تفاوت Http و Https چیست؟

HTTP (Hypertext Transfer Protocol) و HTTPS (Hypertext Transfer Protocol Secure) دو پروتکل اصلی هستند که برای انتقال داده‌ها در وب استفاده می‌شوند. هر دو این پروتکل‌ها برای ارسال و دریافت صفحات وب، تصاویر، و سایر انواع فایل‌ها از یک سرور به یک مرورگر استفاده می‌شوند. اما تفاوت اساسی بین آنها در سطح امنیت است.

چرا به گواهینامه SSL نیاز داریم؟

گواهینامه SSL (Secure Sockets Layer) یک پروتکل امنیتی است که ارتباط بین مرورگر وب و یک سرور را رمزنگاری می‌کند. این یعنی هر اطلاعاتی که بین این دو تبادل می‌شود، به صورت کد شده و غیرقابل خواندن برای افراد غیرمجاز خواهد بود.

چرا به این امنیت نیاز داریم؟

• حفاظت از اطلاعات حساس: اگر شما یک فروشگاه آنلاین دارید، اطلاعات کارت اعتباری مشتریان یکی از مهم‌ترین دارایی‌های شماست. با استفاده از SSL، این اطلاعات به صورت امن انتقال یافته و از دسترس هکرها خارج می‌شود.
• افزایش اعتماد کاربران: کاربران به وب‌سایت‌هایی که از SSL استفاده می‌کنند، اعتماد بیشتری دارند. زیرا می‌دانند اطلاعات شخصی آن‌ها به صورت امن محافظت می‌شود.
• بهبود رتبه‌بندی در موتورهای جستجو: گوگل و سایر موتورهای جستجو به وب‌سایت‌هایی که از SSL استفاده می‌کنند، امتیاز بیشتری می‌دهند. این یعنی وب‌سایت شما شانس بیشتری برای دیده شدن در نتایج جستجو خواهد داشت.
• جلوگیری از حملات مرد میانی: در حملات مرد میانی، هکرها خود را به جای سرور اصلی جا می‌زنند و به اطلاعات کاربران دسترسی پیدا می‌کنند. SSL از این نوع حملات جلوگیری می‌کند.
• فعال‌سازی برخی قابلیت‌های مرورگر: برخی از مرورگرها، قابلیت‌های خاصی را تنها برای وب‌سایت‌هایی که از SSL استفاده می‌کنند، فعال می‌کنند.

HTTP (Hypertext Transfer Protocol)

• پروتکل غیر امن: داده‌هایی که از طریق HTTP منتقل می‌شوند، به صورت ساده و بدون رمزگذاری ارسال می‌شوند. این بدان معنی است که هر کسی که به شبکه دسترسی داشته باشد، می‌تواند داده‌های در حال انتقال را مشاهده و دستکاری کند.
• استفاده: به طور سنتی برای وب‌سایت‌هایی استفاده می‌شد که نیازی به انتقال اطلاعات حساس مانند اطلاعات ورود به سیستم، اطلاعات کارت اعتباری یا سایر داده‌های شخصی نداشتند.

انواع آسیب‌پذیری‌های HTTP

1. مخاطبین مرد میانی (Man-in-the-Middle):

   • هکرها خود را بین کاربر و سرور قرار می‌دهند و به این ترتیب می‌توانند ترافیک را رهگیری، تغییر داده و یا اطلاعات حساس را سرقت کنند.
   • راهکار: استفاده از HTTPS و پروتکل‌های رمزنگاری مانند SSL/TLS

2. تزریق SQL (SQL Injection):

   • مهاجمان کدهای SQL مخرب را به ورودی‌های فرم‌های وب تزریق می‌کنند تا به پایگاه داده دسترسی پیدا کرده و آن را دستکاری کنند.
   • راهکار: استفاده از پارامترهای آماده (Prepared Statements)، اعتبارسنجی دقیق ورودی‌ها و فرار کردن کاراکترهای خاص.

3. تزریق XSS (Cross-Site Scripting):

   • مهاجمان اسکریپت‌های مخرب را در صفحات وب تزریق می‌کنند تا بتوانند به اطلاعات کاربران دسترسی پیدا کنند یا رفتار مرورگر را تغییر دهند.
   • راهکار: فرار کردن کاراکترهای خاص، استفاده از ورودی‌های امن، و استفاده از Content Security Policy (CSP).

