Περιορισμοί στην ασφάλεια

Παρόλο που οι παραβιάσεις της ασφάλειας στο Internet δεν είναι συχνές, είναι σημαντικό να έχετε υπόψη σας τους εγγενείς περιορισμούς οποιουδήποτε συστήματος ασφάλειας του Internet. Οι πληροφορίες που ακολουθούν δεν αφορούν μόνο το Host On-Demand, αλλά ισχύουν επίσης για τις περισσότερες εφαρμογές του Internet που χρησιμοποιούν το πρωτόκολλο http. Οι πληροφορίες αυτές δεν ισχύουν αν ο εξυπηρετητής διαδικτύου σας χρησιμοποιεί το ασφαλές πρωτόκολλο http (https).

Για το Host On-Demand, η ασφάλεια SSL εξακολουθεί να παρέχεται ακόμα και αν έχει απενεργοποιηθεί η εξακρίβωση στοιχείων εξυπηρετητή.

Μια συνήθης σύνδεση SSL μεταξύ ενός συστήματος πελάτη και ενός εξυπηρετητή λειτουργεί ως εξής:

Όταν χρησιμοποιείται πιστοποιητικό που έχει υπογραφεί από Υπηρεσία έκδοσης πιστοποιητικών (CA):

Το σύστημα πελάτης επικοινωνεί με τον εξυπηρετητή.
Ο εξυπηρετητής στέλνει το υπογεγραμμένο από την υπηρεσία CA πιστοποιητικό του στο σύστημα πελάτη.
Το σύστημα πελάτης ελέγχει τη δική του λίστα έμπιστων υπηρεσιών CA για να διαπιστώσει αν περιλαμβάνει την υπηρεσία CA που υπέγραψε το πιστοποιητικό του εξυπηρετητή. Αν υπάρχει, η διαπραγμάτευση SSL συνεχίζεται. Αν όχι, διακόπτεται αμέσως.

Όταν χρησιμοποιείται αυτο-υπογραφόμενο πιστοποιητικό:

Το σύστημα πελάτης επικοινωνεί με τον εξυπηρετητή.
Ο εξυπηρετητής στέλνει το αυτο-υπογραφόμενο πιστοποιητικό του στο σύστημα πελάτη.
Το σύστημα πελάτης ελέγχει τη δική του λίστα αυτο-υπογραφόμενων πιστοποιητικών για να διαπιστώσει αν περιλαμβάνει το πιστοποιητικό του εξυπηρετητή. Αν υπάρχει, η διαπραγμάτευση SSL συνεχίζεται. Αν όχι, διακόπτεται αμέσως.

Γιατί πρέπει να είστε προσεκτικοί
Το κρίσιμο σημείο της διαδικασίας είναι όταν το σύστημα πελάτης ελέγχει τη λίστα των έμπιστων υπηρεσιών CA και τη λίστα των αυτο-υπογραφόμενων πιστοποιητικών του. Για τοπικά εγκατεστημένους πελάτες, στους οποίους το Host On-Demand φορτώνεται απευθείας από το σκληρό δίσκο του συστήματος πελάτη, η λίστα αυτή φυλάσσεται στον τοπικό σκληρό δίσκο. Αυτό θεωρείται επαρκώς ασφαλές. Όμως, για πελάτες μεταφόρτωσης, όπου το σύστημα πελάτης χρησιμοποιεί το πρόγραμμα πλοήγησης για τη μεταφόρτωση όλου του κώδικα από τον εξυπηρετητή μέσω http, το μόνο σημείο όπου το πρόγραμμα πλοήγησης μπορεί να αναζητήσει τη λίστα των έμπιστων υπηρεσιών CA ή των έμπιστων αυτο-υπογραφόμενων πιστοποιητικών είναι στον ίδιο τον εξυπηρετητή από τον οποίο μόλις μεταφόρτωσε το πιστοποιητικό. Αν ο εξυπηρετητής αυτός έχει συνδεθεί παράνομα, παραβιάζεται η ασφάλεια. Ένας τρόπος να αποφύγετε αυτό το πρόβλημα είναι να χρησιμοποιείτε το πρωτόκολλο https αντί για το http, γιατί το https εξασφαλίζει ότι το πρόγραμμα πλοήγησης έχει πραγματικά συνδεθεί με το σωστό εξυπηρετητή.

Γιατί πρέπει να είστε προσεκτικοί

Το κρίσιμο σημείο της διαδικασίας είναι όταν το σύστημα πελάτης ελέγχει τη λίστα των έμπιστων υπηρεσιών CA και τη λίστα των αυτο-υπογραφόμενων πιστοποιητικών του. Για τοπικά εγκατεστημένους πελάτες, στους οποίους το Host On-Demand φορτώνεται απευθείας από το σκληρό δίσκο του συστήματος πελάτη, η λίστα αυτή φυλάσσεται στον τοπικό σκληρό δίσκο. Αυτό θεωρείται επαρκώς ασφαλές.

Όμως, για πελάτες μεταφόρτωσης, όπου το σύστημα πελάτης χρησιμοποιεί το πρόγραμμα πλοήγησης για τη μεταφόρτωση όλου του κώδικα από τον εξυπηρετητή μέσω http, το μόνο σημείο όπου το πρόγραμμα πλοήγησης μπορεί να αναζητήσει τη λίστα των έμπιστων υπηρεσιών CA ή των έμπιστων αυτο-υπογραφόμενων πιστοποιητικών είναι στον ίδιο τον εξυπηρετητή από τον οποίο μόλις μεταφόρτωσε το πιστοποιητικό. Αν ο εξυπηρετητής αυτός έχει συνδεθεί παράνομα, παραβιάζεται η ασφάλεια. Ένας τρόπος να αποφύγετε αυτό το πρόβλημα είναι να χρησιμοποιείτε το πρωτόκολλο https αντί για το http, γιατί το https εξασφαλίζει ότι το πρόγραμμα πλοήγησης έχει πραγματικά συνδεθεί με το σωστό εξυπηρετητή.

Συναφή θέματα: