HTTPS में URL के आगे लगे पैडलॉक के अलावा और भी बहुत कुछ है।
इंटरनेट के व्यापक उपयोग के साथ, व्यक्तिगत जानकारी और संवेदनशील डेटा की सुरक्षा एक बड़ी चिंता बन गई है। HTTPS (हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल सिक्योर) एक प्रोटोकॉल के रूप में विशेष महत्व रखता है जो इंटरनेट पर संचार की सुरक्षा सुनिश्चित करता है। यहां HTTPS द्वारा प्रदान किए जाने वाले सुरक्षा उपाय और इंटरनेट उपयोगकर्ताओं को मिलने वाले लाभ दिए गए हैं।
HTTPS और स्तरित सुरक्षा
HTTPS एक एकल टुकड़े से बनी सरल संरचना नहीं है। HTTPS एक सिस्टम की तरह है, और इसके विभिन्न भाग हैं जो HTTPS बनाते हैं। एक से अधिक भागों द्वारा बनाई गई प्रणाली को एक निश्चित क्रम में कार्य करने के लिए, उस प्रणाली को बनाने वाले भागों को भी सुरक्षित होना चाहिए।
आज की दुनिया में संचार ही वह केंद्र बिंदु है जहां सुरक्षा की सबसे अधिक आवश्यकता है। इस दुनिया की नींव टीसीपी/आईपी प्रोटोकॉल पर बनी है। लेकिन जब सुरक्षा की बात आती है, तो टीसीपी/आईपी प्रोटोकॉल सुइट कम पड़ने लगा है.
हालाँकि नए प्रोटोकॉल के साथ इन कमियों को दूर करने का प्रयास किया गया है, फिर भी एक मूलभूत समस्या बनी हुई है जो पूरे सिस्टम को प्रभावित कर सकती है। उदाहरण के लिए, HTTPS पर चलने वाले किसी एप्लिकेशन को सुरक्षित मानने के लिए, उसका अच्छा होना आवश्यक है सिस्टम में शामिल परतों की समझ और उनके भीतर मौजूद सुरक्षा कमजोरियों का आकलन करना परतें.
HTTPS कनेक्शन के लिए चार अतिरिक्त प्रोटोकॉल काम में आते हैं। ये एसएसएल/टीएलएस, टीसीपी, आईपी और एआरपी परतें हैं। अभी के लिए, आप इस बात को नज़रअंदाज कर सकते हैं कि वे कैसे काम करते हैं। आपको इस बात पर ध्यान देने की आवश्यकता है कि HTTPS कितना भी सुरक्षित क्यों न हो, अन्य प्रोटोकॉल में भेद्यता HTTPS को प्रभावित करेगी। तो क्या इस मामले में HTTPS असुरक्षित है?
क्या HTTPS वास्तव में सुरक्षित है?
बैंक, ऑनलाइन शॉपिंग साइटें और विभिन्न संस्थान आमतौर पर 128-बिट एन्क्रिप्शन विधियों का उपयोग करते हैं। हालाँकि 128-बिट एन्क्रिप्शन आज के मानकों में विश्वसनीय है, लेकिन यह विधि अकेले पर्याप्त नहीं है। एन्क्रिप्शन के साथ-साथ अन्य बुनियादी ढांचे को भी सुरक्षित रखने की जरूरत है।
एसएसएल का सामना करने वाला पहला और सबसे महत्वपूर्ण हमला मैन-इन-द-मिडिल हमला है। एमआईटीएम-प्रकार के हमलों में, हमलावर खुद को पीड़ित क्लाइंट और सर्वर के बीच रखता है, जिसका लक्ष्य ट्रैफिक को सुनना और उसमें हेरफेर करना है।
हमलावर HTTP कनेक्शन में MITM के साथ हस्तक्षेप कर रहा है फर्जी प्रमाणपत्र बनाता है, जो उपयोगकर्ता के ब्राउज़र में एक त्रुटि उत्पन्न करता है क्योंकि प्रमाणपत्र किसी वैध सीए द्वारा हस्ताक्षरित नहीं है। पहले, ब्राउज़र चेतावनियों को आसानी से बायपास करना संभव था। लेकिन आजकल, ब्राउज़रों द्वारा दी गई एसएसएल असंगतता चेतावनियाँ वास्तव में डराने वाली हैं।
इसका सबसे स्पष्ट उदाहरण आधुनिक ब्राउज़रों की चेतावनियाँ हैं कि जिस साइट पर आप लॉगिन करना चाहते हैं वह एसएसएल प्रमाणपत्र असंगतता के कारण असुरक्षित हो सकती है। ये चेतावनियाँ अक्सर साइट पर लॉग इन करने वाले जागरूक उपयोगकर्ताओं को साइट छोड़ने के लिए प्रेरित करती हैं।
क्या ऐसी कोई अन्य कमज़ोरियाँ हैं जो HTTPS को उपयोगकर्ता के लिए असुरक्षित बना सकती हैं?
