Prywatność odszyfrowana #5: Jak HTTPS zapewnia bezpieczeństwo (ale nie prywatne)

Streszczenie:

1. HTTPS zabezpiecza połączenia internetowe. Szyfruje połączenie między przeglądarką a stroną internetową, co utrudnia przecięcie i odczytanie przesyłanych danych.

2. HTTPS chroni transakcje finansowe i poufne informacje. Zapewnia, że ​​dane karty kredytowej i inne dane osobowe są bezpieczne podczas wykonywania zakupów online lub zarządzania konto bankowym.

3. Let’s Encrypt odegrał znaczącą rolę w promowaniu użycia HTTPS. Projekt wydał bezpłatne certyfikaty HTTPS milionom stron internetowych, dzięki czemu HTTPS jest niemal wszechobecny w Internecie.

4. HTTPS jest używany zarówno w połączeniach przeglądarki, jak i połączeniach aplikacji mobilnych. Zapewnia bezpieczeństwo przeglądania stron internetowych i zabezpieczania połączeń z serwerami aplikacji mobilnych.

5. HTTPS ukrywa czynności przeglądania przed dostawcą usług internetowych. Podczas gdy twój dostawca usług internetowych widzi, że odwiedziłeś stronę internetową, nie widzi konkretnych stron, które odwiedzasz ani danych, które wprowadzasz na witrynę spisaną przez HTTPS.

6. HTTPS nie ukrywa metadanych. Nie ukrywa faktu, że odwiedziłeś stronę internetową, częstotliwość wizyt ani czasu trwania pobytu na konkretnej stronie.

7. HTTPS nie zapewnia kompleksowej ochrony prywatności. Nie zapobiega gromadzeniu metadanych ani nie chroni przed właścicielami witryn śledzących twoje działania na swojej stronie.

8. VPN mogą poprawić twoją prywatność wraz z HTTPS. Korzystanie z wirtualnej sieci prywatnej (VPN) może dalej chronić prywatność online, ukrywając adres IP i szyfrując ruch internetowy.

9. Bezpieczne strony internetowe można zidentyfikować za pomocą zamkniętej ikony kłódki na pasku URL przeglądarki. Ten wskaźnik wizualny zapewnia, że ​​odwiedzana witryna jest zabezpieczona HTTPS.

Pytania:

1. Jaki rodzaj informacji HTTPS tworzy prywatny od dostawcy usług internetowych?

HTTPS szyfruje zawartość adresu URL, w tym ciągi zapytania i wszystko poza domeną. Zatem twój dostawca usług internetowych nie widzi konkretnych stron lub danych, które uzyskujesz dostęp do witryny zabezpieczonej HTTPS.

2. Czy mój dostawca usług internetowych zna cały adres URL (nie tylko domeny) podczas łączenia się ze stroną internetową z HTTPS?

Nie, twój dostawca usług internetowych nie widzi konkretnego adresu URL poza domeną, gdy łączysz. Widoczna jest tylko sama domena.

3. Czy mój dostawca usług internetowych może zobaczyć obrazy załadowane przez witrynę podłączoną do HTTPS?

Nie, twój dostawca usług internetowych nie może przeglądać obrazów załadowanych przez witrynę niezgodną z HTTPS. Jeśli jednak obrazy są hostowane w osobnej domenie, dostępna domena może być widoczna dla ISP.

4. Czy mój dostawca usług internetowych zna subdomenę, którą odwiedzam przez HTTPS?

Tak, dostawca usług internetowych może odwrócić adres IP, aby określić pełną nazwę domeny, w tym subdomena, podczas wizyty witryny za pomocą HTTPS.

Prywatność odszyfrowana #5: Jak HTTPS zapewnia bezpieczeństwo (ale nie prywatne)

Obejmuje to zabezpieczenie wszystkich transakcji finansowych, takich jak dokonywanie zakupów online i zarządzanie kontem bankowym online.

Jaki rodzaj informacji HTTPS tworzy prywatny od dostawcy usług internetowych? [duplikować]

Jak prywatny jest HTTPS dla dostawcy usług internetowych? Na przykład, czy mój dostawca usług internetowych zna cały adres URL (nie tylko domeny) podczas łączenia się ze stroną internetową z HTTPS? Czy mój dostawca usług internetowych może zobaczyć obrazy załadowane przez witrynę podłączoną do HTTPS? Czy mój dostawca usług internetowych zna subdomenę, którą odwiedzam przez HTTPS?