4. حملات CSRF (Cross-Site Request Forgery):

   • مهاجمان کاربران را فریب می‌دهند تا به صورت ناخودآگاه درخواست‌هایی را به یک وب‌سایت ارسال کنند که منجر به انجام اقداماتی مانند تغییر رمز عبور یا انتقال وجه می‌شود.
   • راهکار: استفاده از توکن‌های ضد جعل، اعتبارسنجی ارجاع‌گر (Referer) و روش‌های احراز هویت قوی.

5. Session Hijacking:

   • مهاجمان سعی می‌کنند شناسه جلسه (Session ID) یک کاربر را بدزدند تا بتوانند به عنوان آن کاربر وارد سیستم شوند.
   • راهکار: استفاده از کوکی‌های امن (Secure Cookies)، HTTPOnly Cookies و Session Timeouts.

6. Clickjacking:

   • مهاجمان یک قاب نامرئی روی یک صفحه وب قرار می‌دهند که کاربر را فریب می‌دهد تا روی یک دکمه یا لینک کلیک کند که در واقع به یک وب‌سایت مخرب هدایت می‌شود.
   • راهرسی: استفاده از X-Frame-Options، Content Security Policy (CSP) و طراحی مناسب صفحات وب.

راهکارهای کلی برای مقابله با آسیب‌پذیری‌های HTTP

• استفاده از HTTPS: همیشه از HTTPS برای رمزنگاری ارتباطات استفاده کنید.
• به‌روزرسانی نرم‌افزار: همیشه نرم‌افزارهای وب‌سایت، سیستم عامل و کتابخانه‌ها را به آخرین نسخه به‌روزرسانی کنید.
• اعتبارسنجی دقیق ورودی‌ها: همه ورودی‌های کاربر را به دقت اعتبارسنجی کنید تا از تزریق کدهای مخرب جلوگیری شود.
• استفاده از پارامترهای آماده: در هنگام کار با پایگاه داده از پارامترهای آماده استفاده کنید تا از حملات تزریق SQL جلوگیری شود.
• فرار کردن کاراکترهای خاص: کاراکترهای خاصی که برای تزریق کد استفاده می‌شوند را فرار کنید.
• Content Security Policy (CSP): از CSP برای محدود کردن منابعی که مرورگر می‌تواند از آنها بارگذاری کند استفاده کنید.
• HTTPOnly Cookies: کوکی‌ها را به صورت HTTPOnly تنظیم کنید تا از دسترسی اسکریپت‌های سمت کلاینت به آن‌ها جلوگیری شود.
• Secure Cookies: کوکی‌ها را به صورت Secure تنظیم کنید تا فقط از طریق HTTPS ارسال شوند.
• Session Timeouts: مدت زمان اعتبار سشن‌ها را محدود کنید.
• آموزش کاربران: به کاربران آموزش دهید که چگونه از خود در برابر حملات آنلاین محافظت کنند.

HTTPS (Hypertext Transfer Protocol Secure)

• پروتکل امن: HTTPS از یک لایه امنیتی اضافی به نام SSL/TLS استفاده می‌کند که داده‌ها را قبل از انتقال رمزگذاری می‌کند. این لایه امنیتی مانع از دسترسی افراد غیرمجاز به داده‌های در حال انتقال می‌شود و از اطلاعات شما محافظت می‌کند.
• استفاده: برای وب‌سایت‌هایی که اطلاعات حساس کاربران را جمع‌آوری می‌کنند، مانند فروشگاه‌های آنلاین، بانک‌ها و شبکه‌های اجتماعی، الزامی است. همچنین، موتورهای جستجو مانند گوگل به وب‌سایت‌هایی که از HTTPS استفاده می‌کنند، امتیاز بیشتری می‌دهند.

