I. Tìm hiểu về giao thức HTTP
#1. HTTP là gì?
HTTP là viết tắt của cụm từ HyperText Transfer Protocol – đây là một giao thức truyền tải siêu văn bản được sử dụng trong WWW (World Wide Web).
HTTP là một giao thức chuẩn về mạng Internet, được phát triển từ những năm 1990. Nó được dùng để liên hệ thông tin giữa MÁY CUNG CẤP DỊCH VỤ (Web SERVER) và MÁY SỬ DỤNG DỊCH VỤ (Web Client). Chính vì vậy, việc truy cập vào một website được tiến hành dựa trên các giao tiếp giữa 2 đối tượng trên.
Ngoài ra thì HTTP cũng là một giao thức ứng dụng của bộ giao thức TCP/IP (đây là các giao thức nền tảng cho Internet). Và thường thì giao thức HTTP sử dụng cổng 80 (Port 80) là chủ yếu.
Bạn đang đọc: Tìm hiểu kỹ hơn về giao thức HTTP và HTTPs (rất dễ hiểu)
HTTP được sử dụng để truyền tải tài liệu giữa web server đến những trình duyệt web mà bạn đang sử dụng, ví dụ điển hình như Microsoft Edge, Google Chrome, Safari, Cốc Cốc hay là FireFox …
Ví dụ như khi bạn truy cập vào địa chỉ web như blogchiasekienthuc.com, giao thức HTTP:// hoặc HTTPS:// sẽ được tự động thêm vào.
Giao thức HTTP sẽ truyền tài liệu đi dưới dạng văn bản thô ( không được mã hóa ) nên rất dễ bị lấy cắp ( sniff ) bởi những tin tặc, bằng việc sử dụng những công cụ Free như : Wireshark, TCPDump hay fiddler ( nhất là người ở trong cùng mạng LAN / Wi-Fi của bạn ) .Vậy nên bạn hãy bỏ ngay thói quen dùng những mạng Wi-Fi công cộng không đặt pass để truy vấn vào những thông tin tài khoản nhạy cảm nhé ( ví dụ như thông tin tài khoản ngân hàng nhà nước, hay những thanh toán giao dịch, hoặc đăng nhập facebook … ví dụ điển hình ) .
Bởi rất có khả năng, đó là một hotspot mà hacker tạo ra để nhử mồi đấy, điều đáng sợ là họ có thể làm được với các smartphone cực kỳ nhỏ gọn, và rất khó bị phát hiện.
Đọc thêm : Hãy cẩn trọng khi sử dụng WiFi công cộng và những mạng WiFi Free
Nếu bạn chỉ xem tin tức trên những website thường thì và không nhập bất kỳ tài liệu nhạy cảm ( thông tin cá thể, mật khẩu, thẻ ngân hàng nhà nước, … ) nào thì không yếu tố gì .Thế nhưng, nếu bạn nhập những tài liệu “ nhạy cảm ” thì sẽ rất dễ bị đánh cắp đấy. Bởi những tài liệu nhạy cảm này sẽ đi từ máy tính của bạn => đến mạng LAN Ethernet / Wi-Fi / Router công cộng => để đến sever web .Trên đường đi, những tin tặc ở đâu đó trên Internet hoàn toàn có thể “ sniff ” và lấy cắp những thông tin này .Như vậy : tên, địa chỉ, số điện thoại thông minh, số thẻ ngân hàng nhà nước … của bạn đã nằm trong tay kẻ tà đạo và họ hoàn toàn có thể sử dụng với mục tiêu xấu : chạy quảng cáo, làm hồ sơ vay tiền, mua đồ trái phép, …
#2. Giao thức HTTP hoạt động như thế nào?
