Нужен ли HTTPS как стандарт для всех сайтов?

07.03.2012 | 12:34
Повсеместное распространение бесплатного Wi-Fi позволило злоумышленникам красть идентификационные данные прямо во время использования беспроводных сетей. Для решения этого вопроса требуются серьёзные изменения принятых веб-стандартов, считает Джефф Атвуд (Jeff Atwood), автор популярного блога Coding Horror.

Большинство известных сайтов решают эту проблему или за счёт зашифрованного HTTPS-трафика для всех залогиненых пользователей, или предоставляя его как опцию. Например, Twitter не так давно перешёл на зашифрованное по умолчанию веб-соединение.

В пользу идеи повсеместного внедрения HTTPS говорит дешевизна вычислений — они по закону Мура продолжают дешеветь день за днём. В январе 2010 года Gmail перешёл на HTTPS по умолчанию. Ранее это предлагалось в качестве опции, но сегодня все пользователи обмениваются гуглопочтой по HTTPS. Для этого не создавались специальные устройства и не писался специальный софт. На пользовательских компьютерах SSL/TLS задействует менее 1% загрузки CPU, меньше 10 КБ памяти на соединение и менее 2% дополнительного сетевого канала. Некоторые полагают, что SSL занимает много ресурсов CPU, но полученные данные могут разубедить в этом.

Поскольку с использованием HTTPS весь трафик становится зашифрованным, то у злоумышленников исчезает возможность: а) украсть идентификационные cookie; б) узнать, чем вы занимаетесь; в) видеть, что вы набираете на клавиатуре; г) перехватывать данные, которые вы отсылаете или получаете... И если даже такая возможность не исчезает полностью, то хотя бы минимизируется. И не важно, пользуетесь вы защищенной Wi-Fi сетью или нет.

Правда, за всё нужно платить, и безопасность — не исключение. HTTPS неизбежно должен работать медленнее обычного HTTP. Но насколько медленнее? Так сложилось, что зашифрованный контент не кэшируется некоторыми браузерами, но сейчас большинство уже научилось это делать. Также есть SSL False Start, который требует современного браузера, но зато уменьшает задержку, присущую «рукопожатию», без которого не начнёт работу SSL. Конечно, защищённое соединение всегда будет работать медленнее незащищённого, но разница между ними сокращается буквально ежедневно.

Так что можно говорить о том, что в обозримом будущем (не завтра, конечно, и даже не через год) защищённые соединения станут стандартом для общения сайтов со своими залогиненными пользователями.

Впрочем, это будущее можно приблизить — по крайней мере, для себя. Уже сейчас пользователи Mozilla Firefox и Google Chrome могут установить дополнение HTTPS Everywhere, которое защищает соединение со многими популярными сайтами. Те, кто установит это дополнение, смогут не только повысить свою безопасность, но и помочь улучшить безопасность всей Всемирной паутины благодаря базе данных SSL Observatory. Поставив в настройках «птичку» для её использования (что, кстати, предлагает активно сделать и Tor), вы будете отсылать сертификаты аналитикам из Electronic Frontier Foundation (EFF), которые с их помощью будут искать проблемы в инфраструктуре веб-криптографии.

Впрочем, как советует EFF, лучше всех защищены те, кто хорошо разбирается в том, как работают используемые ими средства защиты. Для иллюстрации защиты, которую представляют Tor и HTTPS они предлагают изучить вот эту схему (если нажать кнопку Tor или кнопку HTTPS, или обе сразу, то вы увидите, как изменяется набор данных, заметных для постороннего наблюдателя).
HTTPS, стандарт
По материалам xakep.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код