Karolinger

zapytał 19 maja 2015 o 15:25

Karolinger Karolinger

951 4 4 złote odznaki 19 19 Srebrne odznaki 26 26 brązowe odznaki

19 maja 2015 o 15:32

2 Answers 2

Czy mój dostawca usług internetowych zna cały adres URL (nie tylko domeny) podczas łączenia się ze stroną internetową z HTTPS?

• Będą wiedzieć/być w stanie zarejestrować, do jakiego IP dostępu masz za pomocą pakietów TCP/IP przechodzących przez dostawcę usług internetowych. Zawartość adresu URL jest szyfrowana, sznurki zapytania i wszystko po domenie https: //.Przykład/ nie można zobaczyć.
• Jeśli użyłeś serwerów DNS swojego dostawcy usług internetowych do przeniesienia danej nazwy domeny, są one w stanie przeglądać/zarejestrować to bezpośrednio.
• Jeśli użyłeś zewnętrznego dostawcy DNS DNS, aby rozwiązać nazwę domeny, są one w stanie wyświetlić/zarejestrować ją w tranzycie, ponieważ standardowe DNS nie jest szyfrowane. Niektórzy dostawcy usług internetowych wdrażają przejrzyste proxying na standardowych portach DNS, aby zapobiec korzystaniu z DNS innych firm.

Czy mój dostawca usług internetowych może zobaczyć obrazy załadowane przez witrynę podłączoną do HTTPS?

NIE. Jeśli jednak obrazy są hostowane w osobnej domenie, mogą zobaczyć dostęp do domeny, a powyższe obowiązują.

Czy mój dostawca usług internetowych zna subdomenę, którą odwiedzam przez HTTPS?

Trywialne jest odwrócenie rozdzielczości adresu IP w pełną nazwę domeny.

Prywatność odszyfrowana #5: Jak HTTPS zapewnia bezpieczeństwo (ale nie prywatne)

Kiedy surfujesz po Internecie, łączysz się z stronami internetowymi za pomocą protokołu transferu hipertexta (HTTP), opracowanego po raz pierwszy przez Sir Tima Bernera-Lee (który jest teraz członkiem (nowe okno) Proton’Rada Doradcza).

Hypertext Transfer Protocol Secure (HTTPS) to bezpieczna wersja HTTP, przy użyciu protokołu szyfrowania TLS (nowe okno) w celu zabezpieczenia połączeń internetowych. Jest to kamień węgielny wszelkich bezpieczeństwa w Internecie, umożliwiając wiele tego, co uważamy za coś oczywistego w Internecie.

Obejmuje to zabezpieczenie wszystkich transakcji finansowych, takich jak dokonywanie zakupów online i zarządzanie kontem bankowym online.

To nie było’T dawno temu, że większość Internetu była przerażająco niepewna, a większość stron internetowych korzysta z prostego HTTP. Jednak w dużej mierze dzięki non-profit Let’Projekt S Encrypt (New Window), który rozpoczął się w 2015 r. I teraz wydał bezpłatne certyfikaty HTTPS na ponad 265 milionów stron internetowych (nowe okno), korzystanie z witryn HTTPS jest teraz prawie wszechobecne.

HTTPS najczęściej kojarzy się z zapewnieniem, że połączenia przeglądarki ze stronami są bezpieczne, a dla uproszczenia w tym artykule omówimy to w tym kontekście. Jednak HTTPS jest również używany przez aplikacje mobilne do zabezpieczenia połączenia z ich serwerami zaplecza.

Co zabezpiecza HTTPS?

HTTPS zabezpiecza połączenie między przeglądarką a witryną. Jeśli odwiedzasz witrynę internetową przy użyciu zwykłego (niepodległego) HTTP, twój dostawca usług internetowych może zobaczyć wszystko, co robisz na tej stronie-które indywidualne strony odwiedzasz, oraz wszelkie dane, które wprowadzasz (takie jak dane karty kredytowej podczas dokonywania płatności).

Ponieważ wszystkie dane przesyłane między Witryną a przeglądarką są niezaszyfrowane, mogą być przechwycone i odczytane przez hakerów kryminalnych, agencji rządowych lub każdego, kogo dba o spojrzenie.

Jeśli strona internetowa korzysta z HTTPS, wszystkie te informacje są ukryte przed twoim dostawcą usług internetowych. Widzi tylko, że odwiedziłeś stronę internetową – a nie to, co na niej robisz. A ponieważ połączenie między przeglądarką a serwerem WWW jest szyfrowane, dane są bezpieczne wobec stron trzecich. Dzięki powszechnemu pobieraniu HTTPS (patrz poniżej), obecnie zwykle można bezpiecznie używać publicznych hotspotów Wi -Fi bez potrzeby VPN.