Nói về giao thức HTTP thì rất dài, vậy nên ở đây mình sẽ lý giải một cách ngắn gọn và dễ hiểu nhất về phương pháp hoạt động giải trí của giao thức này. OK !Khi bạn truy vấn vào một website sử dụng giao thức HTTP => thì lúc này trình duyệt web sẽ thực thi những phiên liên kết đến SERVER của website đó ( trải qua 1 địa chỉ IP, do mạng lưới hệ thống phân giải tên miền DNS cấp ) .=> Và SERVER sau khi nhận lệnh => sẽ trả về những lệnh tương ứng giúp website hoàn toàn có thể hiển thị khá đầy đủ những nội dung ( video, hình ảnh … )
Trong quy trình liên kết và trao đổi thông tin giữa máy tính và máy SERVER, trình duyệt web sẽ mặc định thừa nhận địa chỉ IP đó đến từ SERVER của chính website mà bạn muốn truy vấn, mà nó không hề có giải pháp xác nhận nào cả .Và tổng thể những thông tin được gửi đi qua giao thức HTTP ( trong đó có địa chỉ IP, hay những thông tin mà bạn nhập vào website … ) cũng không hề được mã hóa và bảo mật thông tin .Vậy nên người dùng rất hoàn toàn có thể sẽ bị tiến công sniffing. Hacker hoàn toàn có thể thuận tiện “ chen ngang ” vào liên kết giữa máy tính của bạn và sever ( SERVER ) để đánh cắp những tài liệu mà người dùng đã gửi đi ( ví dụ như mật khẩu, thông tin của thẻ tín dụng thanh toán, thông tin tài khoản ngân hàng nhà nước … ). Thậm chí, mọi thao tác của người dùng trên website đó đều hoàn toàn có thể bị ghi lại mà họ không hề hay biết .=> Và đây chính là kẽ hở chết người của giao thức HTTP, rất nhiều hacker đã tận dụng kẽ hở này để đánh cắp thông tin người dùng, thường được gọi là tiến công sniffing như mình đã nói bên trên .
II. Tìm hiểu về giao thức HTTPS
#1. Giao thức HTTPs là gì?
HTTPs (viết tắt là Hyper Text Transfer Protocol Secure) hay còn gọi là “Giao thức truyền tải siêu văn bản bảo mật”, hiểu đơn giản thì nó là giao thức HTTP được cộng thêm tính năng bảo mật nữa.
HTTPS sử dụng cổng 443 ( Port 443 ) – đây chính là cổng có tương hỗ mã hóa liên kết từ máy tính Client ( máy tính của bạn ) đến SERVER ( sever của web ), nhằm mục đích bảo vệ gói dữ liệu đang được truyền đi một cách bảo đảm an toàn hơn .
#2. HTTPs hoạt động như thế nào?
Nói chung là HTTPS hoạt động tương tự như HTTP, tuy nhiên nó được bổ sung thêm chứng chỉ bảo mật SSL (Secure Sockets Layer) hoặc TLS (Transport Layer Security). Ở thời điểm hiện tại thì đây là các tiêu chuẩn bảo mật hàng đầu cho hàng triệu trab web trên toàn thế giới.
Khác với HTTP, khi bạn truy vấn vào một website thì HTTPs sẽ tương hỗ xác nhận tính đích danh của website đó trải qua việc kiểm tra xác nhận bảo mật thông tin ( Security Certificate ) .
- Các xác thực bảo mật này được cung cấp và xác minh bởi Certificate Authority (CA) – đây là các tổ chức phát hành các chứng thực của các loại chứng thư số cho các cá nhân, doanh nghiệp, máy chủ, mã nguồn, phần mềm…
- Và đương nhiên, các tổ chức này đóng vai trò là bên thứ ba, được cả hai bên tin tưởng để hỗ trợ quá trình trao đổi thông tin an toàn.
HTTPS có nhiệm vụ mã hóa dữ liệu của HTTP, HTTPs sẽ đảm bảo rằng tất cả dữ liệu được truyền qua Internet giữa máy tính và máy SERVER được bảo mật bằng cách sử dụng các thuật toán mã hóa + hàm băm (AES, MD5, SHA2,…) để xáo trộn dữ liệu trước khi truyền đi.
