Bezpieczeństwo klienta HTTP

Problemy z bezpieczeństwem klientów HTTP są równie skomplikowane, jak problemy serwerów. Można je podzielić na trzy kategorie: przypadkowe ujawnienie informacji podatność na atak w zewnętrznych przeglądarkach

podatność na atak w systemach rozszerzeń. Przypadkowe ujawnienie informacji Przeglądarki WWW mogą zdradzić informacje, których nie chciałeś ujawniać publicznie. Najczęściej problem polega na tym, że nie chronią haseł i nazw użytkowników tak, jak mógłbyś się spodziewać. Wiele stron WWW przekazuje nazwy użytkowników i hasła bez żadnych zabezpieczeń niektóre osadzają je nawet w adresach URL, przez co możesz je przypadkowo zapisać w pliku zakładek albo przesłać do przyjaciela wraz z informacją o położeniu interesującej strony WWW.

Domyślna metoda uwierzytelniania na stronach WWW nosi nazwę uwierzytelniania podstawowego (basie authentication). Ma ona miejsce wtedy, gdy łączysz się ze stroną, a przeglądarka zamiast pokazać stronę wyświetla standardowe okno dialogowe z pytaniem o nazwę użytkownika i hasło. Podane przez ciebie nazwa i hasło nie są szyfrowane, lecz po prostu wysyłane do serwera jawnym tekstem. Ponadto, jeśli poprosisz o inną stronę z tego serwera, nazwa użytkownika i hasło zostaną wysłane ponownie bez żadnych ostrzeżeń, wciąż w niezaszyfrowanej postaci.

Witryna WWW może chronić nazwy użytkowników i hasła, informując przeglądarkę, żeby nawiązała połączenie przez HTTPS, a nie HTTP (HTTPS jest omówiony dalej w tym rozdziale). Spowoduje to zaszyfrowanie całej komunikacji, łącznie z informacjami uwierzytelniającymi. Niestety, zwykle nie będziesz mógł stwierdzić, czy rzeczywiście tak się stało choć istnieje mała ikona kłódki, która informuje o zaszyfrowaniu strony, to większość klientów nie wyświetla jej ani żadnego innego znaku, że komunikacja jest zabezpieczona dopóki strona się nie załaduje, czyli już po tym, jak podasz swoją nazwę użytkownika i hasło.

Nie tylko z tego powodu trudno ustalić, co serwer robi z twoim hasłem. Może uda ci się stwierdzić, że serwer robi coś niezwykle niebezpiecznego, na przykład osadza hasło pisane jawnym tekstem w adresie URL, ale nigdy nie będziesz wiedział, czy odpowiednio je przechowuje po swojej stronie. Tak więc, choć czasem możesz być pewien, że twoje hasło nie jest chronione, nigdy nie możesz być pewien, że jest, więc powinieneś przyjmować tę pierwszą ewentualność. Nie używaj haseł, które przesyłasz przez Sieć, do ochrony czegoś, na czym ci bardzo zależy. Powinieneś używać różnych haseł w różnych witrynach WWW i nie powinny to być te same hasła, którymi posługujesz się gdzie indziej.

Jeśli zamierzasz przesłać do witryny WWW ważne dane, powinieneś sprawdzić, czy witryna podjęła prawnie wiążące zobowiązanie do ich ochrony. Powinieneś się także upewnić, że twoje połączenie z witryną jest zaszyfrowane.

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>