Zawsze zabezpieczaj wszystkie swoje witryny za pomocą protokołu HTTPS, nawet jeśli nie obsługują one informacji poufnych. Oprócz zapewnienia kluczowych zabezpieczeń i integralności danych zarówno w przypadku witryn, jak i danych osobowych użytkowników, protokół HTTPS jest wymagany do korzystania z wielu nowych funkcji przeglądarek, szczególnie tych wymaganych w przypadku progresywnych aplikacji internetowych.
Podsumowanie
- Zarówno złośliwe, jak i złośliwe zagrożenie wykorzystuje wszystkie niechronione zasoby znajdujące się między Twoją witryną a użytkownikami.
- Aby zidentyfikować Twoich użytkowników, wielu intruzów analizuje zagregowane zachowania.
- HTTPS nie tylko blokuje niewłaściwe korzystanie z witryny. Jest to również wymagane w przypadku wielu najnowocześniejszych funkcji i technologii umożliwiających działanie typowe dla aplikacji, takich jak mechanizmy Service Worker.
HTTPS chroni integralność witryny
HTTPS pomaga zapobiegać manipulowaniu komunikacją między Twoimi stronami a przeglądarkami użytkowników. Do intruzów należą celowo złośliwi hakerzy oraz legalne, ale uciążliwe firmy, takie jak dostawcy usług internetowych czy hotele, które umieszczają reklamy na stronach.
Intruzowie wykorzystują niechronioną komunikację, aby nakłonić użytkowników do podania poufnych informacji, zainstalowania złośliwego oprogramowania lub umieszczania własnych reklam w Twoich zasobach. Na przykład niektóre firmy zewnętrzne umieszczają reklamy w witrynach, które mogą zaburzać wrażenia użytkowników i generować luki w zabezpieczeniach.
Intruz wykorzystuje wszystkie niechronione zasoby, które znajdują się między Twoimi witrynami a użytkownikami. Obrazy, pliki cookie, skrypty, HTML... można łatwo wykorzystać. Włamania mogą wystąpić w dowolnym miejscu sieci, m.in. na komputerze użytkownika, w hotspotie Wi-Fi czy przejętym dostawcy usług internetowych.
HTTPS chroni prywatność i bezpieczeństwo Twoich użytkowników.
HTTPS uniemożliwia intruzom pasywne podsłuchiwanie komunikacji między Twoimi stronami a użytkownikami.
Jedno z najczęstszych błędnych przekonań związanych z protokołem HTTPS polega na tym, że do obsługi poufnych informacji należą wyłącznie witryny, które potrzebują tego protokołu. Każde niechronione żądanie HTTP może ujawnić informacje o zachowaniach i tożsamości Twoich użytkowników. Mimo że pojedyncza wizyta w jednej z niechronionych witryn może wydawać się niegroźna, niektórzy intruzowie analizują zbiorcze działania użytkowników związane z przeglądaniem, aby wyciągać wnioski na temat ich zachowań i zamiarów oraz dezanonimizować ich tożsamość. Pracownicy mogą na przykład nieumyślnie informować pracodawców o zaburzeniach zdrowotnych, czytając niechronione artykuły medyczne.
HTTPS to przyszłość internetu
Zaawansowane, nowe funkcje platformy internetowej, takie jak robienie zdjęć lub nagrywanie dźwięku za pomocą getUserMedia(), umożliwianie obsługi aplikacji offline za pomocą skryptów usług czy tworzenie progresywnych aplikacji internetowych, wymagają wyraźnej zgody użytkownika przed uruchomieniem. Wiele starszych interfejsów API, takich jak Geolocation API, wymaga uprawnień do działania. HTTPS to kluczowy element przepływów pracy związanych z uprawnieniami zarówno w przypadku tych nowych funkcji, jak i zaktualizowanych interfejsów API.