Nhiều bạn đọc đến đây sẽ vướng mắc là tại sao tài liệu đã bị trộn lẫn, bị mã hoá rồi mà Client và SERVER vẫn đọc được, trong khi đó người thứ 3 thì không hề. Có đúng không ạ ?
Vậy thì các bạn hãy tìm hiểu thêm mô hình PKI mã hoá bằng khoá công khai – asymmetric public key infrastructure.
Hiểu nôm na là tài liệu SERVER gửi đến Client ( máy tính người dùng ) => được server mã hoá bằng khoá công khai minh bạch của chính Client + khóa quy ước giữa client + server, và ngược lại .Bạn nên tìm hiểu riêng về PKI, bởi nó là một chủ đề rộng và rất phức tạp, không hề nói đôi ba câu hay lồng ghép nó vào bài viết này được, rất rối, vì vậy những bạn đừng kinh ngạc khi nghe những khái niệm chuyên ngành ( vốn không nên dịch ra tiếng Việt ) như : certificate, hash, public-key, private-key, …
Ví dụ, nếu bạn vào các trang web đạt tiêu chuẩn bảo mật thì bạn sẽ thấy có một chữ s sẽ được thêm vào sau chữ http trong địa chỉ web => https.
Điều này cho biết rằng bạn hiện đang sử dụng giao thức https, và đã vào một website bảo mật thông tin, nơi mà tài liệu nhạy cảm sẽ được sẽ được bảo vệ trên đường truyền .
Ngoài việc chữ S được thêm vào thì trình duyệt web sẽ hiển thị biểu tượng “ổ khóa” màu xanh trong thanh địa chỉ để cho biết rằng HTTPs đang được sử dụng, được trang bị đầy đủ 100% HTTPS (chứ không phải đơn thuần bản thân web là https, còn một số thành phần như script, image được load qua kênh http thông thường).
Bằng cách sử dụng HTTPs, tất cả dữ liệu bao gồm mọi nội dung bạn nhập sẽ không còn được gửi dưới dạng văn bản thô (raw) như với giao thức HTTP nữa, mà nó sẽ được mã hoá để không thể đọc được bởi bên thứ 3 khi nó di chuyển trên Internet.
Nếu bạn là dân chuyên thì chắc chắn bạn đã không còn lạ lẫm gì khi các “service” phổ biến đều được thêm chữ “s” huyền thoại này vào đúng không:
Ví dụ như FTPS, IMAPS, LDAPS, … chúng đều là những dịch vụ dễ bị tin tặc sniff, nhưng có thêm chữ S này vào thì mọi chuyện đã trọn vẹn khác, bạn đã thấy điều kì diệu của công nghệ tiên tiến chưa ?
#3. HTTPs bảo mật dữ liệu bằng cách nào?
Những ví dụ và giải thích ở phần #2 đã phần nào giúp các bạn hiểu hơn về cách thức hoạt động của HTTPs cũng như cách mà nó bảo mật dữ liệu rồi phải không ạ !
Tuy nhiên, mình vẫn muốn nói kỹ hơn về phần này một chút ít. Đầu tiên là chứng từ bảo mật thông tin SSL :
SSL là chữ viết tắt của Secure Sockets Layer, là một giao thức được sử dụng để bảo vệ bảo mật an ninh trên Internet. Nó sử dụng mã hóa khóa công khai minh bạch PKI để bảo mật thông tin tài liệu .Chứng chỉ SSL là chứng từ kỹ thuật số được sử dụng để xác nhận danh tính của website. Về cơ bản thì nó được sử dụng để cho máy tính của bạn biết rằng website mà bạn đang truy vấn là đáng đáng tin cậy .Mình sẽ lý giải một cách đơn thuần nhất về SSL cho những bạn dễ tưởng tượng nhé :
Khi bạn mở một website có sử dụng SSL ( ví dụ như blogchiasekienthuc.com ví dụ điển hình ) => lúc này trình duyệt web của máy tính sẽ nhu yếu website đó phải xác nhận được danh tính => sever của website ( SERVER ) sẽ gửi một bản sao chứng từ SSL cho máy tính đó=> Sau khi đã nhận được chứng từ SSL từ sever thì trình duyệt web trên máy tính sẽ triển khai kiểm tra để bảo vệ rằng chứng từ này là đáng an toàn và đáng tin cậy => và một khi đã xác thực chứng chỉ là đáng đáng tin cậy thì nó sẽ gửi thông điệp đến sever web ( SERVER ) => sever web sẽ xác nhận lại phần kiểm tra SSL đã xong => sau cuối thì tài liệu được mã hóa đã hoàn toàn có thể trao đổi qua lại giữa máy tính và sever web .
