Kukiwa na ukiukaji mwingi mkubwa wa data kwenye habari hivi majuzi, unaweza kushangaa jinsi data yako inalindwa ukiwa mtandaoni. Unapoenda kwenye tovuti kufanya ununuzi na kuweka nambari ya kadi yako ya mkopo, tunatumai, baada ya siku chache, kifurushi kitawasili kwenye mlango wako. Lakini kwa wakati huo kabla ya kubonyeza Agizo, unajiuliza jinsi usalama wa mtandaoni unavyofanya kazi?
Misingi ya Usalama Mtandaoni
Katika hali yake ya msingi, usalama wa mtandaoni-usalama unaofanyika kati ya kompyuta na tovuti-hutekelezwa kupitia mfululizo wa maswali na majibu. Unaandika anwani ya wavuti kwenye kivinjari, na kisha kivinjari kinauliza tovuti hiyo kuthibitisha uhalisi wake. Tovuti hujibu kwa taarifa inayofaa, na baada ya wote wawili kukubaliana, tovuti itafungua katika kivinjari.
Miongoni mwa maswali yaliyoulizwa na kubadilishana taarifa ni data kuhusu aina ya usimbaji fiche ambayo hupitisha maelezo ya kivinjari, maelezo ya kompyuta na maelezo ya kibinafsi kati ya kivinjari na tovuti. Maswali haya na majibu huitwa kupeana mkono. Ikiwa kupeana mkono huko hakufanyiki, basi tovuti unayojaribu kutembelea itachukuliwa kuwa si salama.
HTTP dhidi ya
- Fungua kwa mtu yeyote kuona njiani.
- Rahisi zaidi kusanidi na kuendesha.
-
Hakuna usalama wa manenosiri na data iliyowasilishwa.
- Imesimbwa kwa njia fiche kikamilifu ili kuficha maelezo.
- Inahitaji usanidi wa ziada wa seva.
- Hulinda taarifa zinazotumwa, ikiwa ni pamoja na manenosiri.
Jambo moja unaweza kuona unapotembelea tovuti kwenye wavuti ni kwamba baadhi zina anwani inayoanza na http, na nyingine huanza na https. HTTP ina maana ya Itifaki ya Uhamisho wa Maandishi ya Juu; ni itifaki au seti ya miongozo inayobainisha mawasiliano salama kupitia mtandao.
Baadhi ya tovuti, hasa tovuti ambapo umeombwa kutoa taarifa nyeti au zinazokutambulisha mtu binafsi, zinaweza kuonyesha https iwe ya kijani au nyekundu ikiwa na mstari ndani yake. HTTPS inamaanisha Usalama wa Itifaki ya Uhawilishaji wa Maandishi ya Juu, na kijani inamaanisha kuwa tovuti ina cheti cha usalama kinachoweza kuthibitishwa. Nyekundu yenye mstari kupitia hiyo inamaanisha kuwa tovuti haina cheti cha usalama, au cheti si sahihi au muda wake umeisha.
Hapa ndipo mambo yanachanganyikiwa kidogo. HTTP haimaanishi kwamba data iliyohamishwa kati ya kompyuta na tovuti imesimbwa kwa njia fiche. Inamaanisha tu tovuti inayowasiliana na kivinjari ina cheti kinachotumika cha usalama. Wakati tu S (kama ilivyo kwa S) ndipo data inayohamishwa ikiwa salama, na kuna teknolojia nyingine inayotumika ambayo hufanya jina hilo kuwa salama. inawezekana.
SSL dhidi ya TLS
- Ilitengenezwa awali mwaka wa 1995.
- Kiwango cha awali cha usimbaji fiche wa wavuti.
- Imebaki nyuma ya intaneti inayokua kwa kasi.
- Imeanza kama toleo la tatu la SSL.
- Usalama wa Tabaka la Usafiri.
- Inaendelea kuboresha usimbaji fiche unaotumiwa katika SSL.
- Marekebisho ya usalama yameongezwa kwa aina mpya za mashambulizi na mashimo ya usalama.
SSL ilikuwa itifaki asili ya usalama ili kuhakikisha kuwa tovuti na data iliyopitishwa kati ya tovuti ni salama. Kulingana na GlobalSign, SSL ilianzishwa mnamo 1995 kama toleo la 2.0. Toleo la kwanza (1.0) halikuwahi kuingia kwenye kikoa cha umma. Toleo la 2.0 lilibadilishwa na toleo la 3.0 ndani ya mwaka mmoja ili kushughulikia udhaifu katika itifaki.
Mnamo 1999, toleo jingine la SSL, linaloitwa Transport Layer Security (TLS), lilianzishwa ili kuboresha kasi ya mazungumzo na usalama wa kupeana mkono. TLS ndilo toleo ambalo linatumika kwa sasa, ingawa mara nyingi hujulikana kama SSL kwa ajili ya kurahisisha.
Kuelewa Itifaki ya SSL
- Huficha maelezo yaliyowekwa kati ya kompyuta na tovuti.
- Hulinda maelezo ya kuingia.
- Hulinda ununuzi mtandaoni.
