رایگان گواهی های SSL دریافت کنند. سایت Let’s Encrypt به صورت رایگان این تسهیلات را فراهم می‌کند. گوگل وبسایت های دارای HTTPS را ترجیح می دهد و در نتایج جستجوی گوگل اعتبار بیشتری به آن ها می دهد.

طبق گزارش Google، 75% از وبسایت های بازدیده شده در کروم در سیستم های ویندوز از HTTPS استفاده می کنند.

چیز زیادی تغییر نکرده است. HTTP هنوز همان مشکلات قدیمی اش را دارد. اما تعداد قابل توجهی از وبسایت ها به استفاده از HTTPS روی آورده اند و حالا زمان آن رسیده که استفاده کنندگان پروتکل HTTP را تشویق به تغییر خط مشیشان کنیم. استفاده از HTTPS جستجو در وب را سریع تر می‌کند و همین حین سطح حریم شخصی و امنیت را بهبود می بخشد.

مطالب مرتبط

ارسال یک دیدگاه

آدرس ایمیل شما منتشر نخواهد شد.