Właściciel witryny oczywiście może zobaczyć, co robisz na ich własnej stronie internetowej i (chyba że podejmiesz kroki, aby temu zapobiec, takie jak korzystanie z VPN (nowe okno) w celu ukrycia prawdziwego adresu IP), będzie wiedział, kim jesteś.

HTTPS nie ukrywa się przed zewnętrznymi obserwatorami, że odwiedziłeś stronę internetową (lub użyłeś aplikacji), kiedy ją odwiedzałeś, jak często ją odwiedzałeś, lub jak długo przebywałeś na tej stronie internetowej. Innymi słowy, nie zapobiega zbieraniu metadanych.

Jest to ważne z perspektywy prywatności, ponieważ nie wymaga genialnego odgadnięcia politycznego przynależności kogoś, kto regularnie odwiedza GOP.com (nowe okno), orientacja seksualna kogoś, kto korzysta z aplikacji Grindr lub że ktoś, kto odwiedza strony macierzyńskie, może być w ciąży. Jest to prawda, niezależnie od tego, że ktokolwiek ogląda’Nie wiem, co odwiedzający robi raz na tych platformach.

Można to powiedzieć HTTPS zapewnia bezpieczeństwo online, ale niewiele robi, aby chronić swoją prywatność (Znowu jest to coś, w czym może pomóc VPN).

Jak stwierdzić, czy strona internetowa korzysta z HTTPS

Wszystkie przeglądarki wdrażają miarę bezpieczeństwa, która umożliwia sprawdzenie, jeśli wizyta, którą odwiedzasz, zabezpiecza połączenie za pomocą HTTPS. Po prostu poszukaj zamkniętej ikony zamka na pasku adresu URL. Na przykład:

Przeglądarki wyraźnie pokażą, kiedy witryna nie zostanie zabezpieczona przez HTTPS. Na przykład:

Jak działa HTTPS?

HTTPS zabezpiecza połączenie między przeglądarką internetową a serwerem WWW z szyfrowaniem TLS.

Rzeczywiste stosowane algorytmy szyfrowania są negocjowane między serwerem WWW a klientem (przeglądarka). Większość przeglądarek pozwala kliknąć lub dotknąć ikonę blokady, aby dowiedzieć się więcej szczegółów bezpieczeństwa na temat algorytmów szyfrowania używanych do połączenia HTTPS.

Chrome przeglądarka na Android

HTTPS używa x.509 Infrastruktura klucza publicznego (PKI) w celu negocjowania nowego połączenia. Jest to asymetryczny system szyfrowania, który wykorzystuje kryptografię klucza publicznego do zabezpieczenia wymiany kluczy. Oznacza to, że serwer WWW przedstawia klucz publiczny, który jest odszyfrowany za pomocą przeglądarki’S KLUCZ prywatny.

Aby upewnić się, że przeglądarka łączy się z serwerem, myśli to’S łączący się z (a tym samym zapobieganie atakom Man-in-the-The middle), x.509 korzysta z certyfikatów HTTPS. Są to małe pliki danych, które cyfrowo wiążą witrynę’S publiczny klucz kryptograficzny do organizacji’to tożsamość.

Certyfikaty HTTPS są wydawane przez Urząd Świadectwa (CA), organizację, która (przynajmniej teoretycznie) zweryfikowała, że ​​można zaufać, aby wydawać certyfikaty ważnym organizacjom. To, czy przeglądarka akceptuje certyfikaty HTTPS wydane przez określoną organizację, zależy od programistów przeglądarki.

Od połowy 2020 roku Mozilla Firefox zaakceptował problemy z certyfikatami 52 organów certyfikatów, macOS (a zatem safari) rozpoznał 60 CAS, a Microsoft Windows (a zatem Edge Chromium) 101 CAS.

Jest bezpieczny HTTPS?

Tak. HTTPS zabezpiecza każdy z milionów transakcji finansowych, które występują co minutę na całym świecie. Jeśli https Weren’t bezpieczne, nastąpi globalny krach.

To jest n’Twierdzić, że nie ma problemów z standardem. CAS może być (i został (nowe okno)) presję przez rządy do wydania certyfikatów HTTPS na wątpliwe strony internetowe lub mogą zostać zhakowane przez przestępców w celu wydania fałszywych certyfikatów.

