אבטחת אתר באמצעות SSL

amir_w

New member
אבטחת אתר באמצעות SSL

שלום לכולם, האם הדרך היחידה לזהות אתר מאובטח ב- SSL הינה באמצעות המנעול שבתחתית המסך? אם אין מנעול בתחתית המסך אבל כתובת הדף מתחילה ב- HTTPS, האם זה אומר שהדף מאובטח ב- SSL גם אם אין את המנעול? אשמח לקבל תשובה. תודה
 

uzi2

Active member
על המנעול, SSL, ואבטחה

המנעול אומר שכל התקשורת ממך לאתר מאובטחת ב- SSL (או משהו דומה). הכתובת https מצביעה על כך שהפניה היא לתקשורת מאובטחת SSL (או משהו דומה), אבל במידה והדף הנ"לך מעלה דפי משנה שהם לא ב- SSL אז לא נראה את המנעול אפילו שהתחברנו דרך https. כל הנושא הזה מתייחס לא לאבטחה של האתר אלא לאבטחה של התקשורת אליו. בפועל יש שני דברים ש- SSL אומר: התקשורת מוצפנת כך שרק השרת שעליו האתר יכול לפענח את התקשורת ממך, ורק המחשב שלך יכול לפענח ולהבין את התקשורת מהאתר (אבל לא כל המחשבים שיושבים בדרך). כמו-כן, ה- SSL אומר שאם הדפדפן לא צעק לך אזהרה שאומרת אחרת (או שקינפגת אותו בטעות שלא יצעק) אז האתר זוהה באופן וודאי להיות מי שהוא טוען שהוא. המנעול וכל נושא ה- SSL לא מתייחס לרמת האבטחה באתר, ואם יש חורי אבטחה בשרת, ומישהו ניצל אותם כדי להכנס לקבצי הנתונים שבהם מוחזקים הפרטים הרגישים שהועברו מהדפדפן שלך באופן מוצפן, אז כל ההצפנה לא היתה רלוונטית. חשוב שהתקשורת תהיה מאובטחת אבל זה לא מבטיח שהנתונים שהועברו שם גם נשמרים באופן מאובטח, ובמרבית המקרים של גנבות נתוני כרטיסי אשראי מאתרים זה בוצע לא ע"י האזנה לתקשורת שדרכה הנתונים הועברו אלא ע"י פריצה לשרת ולקיחת קובץ הנתונים (שלמרות שהם הועברו כשהם מוצפנים, הם לא נשמרו בשרת כשהם מוצפנים). לכן ההמלצה שלי: אם אתה סומך על האתר - סמוך גם על זה שהוא מצהיר שהתקשורת מאובטחת (אם הוא מצהיר) אם אתה לא סומך על האתר, אז גם אם יש את המנעול, זה לא סיבה להתחיל לסמוך. יש גם שיטות הצפנה ואבטחה של תקשורת שבהן לא תראה את המנעול (למשל אבטחה דרך Javascript, או אבטחה דרך PGP).
 
למעלה