למה HTTPS חשוב

קייס בסקית
קייס בסקית
X GitHub תקלה

תמיד חשוב להגן על כל האתרים באמצעות HTTPS, גם אם הם לא מטפלים בתקשורת רגישה. מלבד האבטחה הנדרשת ותקינות הנתונים באתרים שלכם וגם במידע האישי של המשתמשים, HTTPS נדרש עבור הרבה תכונות דפדפן חדשות, במיוחד את אלה שנדרשות לאפליקציות מסוג Progressive Web App.

סיכום

  • פולשים גם מזיקים וגם זדוניים מנצלים כל משאב לא מוגן בין האתרים לבין המשתמשים שלכם.
  • פולשים רבים בודקים התנהגות מצטברת כדי לזהות את המשתמשים שלך.
  • HTTPS לא רק חוסם שימוש לרעה באתר. זו גם דרישה להרבה תכונות חדשניות וטכנולוגיה שמאפשרת יכולות דמויות של אפליקציות, כמו קובצי שירות (service worker).

HTTPS מגן על תקינות האתר

פרוטוקול HTTPS עוזר למנוע מפולשים לשנות את התקשורת בין האתרים לבין הדפדפנים של המשתמשים. פולשים כוללים תוקפים זדוניים מכוונות וחברות לגיטימיות אבל פולשניות, כמו ספקי אינטרנט או מלונות שמחדירים מודעות לדפים.

פולשים מנצלים לרעה תקשורת לא מוגנת כדי להטעות את המשתמשים ולגרום להם למסור מידע רגיש, להתקין תוכנות זדוניות או כדי להוסיף מודעות משלהם למשאבים שלכם. לדוגמה, צדדים שלישיים מסוימים מחדירים מודעות לאתרים שעלולים לפגוע בחוויית המשתמש וליצור נקודות חולשה באבטחה.

פולשים מנצלים כל משאב לא מוגן שעובר בין האתרים שלכם לבין המשתמשים. אפשר לנצל תמונות, קובצי Cookie, סקריפטים, HTML... פריצות יכולות להתרחש בכל נקודה ברשת, כולל במחשב של המשתמש, בנקודה לשיתוף אינטרנט ב-Wi-Fi או אצל ספק אינטרנט שנפגע, בין היתר.

פרוטוקול HTTPS מגן על הפרטיות והאבטחה של המשתמשים

פרוטוקול HTTPS מונע מפולשים להקשיב באופן פסיבי לתקשורת בין האתרים לבין המשתמשים.

אחת מהתפיסות השגויות הנפוצות לגבי HTTPS היא שהאתרים היחידים שזקוקים ל-HTTPS הם אלו שמטפלים בתקשורת רגישה. כל בקשת HTTP לא מוגנת עלולה לחשוף מידע על ההתנהגות והזהויות של המשתמשים. יכול להיות שביקור אחד באחד מהאתרים הלא מוגנים שלכם נראה משכנע, אבל יש פולשים שמסתכלים על פעילויות הגלישה המצטברות של המשתמשים, כדי להסיק מסקנות לגבי ההתנהגות והכוונות שלהם ולבטל את האנונימיזציה של הזהות שלהם. לדוגמה, עובדים עלולים בטעות לחשוף למעסיקים שלהם תנאים בריאותיים רגישים מבלי שהם יקראו מאמרים רפואיים לא מוגנים.

HTTPS הוא עתיד האינטרנט

תכונות חדשות וחזקות של פלטפורמות אינטרנט, כמו צילום תמונות או הקלטת אודיו באמצעות getUserMedia(), הפעלת שימוש באפליקציות אופליין עם service worker או פיתוח אפליקציות מסוג Progressive Web App, מחייבות הרשאה מפורשת מהמשתמש לפני הביצוע. אנחנו מעדכנים גם הרבה ממשקי API ישנים יותר שכדי להפעיל אותם נדרשת הרשאה, למשל Geolocation API. HTTPS הוא רכיב מרכזי בתהליכי העבודה של ההרשאות בתכונות החדשות ובממשקי ה-API המעודכנים.