Badania zasugerowały również, że w wysoce ukierunkowanym ataku może być możliwe użycie analizy ruchu HTTPS (nowe okno), aby odkryć poszczególne strony internetowe, które docelowe wizyty na stronach internetowych związanych z HTTPS.

Ponieważ zastosowane szyfrowanie jest negocjowane między klientem a przeglądarką, to’jest również ważne, aby oba z nich działały aktualne oprogramowanie.

Są to problemy, które możemy bardziej szczegółowo omówić w przyszłym odcinku prywatności odszyfrowanego. Najważniejsze jest jednak to, że świat polega na HTTPS, aby zapewnić nam bezpieczeństwo w Internecie, i wykonuje to bardzo dobrą robotę.

Warto jednak pamiętać, że bezpieczeństwo to nie to samo, co prywatność. Jeśli chcesz zachować swoje metadane (które mogą ujawnić ogromną kwotę o tobie) prywatne, to powinieneś chronić za pomocą VPN podczas surfowania po sieci.

Jak twoi dostawcy usług internetowych mogą śledzić Twoją aktywność online?

Twój dostawca usług internetowych może śledzić Twoją aktywność online, patrząc na to, do których stron internetowych logujesz się. To nie’T WAŻDZENIE, czy korzystasz z trybu incognito i odwiedzasz tylko witryny skórne HTTPS… Twój dostawca usług internetowych nadal widzi, na jakich witrynach logujesz się.

Po otwarciu zakładki Incognito w Chrome lub prywatnym oknie w Firefox, pierwszy ekran informuje, że chociaż Twoja historia przeglądania i pliki cookie nie będą przechowywane w tym trybie przeglądania, nadal będziesz widoczny dla swojego rządu lub dostawcy usług internetowych (ISP), tj.mi., Widzą, jakie strony odwiedzasz.

Czytając to zastrzeżenie na pustej stronie takich kart incognito, czy kiedykolwiek zastanawiałeś się, w jaki sposób Twój dostawca usług internetowych może śledzić Twoją aktywność online?

Być może usłyszałeś, że strony internetowe zakręcone HTTPS nie mogą być odczytane przez stronę trzecią, i.mi., nikt inny, oprócz ciebie i strony internetowej’Re -on, możesz określić, co ty’Robienie na tej stronie (jakie strony odwiedzasz, jakie treść widzisz itp.). Czy więc twój dostawca usług internetowych może wiedzieć, jakie strony internetowe Cię’ponowne odwiedzanie, jeśli wszystkie strony, które odwiedzasz, są inkryfrowane HTTPS (w prostych słowach, ich gwiazdy adresu URL z “https: //”)?

Pozwalać’S zacznij od tego, czym naprawdę jest szyfrowanie HTTPS.

Zalecane wideo dla Ciebie:

Jeśli chcesz kupić/licencjonować ten film, napisz do nas na [email protected].

Jaki jest protokół HTTPS?

HTTPS to po prostu stara, dobra HTTP, z dodatkowym ‘S’ na końcu. Podczas gdy HTTP oznacza protokół transferu hipertekstu, dodatkowe “S” w HTTPS oznacza ‘Bezpieczne’. HTTPS jest rodzajem protokołu, w którym zaszyfrowane dane HTTP są przesyłane przez bezpieczne połączenie. Podczas gdy strony HTTP są bardziej podatne na szpiegowanie przez strony trzecie, strony HTTPS nie są, ponieważ szyfrowują twoją komunikację z witryną’reon. Po otwarciu witryny HTTPS w przeglądarce, strona internetowa wysyła certyfikat SSL do tego ostatniego. Certyfikaty SSL (Security Sockets Layer) zapewniają bezpieczną i zaszyfrowaną komunikację między przeglądarką internetową a stroną internetową. Certyfikat SSL zawiera ‘klucz publiczny’ (Zasadniczo długi kod cyfrowy), który jest wymagany do rozpoczęcia bezpiecznej sesji (między Witryną a przeglądarką). W oparciu o tę wymianę, Twoja przeglądarka i strona docelowa wykonują ‘SSL’ uścisk dłoni, który polega na produkcji wspólnych ‘tajniki’ które pomagają ustanowić wyjątkowo bezpieczne połączenie między twoją przeglądarką a witryną. Po ustaleniu tego bezpiecznego połączenia połączenie między przeglądarką a witryną zostaje zaszyfrowane, co oznacza, że ​​żadna strona trzecia nie może uzyskać dostępu do informacji udostępnianych na tej stronie internetowej. Jest to największa zaleta HTTPS w stosunku do HTTP, przynajmniej teoretycznie. W nowoczesnych przeglądarkach, takich jak Chrome i Firefox, zobaczysz ikonę kłódki na pasku adresu przeglądarki za każdym razem, gdy odwiedzisz stronę internetową HTTPS.
Przeczytaj także: jeśli strony internetowe Don’t Przechowuj hasło na ich serwerach, jak mogą powiedzieć ci o sile hasła?