مزایای استفاده از HTTPS

• امنیت داده‌ها: مهم‌ترین مزیت HTTPS، امنیت داده‌هایی است که بین مرورگر و سرور رد و بدل می‌شوند. با استفاده از HTTPS، داده‌ها رمزنگاری می‌شوند و هکرها نمی‌توانند به راحتی به آن‌ها دسترسی پیدا کنند. این امر به ویژه برای وب‌سایت‌هایی که اطلاعات حساس مانند اطلاعات کارت اعتباری، اطلاعات ورود به سیستم و اطلاعات شخصی کاربران را جمع‌آوری می‌کنند، بسیار مهم است.
• افزایش اعتماد کاربران: کاربران به وب‌سایت‌هایی که از HTTPS استفاده می‌کنند، اعتماد بیشتری دارند. زیرا می‌دانند که اطلاعات آن‌ها به صورت امن انتقال داده می‌شود. این امر به ویژه برای فروشگاه‌های آنلاین و وب‌سایت‌هایی که اطلاعات شخصی کاربران را جمع‌آوری می‌کنند، بسیار مهم است.
• بهبود رتبه‌بندی در موتورهای جستجو: موتورهای جستجو مانند گوگل به وب‌سایت‌هایی که از HTTPS استفاده می‌کنند، امتیاز بیشتری می‌دهند. این بدان معناست که وب‌سایت‌هایی که از HTTPS استفاده می‌کنند، در نتایج جستجو رتبه بالاتری خواهند داشت.
• فعال‌سازی قابلیت‌های جدید مرورگرها: برخی از مرورگرهای وب، قابلیت‌های جدیدی را تنها برای وب‌سایت‌هایی که از HTTPS استفاده می‌کنند، فعال می‌کنند.
• جلوگیری از حملات مرد میانی: HTTPS از وب‌سایت‌ها در برابر حملات مرد میانی محافظت می‌کند. در این نوع حملات، هکرها خود را به جای سرور اصلی جا می‌زنند و به داده‌های کاربران دسترسی پیدا می‌کنند.
• بهبود تجربه کاربری: استفاده از HTTPS باعث می‌شود که کاربران تجربه کاربری بهتری داشته باشند. زیرا آن‌ها مطمئن هستند که اطلاعات آن‌ها به صورت امن انتقال داده می‌شود و وب‌سایت مورد نظر قابل اعتماد است.

چه زمانی از HTTP و HTTPS استفاده کنیم؟

• HTTP: برای وب‌سایت‌هایی که اطلاعات حساس کاربران را منتقل نمی‌کنند، مانند وب‌سایت‌های شخصی یا وبلاگ‌ها، می‌توان از HTTP استفاده کرد.
• HTTPS: برای همه وب‌سایت‌هایی که اطلاعات حساس کاربران را جمع‌آوری می‌کنند، مانند فروشگاه‌های آنلاین، بانک‌ها، شبکه‌های اجتماعی و هر وب‌سایت دیگری که نیاز به ورود به سیستم دارد، باید از HTTPS استفاده شود.

نحوه تشخیص سایت های دارای https

برخی از مرورگرها دیگر صفحات http را باز نمی کنند و اخطاری مانند تصویر زیر را به شما نشان می دهند.

در مرورگرهای دیگر می توان سایت های دارای https را با دیدن آیکون سبز رنگ به شکل قفل دقیقا قبل از url تشخیص داد. البته شروع آدرس اینترنتی با https نیز یکی دیگر از نشانه های آن است.

مراحل تغییر از HTTP به HTTPS

مهاجرت از HTTP به HTTPS برای بسیاری از افراد سخت است زیرا ممکن است با مشکلات احتمالی مواجه شوند. در این بخش به مراحل انجام این کار اشاره می‌‌‌کنیم:

• انتخاب یکی از انواع گواهینامه SSL
• خرید SSL و نصب آن بر روی دامنه
• هدایت تمامی صفحات از HTTP به HTTPS
• تایید مجدد مالکیت در سرچ کنسول گوگل
• به روزرسانی نقشه سایت (sitemap)
• به روزرسانی فایل robots.txt
• به روزرسانی تنظیمات گوگل آنالیتیکس
• انجام تست

سخن آخر: 

به یاد داشته باشید: همیشه به آدرس وب‌سایت، آیکون قفل و هشدارهای مرورگر توجه کنید تا از امنیت اطلاعات خود اطمینان حاصل کنید.