تفاوت http با https در امنیت اطلاعات

مهمترین تفاوت میان //:http با //:https امنیت و حفظ اطلاعات مربوط به شماست. HTTP مخفف شده‌ی HyperText Transport Protocol است که به زبان ساده یک پروتکل (یک زبان) جهت رد و بدل اطلاعات میان سرور و کاربر است.

حرف S است که تفاوت میان HTTP و HTTPS را ایجاد می‌کند مخفف کمله‌ی Secure به معنی «امن» است.

در موقع ورود به وب‌سایت‌ها، به طور معمول عبارت //:http در جلوی آدرس سایت ظاهر می‌شود. این بدین معناست که شما در حال بررسی سایت با استفاده از زبان معمول غیر امن هستید؛ به زبان دیگر یعنی ممکن است شخص سومی (در اینجا شخص هر چیزی معنی می‌دهد، مانند برنامه‌ی کامپیوتری، هکر و...) در حال ثبت اطلاعات ارسال رد و بدل شده شما با وب‌سایتی که در آن حضور دارید، باشد. در صورت پر کردن فرمی در وب‌سایت، شخصی ممکن است به اطلاعات وارد شده بوسیله شما دسترسی پیدا کند. به همین دلیل هرگز نباید اطلاعات کارت‌های اعتباری اینترنتی خود را از پروتکل //:http در سایت وارد کنید. اما در صورت شروع شدن نام وب‌سایت با //:https، این بدین معناست که کامپیوتر شما در حال رد و بدل کردن اطلاعات با سایت با زبانی است که شخص دیگری قادر به استفاده از آن نیست.

چند نکته‌ی قابل تأمل

الف) در //:https اطلاعات ابتدا به کد تبدیل شده و به سرور ارسال می‌گردد. سپس این کد در سرور رمزگشایی شده و به زبان قابل فهم بر می‌گردد. این کار مقداری زمان‌بر بوده و بنابراین سرعت //:https از سرعت //:http کمتر است.

ب) تعدادی از شرکت‌های امنیتی مانند Verisign و Goddady این سرویس را ارائه می‌دهند که جهت تبدیل اطلاعات سروری که شما به آن متصل شده‌اید به این سرور‌ها مراجعه می‌کنند.

پ) بعد از وارد شدن با پروتکل //:https، اطلاعاتی در رابطه با امنیت اعمال‌شده در سایت و گروه ارائه‌دهنده این امنیت نمایش داده می‌شود. این اطلاعات معمولاً (در اکثر مرورگر‌ها) بصورت قفلی در پایین صفحه موجود بوده و بعد از کلیک بر روی آن، این اطلاعات را مشاهده خواهید کرد.

ث) در هنگام ورود به این سایت‌ها حتماً به اطلاعات امنیتی توجه کنید. ممکن است امنیتی در کار نباشد و همه‌ی اینها با برنامه‌نویسی ساده‌ای برای شما نمایش داده شود.

ج) جهت داشتن //:https هزینه‌ای ماهانه باید پرداخت گردد که بر اساس سرعت آن (128kb یا 265kb یا …) متفاوت است. هرچه سرعت بیشتر، صاحب سرور باید هزینه‌ی بیشتری پرداخت کند.

چ) چون اطلاعات بصورت کد رد و بدل می‌شوند نرم‌افزار فیلترینگ قادر به خواندن اطلاعات خواسته‌شده توسط کاربر نداشته و فیلتری بر آن اعمال نمی‌کند.

ح) پروتکل //:https معمولاً برای بانک‌ها، ایجاد حساب کاربری و ورود کاربری به پورتال‌ها، سرویس‌دهنده‌ها پیغام الکترونیکی، خرید اینترنتی و فروشگاه‌های اینترنتی، ورود به صفحات با اطلاعات سری و مهم و... استفاده می‌شود. در ایران علاوه بر اینها سایت‌های سیاسی فیلترشده نیز از این ترفند برای فرار از فیلترینگ استفاده می‌کنند.

خ) هر زمان شما روی HTTPS سایت‌ها رو Surf می‌کنید بلا استثنا از متود Encryption استفاده خواهد شد و این هیچ هزینه‌ای برای شما ندارد. هزینه‌ای که اشاره شده مانند چیزی که Verisign دریافت می‌کند یک جور اطمینان از عملکرد سایت مورد نظر هست نه بخاطر کارکرد HTTPS و اصطلاحاً به آن SSL Certification گفته می‌شود.

ر) سود اصلی HTTPS جلوگیری از Sniff کردن اطلاعات هست. یعنی برای مقابله با دزدهای اطلاعاتی که در مسیر قرار می‌گیرند. به طور مثال شما هر اطلاعاتی رو که در حالت عادی از HTTP انتقال بدهید یک سازمان واسطه قادر است چه با مجوز و یا بدون مجوز از اطلاعات استفاده کند.

ز) تنها سرور میزبان باید Public Key خودش رو ثبت کند که هزینه‌ای هم نخواهد داشت. اما اثبات اینکه آیا خود میزبان کسی است که ادعا می‌کند، هزینه‌بر است. این کار بوسیله Verisign و... انجام می‌شود. بدین معنی که با پرداخت هزینه به این سرویس‌دهنده، کاربران مطمئن می‌شوند که سرورِ همان فرد یا سازمانی است که خواهان وارد کردن اطلاعات خود هستند.

پس اکنون به اهمیت موضوع کاملاً پی برده‌اید؟
در صورت نیاز به وارد کردن اطلاعات مهم مانند اطلاعات کارت‌های اعتباری، ابتدا به ابتدای آدرس اینترنتی صفحه توجه کرده و در صورت شروع شدن با //:https آنها را وارد کنید.

در غیر اینصورت هرگز اطلاعات مهم خود را وارد نکنید!