في الحالة العادية، يقوم متصفح الإنترنت لديك بنقل المعلومات إلى مخدمات الإنترنت بشكل غير مشفر عن طريق برتوكول يدعى HTTP، وهو مختصر لـ Hypertext Transfer Protocol أي بروتوكول نقل النص التشعبي، وهو البروتوكول الرئيسي لنقل البيانات عبر مواقع الإنترنت والأداة التي تسمح لكم بنقل المعلومات من المخدم لحاسوبكم الشخصي عبر المتصفحات.
ماهي المعلومات المكشوفة في حال استخدام الـ http؟
جميع الطلبات والمعلومات تعتبر مكشوفة لمزود الإنترنت الخاص بكم أو الهاكر الذي يتوسط بينكم وبين الموقع الذي تريدون الدخول إليه عند استخدام الـ http، وهي تبدأ من اللحظة التي تقومون فيها بطلب الموقع، أي تسجيل طلبكم وتسجيل الصفحة التي طلبتم زيارتها. بالإضافة إلى ذلك، في حال قمتم بإدخال كلمة السر وإسم المستخدم سيتم إرسال هذه البيانات كـنص واضح إلى المخدم، مما يعني أنّ مزود خدمة الإنترنت أو الهاكر يمكنهما الإطلاع على كلمة السر ايضاً.
وعند عودة ناتج طلبكم أيضاُ – أي فتح الصفحة التي طلبتموها – يستطيع مزود خدمة الإنترنت الإطلاع عليها.
طلبات الـ http كما يراها مزود خدمة الانترنت الخاص بكم
- فمثلاً إذا كنتم تريدون تصفح الفيسبوك، وأدخلتم إسم المستخدم وكلمة السر، فإن هذه المعلومات الحساسة ستنتقل بشكل نص واضح عبر شبكة الإنترنت، وبالتالي تصبح مكشوفة لأي شخص يترصّدكم.
ماهو الـ https؟
Https هو مختصر لـ Hypertext Transfer Protocol Secure أي بروتوكول النص التشعبي الآمن، وهو مزيج من بروتوكول الـ http، الذي تحدثنا عنه أعلاه، بكل تفاصيله، وبروتوكول الـ SSL/TLS الذي يقوم بإنشاء قناة مشفرة وآمنة ما بين المستخدم ومخدم الإنترنت من أجل نقل بيانات الـ http ضمنها.
باستخدام هذا البرتوكول، يتم نقل كل البيانات الخارجة من جهازكم بشكل مشفر ليتم فك تشفيرها في مخدم الإنترنت، كما يقوم المخدم بتشفير البيانات قبل إرسالها إليكم ليقوم البرتوكول بعد ذلك بفك تشفيرها.
يجب التنبّه إلى أنّ الرابط يبدأ بـ //:https، أما الرابط الخاص بالـ http فيكون //:http. ومن أجل الوثوق بموقع على الإنترنت يستخدم الـ HTTPS، يجب أن يقدم الأخير شهادة موثقة وموقعة، حيث يقوم متصفح الإنترنت من التحقق من الشهادة ومصداقيتها وتاريخ انتهائها، فإن اكتشف المتصفح أنّ هناك مشكلة ما بالشهادة، يظهر رسالة تنبيه.
تفاصيل شهادة موقع Google
ملاحظة:
إنّ ظهور أي رسالة تنبيهية بأن الشهادة مزورة قد لا يعني بالضرورة بأنكم ضحية لعملية قرصنة، فقد يكون تاريخ الحاسوب الخاص بكم غير صحيح، أو أن مدير المخدم لم يقم بشراء الشهادة أو تجديدها. ولكن ظهور رسالة الخطأ في موقع مثل فيسبوك أو غوغل والتواريخ لديكم سليمة او اللغة المستخدمة في الموقع هي اللغة التلقائية (الانكليزية) – يعني حتماً وجود عملية قرصنة من أجل سرقة بياناتكم، لذا يجب الخروج من الموقع وعدم الوثوق به إلى أن تزول رسالة التحذير.