- Hailinde dhidi ya vitisho vyote.
- Haiwezi kukulinda kwenye tovuti zisizotumia SSL.
- Imeshindwa kuficha tovuti unazotembelea.
Unapofikiria kushiriki kupeana mkono na mtu, hiyo inamaanisha kuwa kuna mtu wa pili anayehusika. Usalama mtandaoni ni vivyo hivyo. Ili kupeana mkono kunakohakikisha usalama mtandaoni kufanyika, lazima kuwe na mtu wa pili anayehusika. Ikiwa HTTPS ndiyo itifaki ambayo kivinjari cha wavuti hutumia kuhakikisha kuwa kuna usalama, basi nusu ya pili ya kupeana mkono huko ni itifaki inayohakikisha usimbaji fiche.
Usimbaji fiche ni teknolojia inayotumika kuficha data inayohamishwa kati ya vifaa viwili kwenye mtandao. Inakamilika kwa kugeuza herufi zinazotambulika kuwa fujo zisizotambulika ambazo zinaweza kurejeshwa katika hali yake ya asili kwa kutumia ufunguo wa usimbaji fiche. Hili lilitekelezwa awali kupitia teknolojia iitwayo Secure Socket Layer (SSL) usalama.
SSL ilikuwa teknolojia iliyogeuza data yoyote inayosonga kati ya tovuti na kivinjari kuwa chafu na kisha kurejea kwenye data tena. Hivi ndivyo inavyofanya kazi:
- Unafungua kivinjari na kuandika anwani ya benki yako.
- Kivinjari cha wavuti kinagonga mlango wa benki na kukutambulisha.
- Mlinda mlango anathibitisha kuwa wewe ndiye yule unayesema na kukubali kukuruhusu uingie chini ya masharti fulani.
- Kivinjari cha wavuti kinakubali masharti hayo, na kisha unaruhusiwa kufikia tovuti ya benki.
Mchakato unajirudia unapoweka jina lako la mtumiaji na nenosiri, kwa hatua zingine za ziada.
- Unaweka jina lako la mtumiaji na nenosiri ili kupata ufikiaji kwa akaunti yako.
- Kivinjari chako cha wavuti humwambia msimamizi wa akaunti ya benki kuwa ungependa kufikia akaunti yako.
- Wanazungumza na kukubaliana kwamba ikiwa unaweza kutoa kitambulisho sahihi, basi utapewa idhini ya kufikia. Hata hivyo, vitambulisho hivyo vinahitaji kuwasilishwa kwa kutumia lugha maalum.
- Kivinjari cha wavuti na msimamizi wa akaunti ya benki wanakubaliana na lugha itakayotumika.
- Kivinjari cha wavuti hubadilisha jina lako la mtumiaji na nenosiri kuwa lugha hiyo maalum na kuipitisha kwa msimamizi wa akaunti ya benki.
- Msimamizi wa akaunti hupokea data, kuiondoa, na kuilinganisha na rekodi zake.
- Ikiwa kitambulisho chako kinalingana, unapewa idhini ya kufikia akaunti yako.
Mchakato unafanyika kwa sekunde chache, ili usione muda inachukua kwa mazungumzo na kupeana mkono kufanyika kati ya kivinjari na tovuti.
Usimbaji fiche wa TLS
- Usimbaji fiche salama zaidi.
- Huficha data kati ya kompyuta na tovuti.
- Mchakato bora wa kupeana mkono wakati wa kujadili mawasiliano yaliyosimbwa kwa njia fiche.
- Hakuna usimbaji fiche ulio kamili.
- Hailindi DNS kiotomatiki.
- Haioani kabisa na matoleo ya zamani.
Usimbaji fiche wa TLS ulianzishwa ili kuboresha usalama wa data. Ingawa SSL ilikuwa teknolojia nzuri, usalama ulibadilika kwa kasi kubwa, na hiyo ilisababisha hitaji la usalama bora zaidi na wa kisasa zaidi. TLS iliundwa kwa mfumo wa SSL na uboreshaji wa algoriti zinazosimamia mchakato wa mawasiliano na kupeana mkono.
Toleo Gani la TLS Lililo Sasa Hivi Zaidi?
Kama ilivyo kwa SSL, usimbaji fiche wa TLS umeendelea kuboreshwa. Toleo la sasa la TLS ni 1.2, lakini TLSv1.3 imetayarishwa, na baadhi ya kampuni na vivinjari vimetumia usalama kwa muda mfupi. Mara nyingi, hurejea kwa TLSv1.2 kwa sababu toleo la 1.3 bado linakamilishwa.
Itakapokamilika, TLSv1.3 italeta maboresho mengi ya usalama, ikiwa ni pamoja na usaidizi ulioboreshwa wa aina zaidi za sasa za usimbaji fiche. Hata hivyo, TLSv1.3 pia itaacha kutumia matoleo ya zamani ya itifaki za SSL na teknolojia nyingine za usalama ambazo hazina nguvu za kutosha ili kuhakikisha usalama na usimbaji fiche unaofaa wa data ya kibinafsi.