HTTP हाइपर टेक्स्ट ट्रांसफर प्रोटोकॉल के लिए खड़ा है और इंटरनेट पर व्यापक रूप से उपयोग किया जाता है। इस प्रोटोकॉल के लिए लॉग इन क्रेडेंशियल्स इत्यादि से पूछने के लिए इंटरनेट के प्रारंभिक वर्षों के दौरान ठीक था क्योंकि अलग-अलग वेबसाइटों के लिए आपके लॉगिन प्रमाण-पत्र चोरी करने के लिए लोगों को आपके डेटा पैकेट को स्नीफ करने का अधिक खतरा नहीं था। जब लोगों ने खतरे को महसूस किया, तो HTTPS (HTTP सुरक्षित) का आविष्कार किया गया था, जो आपके (क्लाइंट) और उस वेबसाइट के बीच डेटा एक्सचेंज को एन्क्रिप्ट करता है जिसके साथ आप बातचीत कर रहे हैं।
पढ़ना: HTTP और HTTPS के बीच अंतर।
कुछ साल पहले तक, एचटीटीपीएस को मूर्खतापूर्ण माना जाता था, जब तक मोक्सी नामक व्यक्ति ने HTTPS को धोखा देकर गलत साबित नहीं किया। यह किसी ऐसे व्यक्ति द्वारा संचार के मध्य में डेटा पैकेट के अवरोध का उपयोग करके किया गया था जिसने आपको विश्वास दिलाया कि कनेक्शन अभी भी एन्क्रिप्ट किया गया है, तो HTTPS सुरक्षा कुंजी को धोखा दिया गया है। यह लेख अध्ययन एचटीटीपीएस स्पूफिंग जहां भी जाने-माने कंपनियों ने आपको देखने और अपनी गतिविधियों पर झुकाव करने के लिए तकनीक का उपयोग किया था। समझने से पहले मध्य हमले में आदमी, आपको HTTPS प्रमाणपत्र कुंजी के बारे में जानना होगा, जो आपको विश्वास करने के लिए धोखा दिया गया है कि कुछ भी गलत नहीं है।
एचटीटीपीएस वेबसाइट सर्टिफिकेट कुंजी क्या है
कुछ प्रमाण पत्र प्राधिकरण हैं जो वेबसाइटों पर "फिटनेस" प्रमाण पत्र प्रदान करते हैं। "फिटनेस" कारक निर्धारित करने के लिए कई कारक हैं: एन्क्रिप्टेड कनेक्शन, वायरस मुफ्त डाउनलोड और कुछ अन्य चीजें। एचटीटीपीएस का मतलब है कि लेनदेन करते समय आपका डेटा सुरक्षित है। मुख्य रूप से, एचटीटीपीएस का उपयोग ई-कॉमर्स स्टोर्स और साइटों द्वारा किया जाता है जिनके पास डेटा / जानकारी है जो आपके लिए निजी है - जैसे ईमेल साइटें। फेसबुक और ट्विटर जैसी सोशल नेटवर्किंग साइट्स भी एचटीटीपीएस का उपयोग करती हैं।
प्रत्येक प्रमाणपत्र के साथ, एक ऐसी कुंजी है जो उस वेबसाइट के लिए अद्वितीय है। आप अपने वेबपृष्ठ पर राइट क्लिक करके और पेज जानकारी का चयन करके वेबसाइट की प्रमाणपत्र कुंजी देख सकते हैं। ब्राउज़र के आधार पर, आपको विभिन्न प्रकार के संवाद बॉक्स मिलेंगे। सर्टिफिकेट और फिर थंबप्रिंट या फिंगरप्रिंट की तलाश करें। यह वेबसाइट सर्टिफिकेट की अनूठी कुंजी होगी।
एचटीटीपीएस सुरक्षा और स्पूफिंग
एचटीटीपीएस के साथ आप कितने सुरक्षित हैं, इस बात पर वापस आकर, ग्राहक कुंजी और वेबसाइटों के बीच तीसरे पक्ष द्वारा सर्टिफिकेट कुंजी को धोखा दिया जा सकता है। आपकी बातचीत पर prying की इस तकनीक को मध्य में मैन कहा जाता है।
