If you're seeing this message, it means we're having trouble loading external resources on our website.

Jeżeli jesteś za filtrem sieci web, prosimy, upewnij się, że domeny *.kastatic.org i *.kasandbox.org są odblokowane.

Główna zawartość

Kurs: Podstawy informatyki - program rozszerzony > Rozdział 7

Lekcja 6: Bezpieczne protokoły internetowe
Informatyka
Podstawy informatyki - program rozszerzony
Bezpieczeństwo danych w sieci
Bezpieczne protokoły internetowe
© 2024 Khan AcademyWarunki użytkowaniapolitykę prywatnościInformacja o plikach cookie

HTTP Secure (HTTPS)

Google Classroom
Kiedy przeglądamy sieć, kto może zobaczyć, co czytamy? Kto może zobaczyć tekst, który wpisujemy do formularzy?
Dzięki standardowemu HTTP, wiele osób może: atakujący przechwytywać pakiety, dostawcy usług internetowych monitorować ruch, agencje rządowe podsłuchiwać połączenia światłowodowe tworzące szkielet Internetu. Używając dobrze znanych exploitów, mogą oni odczytać zawartość każdej strony internetowej, a nawet wstrzyknąć własne treści.
Dlatego strony internetowe coraz częściej korzystają z protokołu HTTPS (Hypertext Transfer Protocol Secure), aby chronić prywatność swoich użytkowników i zapobiegać manipulacjom. Protokół HTTPS jest również znany jako HTTP przez TLS, ponieważ jest on wdrażany poprzez szyfrowanie zapytań i odpowiedzi HTTP za pomocą protokołu TLS.

URL-e HTTPS-u

Połączenie HTTPS rozpoczyna się od adresu URL w pasku adresu. Standardowe połączenia HTTP mają adresy URL, które rozpoczynają się od "http://". Bezpieczne połączenia HTTP mają adresy URL rozpoczynające się od "https://".
⬆ Spójrz teraz na pasek adresu. Powinieneś zobaczyć adres URL, który zaczyna się od "https://www.pl.khanacademy.org/". Jeśli zaczyna się on od "khanacademy.org/", spróbuj dwukrotnie kliknąć pasek adresu, aby zobaczyć pełny adres URL.
Oczywiście, większość użytkowników będzie po prostu wpisywać domenę, jak np. "pl.khanacademy.org". Rozsądni użytkownicy mogą nawet wpisać adres URL, taki jak "http://khanacademy.org". Gdy strona obsługuje protokół HTTPS i chce mieć pewność, że wszyscy jej użytkownicy mają bezpieczne połączenie, powinna przekierować wszystkie żądania do wersji HTTPS swojej strony.
🔍 Spróbuj wpisać kilka adresów URL swoich ulubionych stron w nowej zakładce i sprawdzić ostateczny adres URL w pasku adresu po załadowaniu strony. Czy któryś z nich przekierował do HTTPS? Czy któryś z nich używa HTTP, którego naprawdę chciałbyś użyć z HTTPS-em?

Połączenia HTTPS

Kiedy przeglądarka ładuje adres URL, który zaczyna się od "https", rozpoczyna proces ustanawiania bezpiecznego połączenia przez TLS. (Potrzebujesz odświeżenia informacji o tym procesie? Zobacz nasz artykuł o TLS)
Na wczesnym etapie tego procesu przeglądarka musi zweryfikować certyfikat cyfrowy domeny. Istnieje wiele sposobów, aby certyfikat był nieważny, a przeglądarki często wyświetlają błędy certyfikatów.
Oto jak to wygląda, gdy Chrome odkrywa, że certyfikat został wydany przez organ certyfikujący, któremu nie ufa:
Screenshot of Chrome loading a website with an invalid certificate. Chrome address bar displays red warning icon, and text "Not secure". Instead of webpage content, Chrome displays warning "Your connection is not private. Attackers might be trying to steal your information from untrusted-root.badssl.com (for example, passwords, messages, or credit cards)." plus error code "NET::ERR_CERT_AUTHORITY_INVALID".
Jeśli certyfikat jest ważny i wszystko inne idzie gładko w konfiguracji TLS, większość przeglądarek wyświetla kłódkę w pasku adresu. Kłódka oznacza zabezpieczone połączenie za pomocą protokołu HTTPS.
Oto ikona kłódki w Firefoxie:
Screenshot of Firefox loading a secure website. Address bar displays an information icon, green lock icon, and URL "https://www.google.com".
Kliknięcie tej ikony kłódki daje jeszcze więcej informacji na temat bezpieczeństwa witryny:
Screenshot of Firefox loading a secure website. Address bar displays an information icon, green lock icon, and URL "https://www.google.com". A pop-up over information icon says "Site information for www.google.com, Connection: Secure Connection".

Korzyści z HTTPS

Połączenie HTTPS zapewnia, że tylko przeglądarka i zabezpieczona domena widzą dane w żądaniach i odpowiedziach HTTP. Osoby postronne mogą nadal widzieć, że dany adres IP komunikuje się z inną domeną/IP i mogą zobaczyć, jak długo trwa to połączenie. Nie widzą jednak treści komunikacji, która zawiera pełną ścieżkę URL, HTML strony oraz wszelkie dane tekstowe przesyłane w formularzach. W tej chwili obserwator może wiedzieć, że odwiedzasz khanacademy.org, ale nie wie, że czytasz artykuł o HTTPS.
HTTPS zapobiega również ingerencji w zawartość strony internetowej. Gdy strona jest zabezpieczona przez standardowe połączenie HTTP, pakiety mogą zostać przechwycone, a ich zawartość podmieniona. Jeśli atakujący lub nawet agencja rządowa przechwyci odwiedziny na stronie z wiadomościami, może z łatwością zaserwować fałszywe wiadomości. TLS zawiera mechanizm wykrywania zmian w pakietach, dzięki czemu połączenia HTTPS są odporne na manipulacje.
Wiele organizacji uważa, że każda strona internetowa powinna obsługiwać wszystkie połączenia poprzez HTTPS, ze względu na ogromne korzyści. Według stanu na luty 2019 mniej więcej połowa z miliona najpopularniejszych stron internetowych używa domyślnie protokołu HTTPS. Czy kiedykolwiek dojdzie to do 100%? Możesz pomóc nam się tam dostać, prosząc swoje ulubione strony internetowe, aby korzystać z protokołu HTTPS lub stając się bezpiecznym twórcą stron internetowych samodzielnie.
🙋🏽🙋🏻‍♀️🙋🏿‍♂️Masz pytania związane z tym zagadnieniem? Możesz zadać swoje pytanie poniżej!

Chcesz dołączyć do dyskusji?

Zaloguj się
Na razie brak głosów w dyskusji
Rozumiesz angielski? Kliknij tutaj, aby zobaczyć więcej dyskusji na angielskiej wersji strony Khan Academy.