Zawsze chroń wszystkie swoje witryny za pomocą protokołu HTTPS, nawet jeśli nie obsługują one poufnych informacji. Oprócz zapewniania kluczowych zabezpieczeń i integralności danych zarówno witryn, jak i danych osobowych użytkowników protokół HTTPS jest wymagany w wielu nowych funkcjach przeglądarek, zwłaszcza w przypadku progresywnych aplikacji internetowych.
HTTPS chroni integralność witryny
Protokół HTTPS uniemożliwia intruzom manipulowanie komunikacją między Twoimi witrynami a przeglądarkami użytkowników. Do intruzów zaliczają się zarówno osoby celowo złośliwie złośliwe, jak i wiarygodne, ale uciążliwe, np. dostawcy usług internetowych wstrzykiwanie reklam na stronach.
Hakerzy wykorzystują niechronioną komunikację, aby nakłonić użytkowników do podania poufnych informacji, zainstalowania złośliwego oprogramowania lub udostępnienia własnych zasobów. Na przykład niektóre firmy zewnętrzne wstrzykiują reklamy, które mogą negatywnie wpływać na wygodę użytkowników i generować luki w zabezpieczeniach.
Hakerzy wykorzystują wszystkie niechronione zasoby, które przemieszczają się między Twoją witryną a użytkownikami. Można ją stosować w przypadku grafik, plików cookie, skryptów i kodu HTML. Włamania mogą mieć miejsce w dowolnym momencie w sieci, m.in. z powodu komputera użytkownika, hotspotu Wi-Fi czy też przejętego dostawcy usług internetowych. HTTPS utrudnia intruzom uzyskanie dostępu do zasobów Twoich witryn.
HTTPS chroni prywatność i bezpieczeństwo użytkowników
HTTPS uniemożliwia intruzom bierne podsłuchiwanie komunikacji między Twoją witryną a użytkownikami.
Jedno z popularnych błędnych przekonań dotyczących protokołu HTTPS polega na tym, że wymagają go jedynie te witryny, które obsługują informacje poufne. W rzeczywistości każde niechronione żądanie HTTP może ujawnić informacje o zachowaniu i tożsamości użytkowników.
Pojedyncza wizyta w niechronionej witrynie może się wydawać niegroźna, ale niektórzy hakerzy analizują zbiorcze działania użytkowników w przeglądarce, wyciągając wnioski na temat ich zachowań i zamiarów oraz zanonimizować swoją tożsamość. Pracownicy mogą na przykład nieumyślnie ujawniać pracodawcom informacje o drażliwych schorzeniach, po prostu odczytując niechronione artykuły medyczne.
HTTPS to przyszłość internetu
Nowe zaawansowane funkcje platformy internetowej, takie jak robienie zdjęć lub nagrywanie dźwięku za pomocą getUserMedia()
, umożliwiające działanie aplikacji offline za pomocą skryptów service worker lub tworzenie progresywnych aplikacji internetowych, wymagają wyraźnego pozwolenia użytkownika przez HTTPS. Wiele starszych interfejsów API, takich jak Geolocation API, wymaga uprawnień do uruchamiania. HTTPS to kluczowy element przepływów pracy związanych z uprawnieniami zarówno w przypadku nowych, jak i zaktualizowanych funkcji.