एसएसएल और HTTP के बीच संबंध
अधिकांश वेबसाइटें सुरक्षा उद्देश्यों के लिए एसएसएल (एचटीटीपीएस) का उपयोग करें. लेकिन आज, SSL वाले अधिकांश सिस्टम HTTP और HTTPS का एक साथ उपयोग करते हैं। आप किसी वेब पेज को सबसे पहले HTTP पर एक्सेस करते हैं। उसके बाद, HTTPS उन लिंक पर काम करता है जिनमें संवेदनशील जानकारी होगी।
कंपनियाँ केवल HTTPS का उपयोग नहीं करतीं। ऐसा इसलिए है क्योंकि एसएसएल को सर्वर साइड पर अतिरिक्त क्षमता की आवश्यकता होती है। इसके अलावा, यदि आप मानते हैं कि सत्र की जानकारी अधिकतर HTTP में कुकीज़ पर होती है, और यदि सर्वर साइड पर डेवलपर्स ने इसे नहीं जोड़ा है कुकीज़ में सुरक्षित सुविधा, कोई व्यक्ति जो ट्रैफ़िक सुन सकता है, खाते की आवश्यकता के बिना कुकीज़ के माध्यम से आपकी ओर से सिस्टम तक पहुंच सकता है जानकारी।
कुकीज़ की सुरक्षित सुविधा केवल सुरक्षित कनेक्शन पर कुकीज़ स्थानांतरित करने में मदद करती है। इसलिए, यह एक ऐसा मुद्दा है जिस पर विशेष रूप से उन लोगों को ध्यान देना चाहिए जो सर्वर साइड से विकसित होते हैं।
आप कैसे सुरक्षित रह सकते हैं?
जब आप कोई वेबसाइट दर्ज करें, तो यूआरएल अवश्य जांच लें। यह देखना पर्याप्त नहीं होगा कि आपके द्वारा दर्ज किया गया यूआरएल HTTPS से शुरू होता है। वहीं, कोई भी अपना एसएसएल सर्टिफिकेट लिख सकता है। आपको वेबसाइट द्वारा उपयोग किए जाने वाले एसएसएल प्रमाणपत्र की भी जांच करनी चाहिए। प्रमाणपत्र के बारे में अधिक जानने के लिए, बस अपने कर्सर को एड्रेस बार में लॉक आइकन पर ले जाएं और उस पर क्लिक करें।
साथ ही, वेबसाइटों पर अपनी व्यक्तिगत और बैंक संबंधी जानकारी देते समय हमेशा संशय में रहें। कोई भी अपरिवर्तनीय परिणामों का सामना नहीं करना चाहता। अपने नवीनतम सॉफ़्टवेयर को अद्यतन रखना सुनिश्चित करें और साइबर सुरक्षा जागरूकता पर स्वयं को हमेशा शिक्षित करते रहें।