यहां बताया गया है कि आपका ब्राउज़र HTTPS पर कैसे भेजा जाता है: या तो आप लॉग इन बटन / लिंक पर क्लिक करते हैं या आप यूआरएल में टाइप करते हैं। पहले मामले में, आपको सीधे HTTPS पृष्ठ पर भेजा जाता है। दूसरे मामले में, जहां आप यूआरएल टाइप करते हैं, जब तक आप एचटीटीपीएस टाइप नहीं करते हैं, तो DNS एक ऐसे पृष्ठ को हल करेगा जो आपको ऑटो रीडायरेक्ट (302) का उपयोग करके HTTPS पृष्ठ पर निर्देशित करता है।
मध्य में मैन को वेबसाइट तक पहुंचने के आपके पहले अनुरोध को पकड़ने के कुछ तरीके हैं, भले ही आपने HTTPS टाइप किया हो। मध्य में आदमी आपका ब्राउज़र ही हो सकता है। ओपेरा मिनी और ब्लैकबेरी ब्राउज़र इसे संचार से शुरू करने और इसे डिक्रिप्ट करने के लिए करते हैं ताकि उन्हें तेज ब्राउज़िंग के लिए संपीड़ित किया जा सके। यह तकनीक गलत है - मेरी राय में - क्योंकि यह छिपाने की सुविधा प्रदान करता है लेकिन फिर, कंपनियां कहते हैं कि कुछ भी लॉग नहीं है।
जब आप कोई यूआरएल टाइप करते हैं, तो लिंक या बुकमार्क पर क्लिक करें, तो आप ब्राउजर से वेबसाइट के सुरक्षित संस्करण के साथ कनेक्शन (अधिमानतः) बनाने के लिए कहते हैं। मध्य में मैन एक फर्जी प्रमाण पत्र बनाता है जिसे प्रमाण पत्र जारी करने प्राधिकरण के बावजूद वेबसाइट प्रमाण पत्र के समान प्रारूप के रूप में पहचाना जाना मुश्किल है। मध्य में मैन सफलतापूर्वक प्रमाणपत्र प्रमाणित करता है और एक थंबब्रिंट बनाता है जिसे "प्रमाणपत्र प्राधिकरण जो आपके ब्राउज़र पर पहले से भरोसा करते हैं" के खिलाफ चेक किया जाता है। ऐसा लगता है कि ऐसा प्रतीत होता है कि प्रमाणपत्र किसी कंपनी द्वारा जारी किया गया था जो आपके ब्राउज़र के विश्वसनीय प्रमाणपत्र प्राधिकरणों की सूची में जोड़ा गया है। इससे यह विश्वास होता है कि प्रमाणपत्र कुंजी मान्य है और मध्य में मनुष्य को एन्क्रिप्शन डेटा प्रदान करती है। इस प्रकार, मध्य में मैन के पास उस कनेक्शन पर जो जानकारी आप भेज रहे हैं उसे डिक्रिप्ट करने की कुंजी है। ध्यान दें कि मध्य में मैन दूसरी तरफ वेबसाइट पर अपनी जानकारी भेजकर काम कर रहा है - ईमानदारी से लेकिन इस तरह से इसे पढ़ सकता है।
यह वेबसाइट HTTPS स्पूफ़िंग और यह कैसे काम करता है बताता है। यह भी इंगित करता है कि HTTPS पूरी तरह से सुरक्षित नहीं है। ऐसे कुछ टूल हैं जो हमें बताएंगे कि मध्य में एक आदमी है जब तक कि कोई अत्यधिक प्रशिक्षित कंप्यूटर विशेषज्ञ न हो। आम आदमी के लिए, जीआरसी वेबसाइट थंबब्रिंट को पुनः प्राप्त करने के लिए एक विधि प्रदान करती है। आप GRC पर प्रमाणपत्र THUMBPRINT देख सकते हैं और उसके बाद पृष्ठ जानकारी का उपयोग करके पुनर्प्राप्त किए गए एक से मिलान कर सकते हैं। अगर वे मेल खाते हैं, तो ठीक है। यदि वे नहीं करते हैं, तो मध्य में एक आदमी है।
