Cái chết của HTTP

HTTP luôn đứng trước rủi ro tiềm ẩn tiến công. Hacker thuận tiện xâm nhập vào lưu lượng truy vấn để triển khai những cuộc tiến công hạ cấp hoặc tận dụng những kỹ thuật khác để cướp cookies. Trong khi đó, HTTPS là giao thức bảo mật thông tin tiêu biểu vượt trội và tân tiến hơn hẳn .Theo thống kê bởi Wired thì lúc bấy giờ có một nửa website trên quốc tế sử dụng giao thức HTTPS. Vào năm 2010, Google đã không thiết lập HTTPS cho Gmail và mở màn tăng trưởng những tính năng mã hóa khác. Nhưng đến năm năm trước, Google đã công nhận và nhìn nhận cao những website sử dụng HTTPS. Năm ngoái, Google còn trở thành nhà hỗ trợ vốn bạch kim của dịch vụ Let’s Encrypt giúp công nhận chứng chỉ số SSL không lấy phí .

Chrome bây giờ cũng hiển thị các cảnh báo về trang web không an toàn. Theo đó, nhiều doanh nghiệp lớn đã chuyển sang HTTPS.

Rõ ràng HTTP đã không hề cạnh tranh đối đầu với HTTPS. Giờ đây, Google đang thực thi những bước tiếp theo nhằm mục đích bảo vệ những liên kết đều bảo đảm an toàn bằng cách triển khai chủ trương bảo mật thông tin HSTS. Vẫn có khả năng tấn công kết nối mạng sử dụng giao thức HTTPS TTO – Được xem là liên kết riêng tư, nhưng giao thức bảo mật thông tin HTTPS không thật sự bảo đảm an toàn, vẫn chứa đựng nhiều rủi ro tiềm ẩn rình rập tiến công an ninh mạng từ những hacker.

Cơ chế tải trước

HSTS là một mạng lưới hệ thống dựa trên thời hạn, nghĩa là trong khoảng chừng thời hạn bạn thiết lập trong max-age ( tính bằng giây ) sẽ bảo vệ rằng website của bạn được ship hàng qua giao thức HTTPS .

Khi trình duyệt tương tác với máy chủ web đã bật HSTS, cơ chế tải trước sẽ tìm một header đặc biệt nói rằng trình duyệt chỉ nên sử dụng giao thức HTTPS để kết nối với server.

Ngay cả khi người dùng nhập vào một địa chỉ HTTP thì HSTS cũng sẽ tự động hóa chuyển trang sang HTTPS trước khi tải. Thiết lập này được tương hỗ trên Chrome, Firefox, Safari, Internet Explorer, Edge và Opera. Ben McIlwain, kỹ sư ứng dụng của Google Registry, cho rằng rằng ” việc sử dụng HSTS sẽ giúp bảo vệ bảo đảm an toàn mặc định cho mọi liên kết ” .Ngoài. google, Google còn triển khai HSTS cho những tên miền có đuôi. how và. soy nhằm mục đích bán cho những công ty hoặc cá thể muốn thiết lập website của riêng họ. Các đuôi khác như. ads ,. boo ,. here và. meme vẫn chưa được phát hành. Tuy nhiên, vì Google vốn chăm sóc đặc biệt quan trọng về bảo mật thông tin ở mức cao nhất, thế nên mọi kế hoạch vận dụng HSTS cho những tên miền hạng sang khác cũng sẽ được thôi thúc sớm thôi .

Quyết định ở người dùng

HSTS có tính bảo mật cao nhưng cũng gây ra nhiều tranh cãi: Chẳng lẽ người dùng không được phép truy cập vào kết nối không an toàn dù họ thật sự thích thế? Vậy trải nghiệm duyệt web là của người dùng hay của HSTS?

Với không có gì bảo vệ khi sử dụng HTTP thì việc Google vận dụng HSTS để chuyển mọi website trở về HTTPS là hài hòa và hợp lý. Giống như khi Microsoft ” khai tử ” những phiên bản cũ và lỗi thời của Windows, Google cũng làm như vậy với HTTP .Cơ chế tải trước của HSTS chỉ đơn thuần tương hỗ người dùng bảo mật thông tin web, còn việc quyết định hành động sử dụng hay không là ở người dùng .

Source: http://139.180.218.5
Category: Thuật ngữ đời thường