HTTPS — защищенный протокол передачи гипертекста
HTTPS — расширение протокола HTTP, поддерживающее шифрование. Передаваемые по протоколу HTTPS данные зашифрованы, что обеспечивает защиту от прослушивания. HTTPS широко используется в мире и поддерживается всеми популярными браузерами.
HTTPS (HyperText Transfer Protocol Secure) — это не отдельный протокол, а расширение обычного HTTP, работающего через шифрованные транспортные механизмы SSL или TLS. HTTPS обеспечивает защиту от атак, основанных на прослушивании сетевого соединения, то есть от снифферских атак и атак типа man-in-the-middle.
В отличие от HTTP, который по умолчанию использует TCP‑порт 80, для HTTPS используется по умолчанию TCP‑порт 443. Чтобы подготовить веб‑сервер для обработки https‑соединений, администратор должен открыть 443 порт, получить и установить в систему SSL‑сертификат для этого веб‑сервера, а также настроить веб‑сервер для обработки соединений по HTTPS.
Что такое SSL‑сертификат?
SSL‑сертификат — это своего рода «электронный паспорт» сайта, в котором подтверждается, что он действительно тот сайт, за который выдает себя. Сертификат сайта призван дополнительно подтверждать, что этот сайт — действительно сайт банка, платежной системы и т.д. SSL‑сертификат, как и всякий паспорт, хранит различные данные: наименование организации и подразделения, страну, регион, город и имя сервера, для которого данный сертификат был создан.
Также, для нормальной работы HTTPS, SSL‑сертификат должен быть подписан организацией, которой доверяют все. В случае SSL‑сертификатов такими организациями являются центры сертификации. И если сертификат подписан надёжным центром сертификации, то считается, что он содержит правильную и соответствующую действительности информацию.
Сертификат состоит из 2 частей (2 ключей) — public и private. Public‑часть сертификата используется для зашифрования трафика от клиента к серверу в защищённом соединении, private‑часть — для расшифрования полученного от клиента зашифрованного трафика на сервере. В HTTPS для шифрования используются ключи длиной 40, 56, 128 или 256 бит. Реально надёжными являются ключи от 128 бит.
Получение SSL‑сертификата и его стоимость
Стоимость сертификатов сильно разнится в зависимости от центра сертификации и от «навороченности» сертификата, наиболее дорогими являются EV‑сертификаты (Extended Validation Certificates) — их стоимость может составлять более 1000 евро в год, а процесс их получения требует предоставления достаточно объёмного пакета документов.
Если не нужен EV‑сертификат, то стоит обратить внимание на Let"s Encrypt — этот сервис позволяет автоматизировать получение и обновление сертификатов, причём это бесплатно.
Существуют и сертификаты, которые «сделаны своими руками», то есть без участия центра сертификации. Они называются самоподписанными. Технически, они обеспечивают абсолютно идентичное шифрование, но для использования на публичных сайтах самоподписанные сертификаты не годятся, так как для их нормальной работы требуются настройки на стороне пользователя сайта, без них браузер будет сообщать пользователю, что данное соединение не является доверенным.
Тематические статьи
SSH — сетевой протокол для управления серверами
SSH или Secure Shell — сетевой протокол прикладного уровня, позволяющий производить удалённое управление операционной системой и туннелирование TCP‑соединений, например, для передачи файлов или для работы с базой данных.
Весь трафик передаваемый по SSH защищён от подделки и перехвата при помощи алгоритмов шифрования. Также защита SSH весьма гибко конфигурируется, что позволяет избежать многих векторов атак. Всё это делает удалённое управление операционной системой через SSH безопасным.
Информационная безопасность: основные подходы, оценка рисков и затрат
Информационная безопасность — обеспечение конфиденциальности, целостности и доступности информации.
Конфиденциальность — обеспечение исключительно авторизованного доступа к информации: информация не должна предоставляться и не должна раскрываться неавторизованным физическим лицам, организациям или процессам. Целостность — поддержание и обеспечение точности и полноты данных на протяжении всего жизненного цикла: данные не должны быть изменены неавторизованным или незаметным способом. Доступность — обеспечение беспрепятственного доступа к информации авторизованным пользователям: системы хранения и обработки информации, интерфейсы работы с информацией, системы обеспечения авторизованного доступа и каналы связи должны функционировать корректно.
Информационная безопасность — основные угрозы
В статье мы рассмотрим мотивацию атакующих и проведем их классификацию. Также классифицируем основные методы атак, оценим их риски и возможные последствия.
К сожалению, от атак не застрахован ни один веб‑проект. Даже если ваш сайт ничем не интересен профессиональным хакерам (реальных денег нет, данных мало и они не ценные), если проект не вызывает яркие негативные эмоции у кого‑либо, а монетизация возможной атаки ничтожна по прибыльности, то всё это это лишь снижает риски и всё равно проекту не избежать автоматизированных атак с целью захвата вычислительных ресурсов или для перенаправления трафика.
Процессы, необходимые для информационной безопасности
Информационная безопасность важна практически для любого бизнеса, так как деятельность почти всех компаний достаточно существенно зависит от информационных технологий.
Взломы, утечки данных и неработоспособность ключевых систем приводит как к финансовых потерям, так и к репутационным издержкам. Чтобы снизить риски в сфере ИБ стоит внедрять базовые процессы ИБ в разработку, тестирование и системное администрирование.
Обмен данными через протоколы FTP, FTPS, SFTP
Для передачи файлов наиболее активно используются протоколы FTP(S) и SFTP. Наличие буквы «S» в названии протокола свидетельствует о безопасности передачи.
Вирусы на сайтах
Откуда берутся вирусы на сайтах? Как с ними бороться?
Три наиболее распространённые причины появления вирусов на сайтах — это кража паролей для доступа к файловой системе сервера, эксплуатация XSS‑уязвимостей веб‑сайтов, уязвимостей в серверном ПО (часто — в результате отсутствия своевременного обновления) и уязвимостей в используемых CMS (обычно тоже по причине отсутствия обновлений или из‑за установки плагинов / расширений из недоверненных источников).
DDoS — распределенные атаки типа «отказ в обслуживании»
DoS‑атака — это атака типа «отказ в обслуживании» — Denial of Service. DDоS — это атака того же типа, но распределённая (distributed), то есть производящаяся с более чем одного атакующего компьютера.
Cуть этой разновидности атак состоит в том, чтобы «перегрузить» атакуемый сервер или «забить» каналы связи, что или ухудшает качество работы атакуемого приложения, или вызывает сбой и вообще прекращает его работу.
Безопасность сайтов и веб‑приложений
Под безопасностью веб‑приложений понимается обеспечение сохранности данных, их недоступность для посторонних лиц, а также способность сервиса сохранять работоспособность при кибератаках.
Безопасность веб‑приложений зависит от качества программного кода (это ответственность веб‑разработчиков), от квалификации системного администратора и регулярности обсуживания серверов, а также от компетенций всех пользователей, имеющих доступ к чувствительной информации.
Веб-сервер Apache
Apache — это HTTP‑сервер. Основными достоинствами считаются надёжность и гибкость конфигурации.