ماهي المعلومات المكشوفة في حال استخدام الـ https؟
جميع المواقع التي تقومون بالدخول اليها عن طريق https تكون معروفة، أي سيكون من المعروف أنكم تستخدمون موقع https://facebook.com، ولكن لن يُكشف محتوى نشاطكم، اي لا يستطيع احد أن يعرف الصفحات التي تدخلون اليها داخل فيسبوك (التعليقات الذي تكتبونها، إلخ.)
طلبات الـ https المشفرة كما يراها مزود خدمة الانترنت الخاص بكم
يعتبر الـ Gmail من مخدمات البريد الإلكتروني التي تدعم الـ HTTPS بشكل تلقائي، أما بقية المخدمات مثل هوتميل، فهي تدعم الـ HTTPS ولكن ليس تلقائياً، وبالتالي حتى تدخلوا إلى حساب الهوتميل باستخدام الـ HTTPS، يجب استبدال كلمة HTTP بـ HTTPS عند إدخال أي عنوان:
أما خدمة البريد الإلكتروني من ياهو فتستخدم الـ http في مرحلة ما بعد التحقق من اسم المستخدم وكلمة السر أي أنّ جميع الرسائل البريدية التي تقومون بقراءتها مكشوفة لمزود خدمة الإنترنت، فيما يبقى إسم المستخدم وكلمة السر آمنَين.
كما يمكن إجبار متصفح الإنترنت على استخدام الـ HTTPS عند الدخول إلى أي موقع (يدعم https)، وذلك باستخدام إضافة اسمها HTTPS Everywhere يمكن تنزيلها عبر هذا الرابط. و يتوفر إصدار خاص بالفيرفوكس وآخر خاص بمتصفح الغوغل كروم.
بعد التنصيب، توجهوا إلى Tools ثم Add ons ثم Extensions، تأكدوا أنّ HTTPS Everywhere مفعلة.
ثم إذهبوا إلى Tools، إختاروا HTTPS Everywhere ثم Enable HTTPS Everywhere
SSL Observatory
تتوفر أيضاً إضافة مع الـ HTTPS Everywhere اسمها SSL Observatory. هذه الإضافة مسؤولة عن التحقق من شهادات الـ HTTPS المقدمة من قبل المواقع التي تدعم الـ HTTPS. كما يقوم بحماية متصفحكم من هجمات من نوع (الرجل في المنتصف) Man-in-the-middle Attack. في هذه الهجمات، يقوم المهاجم بالتسلل بينكم وبين الجهة التي تتصلون بها، وبالتالي يقوم باستقبال بياناتكم ثم تغييرها وإعادة إرسالها للطرف المستقبل، والعكس. كما يقوم الـ SSL Observatory بالتحقق من الإتصالات غير الآمنة التي قد يقوم متصفحكم بإجراءها مع مواقع مشبوهة وتحذيركم منها.
لتفعيل الـ SSL Observatory، قوموا بالنقر على Tools ثم HTTPS Everywhere ثم SSL Observatory preferences كما في الصورة:
ثم قوموا بتفعيل الخيار:
Use the Observatory
Use the Observatory
حيث يمكن تفعيل الـ Observatory ليعمل مع خدمة torproject من أجل إخفاء هويتكم، أو يمكن تفعيله ليعمل من دون وجود التور كما توضح الصورة السابقة.
تفعيل الـ HTTPS في الفيسبوك:
بالنقر على السهم في أعلى يمين الصفحة واختيار Account Settings
ثم النقر على Security والنقر على زر Edit بجانب Secure Browsing
ثم تفعيل الخيار Browse Facebook on a secure connection (https) when possible
كما في الصورة.
كما يمكن تفعيل الـ HTTPS في بعض مخدمات البريد الإلكتروني مثل الهوتميل عبر الدخول إلى إعدادات الصفحة
.
.
التعليقات : 0
إرسال تعليق
أخي الكريم، رجاء قبل وضع أي كود في تعليقك، حوله بهذه الأداة ثم ضع الكود المولد لتجنب اختفاء بعض الوسوم.
الروابط الدعائية ستحذف لكونها تشوش على المتتبعين و تضر بمصداقية التعليقات.