Jak Twój dostawca usług internetowych może zobaczyć Twoją aktywność online?

Jeśli masz połączenie internetowe, oznacza to, że masz dostawcę usług internetowych, ja.mi., dostawca usług internetowych. ISP nie tylko zapewnia połączenie internetowe swoim klientom, ale także go kontroluje… w znaczący sposób! ISP kontroluje cały sprzęt, przez który przepływają dane internetowe, gdy dotrze do komputera. Jako taki może absolutnie ‘Patrzeć’ na których witrynach odwiedzasz online. To nie’ma znaczenie, czy korzystasz z trybu incognito i odwiedzasz tylko witryny chronione HTTPS… Twój dostawca usług internetowych nadal może zobaczyć, na jakich witrynach logujesz się. Widzisz, podczas odwiedzania witryny komputer zapyta serwer DNS (najprawdopodobniej kontrolowany przez twojego dostawcę usług internetowych) o przetłumaczenie nazwy domeny (e.G. “ScienceAbc.com”) na adres IP. Następnie komputer łączy się z serwerem w danym ‘cel’ Adres IP, a potem zaczynają ‘rozmawiając’ z pomocą adresów URL (i.mi., Pobieranie i przesyłanie informacji). Zauważ, że nigdy nie poprosiłeś swojego dostawcy usług internetowych, aby zabrał cię do tych adresów URL; Wszystko, co zrobiłeś, to poproś swojego serwera DNS (prawdopodobnie kontrolowanego przez twojego dostawcę usług internetowych) o konwersję nazwy domeny na adres IP. Gdy to zrobił twój dostawca usług internetowych, reszta komunikacji była między twoją przeglądarką a serwerem strony docelowej, a twój dostawca usług internetowych działał jako listonosz lub komunikator, i.mi., dostarczanie wiadomości do strony, zbieranie jej odpowiedzi, a następnie dostarczanie jej.

Czy mój dostawca usług internetowych może nadal śledzić moją aktywność online, jeśli używam tylko witryn skryfowanych HTTPS?

To na pewno. A w wielu przypadkach tak naprawdę. Jak wspomniano wcześniej, twój dostawca usług internetowych działa jako posłaniec lub listonosz. Bierze twoje listy i pakiety, w których muszą się udać. Teraz szyfrowanie HTTPS z pewnością chroni zawartość twoich listów, ale listonosz nadal musi zabrać od ciebie te listy do adresata. Jako taki musi wiedzieć, gdzie Dokładnie Chcesz wysłać swoje listy, prawda? Innymi słowy, musi znać adres twojego adresat. Krótko mówiąc, twój dostawca usług internetowych może nie być w stanie zobaczyć Co dokładnie ty’Ponownie patrząc na stronę internetową (powiedz, youtube) Jeśli to’shttps-incryfrowane, ale z pewnością to może zobaczyć Zalogowałeś się na YouTube. Tak jak nie możesz ukryć odbiorcy’adres od listonę, nie możesz również ukryć, które strony internetowe Cię’Ponownie dostęp do swojego dostawcza usług internetowych. Istnieją jednak pewne alternatywy, aby zablokować śledzenie ISP, takie jak korzystanie z VPN (Virtual Private Network), które mogą chronić twoją prywatność online. Niestety, często mają one cenę premium, a ich skuteczność i niezawodność są często przyczyną troski użytkowników. Przeczytaj także: Co dokładnie dzieje się podczas wizyty strony internetowej?

Czy HTTPS zapobiega śledzeniu ISP?

Reddit i jego partnerzy używają plików cookie i podobnych technologii, aby zapewnić lepsze wrażenia.

Akceptując wszystkie pliki cookie, zgadzasz się na korzystanie z plików cookie w celu dostarczania i utrzymywania naszych usług i witryny, poprawy jakości Reddit, personalizowanie treści i reklam Reddit oraz mierz skuteczność reklamy.

Odrzucając nieistotne pliki cookie, Reddit może nadal używać niektórych plików cookie, aby zapewnić właściwą funkcjonalność naszej platformy.

Aby uzyskać więcej informacji, zapoznaj się z naszym powiadomieniem o plikach cookie i naszej polityki prywatności .