Tuy nhiên, giao thức SSL ( v3. 0 năm 2000 ) đã bị lỗi thời, có lỗ hổng trong phong cách thiết kế và đang được sửa chữa thay thế bởi một giao thức khác, đó là giao thức TLS .
TLS là chữ viết tắt của Transport Layer Security, đây là giao thức mã hóa theo tiêu chuẩn công nghiệp mới nhất, nó là sự kế thừa của SSL và nó dựa trên cùng thông số kỹ thuật.
Mình vẫn nhắc đến SSL ở trên là vì nếu website sử dụng TLS thì vẫn có khả năng bị hacker tấn công downgrade từ TLS 1.0 xuống SSL 3.0 để khai thác những lỗ hổng của SSL, cho nên mới nói an ninh mạng là cực kì phức tạp.
Cũng giống như SSL, TLS ( phiên bản mới nhất là 1.3 dùng từ năm 2018 ) cũng xác nhận sever, máy khách và mã hóa dữ liệu trước khi truyền tải đi .Như những bạn đều biết, hiện tại đã có rất nhiều website sử dụng giao thức https, mặc dầu những website này chỉ đơn thuần là những website báo chí truyền thông, blog … không hề trao đổi bất kể thông tin mua và bán hay thanh toán giao dịch nào cả .
NOTE: Trước đây chỉ những trang web thương mại điện tử, trang web ngân hàng, tài chính.. những trang web cần nhập thông tin nhạy cảm… thì họ mới sử dụng đến giao thức https.
Điều này là chính bới Google ngày càng khắt khe hơn trong việc trấn áp những website bảo đảm an toàn, ông lớn này đang dữ thế chủ động “ gắn cờ ” những website không sử dụng giao thức https là không bảo đảm an toàn ( hơn nữa website có https sẽ được “ SEO rank ” nhìn nhận cao hơn trong mắt Google – cái này thì bạn bè làm SEO mới hiểu : D ) .Nói tóm lại là, khi sử dụng một website, một dịch vụ có sử dụng giao thức bảo mật thông tin HTTPS thì người dùng và sever trọn vẹn hoàn toàn có thể tin yêu lẫn nhau, những thông tin được chuyển giao qua lại luôn trong trạng thái nguyên vẹn, không qua bất kỳ chỉnh sửa, xô lệch nào so với tài liệu nguồn vào .Đọc thêm :
III. Kết luận
Vâng, như vậy là mình đã giới thiệu một cách cơ bản nhất về giao thức HTTP và HTTPs rồi nhé. Qua bài viết này thì bạn cũng hiểu được HTTP là gì? và HTTPs là gì rồi đúng không?
Đây coi như là bài nhập môn về bảo mật thông tin bảo mật an ninh mạng, cho nên vì thế mình chỉ gợi mở thêm những từ khóa để nếu muốn, những bạn hoàn toàn có thể tra thêm Google để tìm hiểu thêm về chúng nhé ( ưu tiên những tài liệu tiếng Anh ) .Với những bạn làm văn phòng, học viên / sinh viên thì chỉ cần hiểu một điều là luôn ưu tiên truy vấn những website có giao thức https, nhất là trong thiên nhiên và môi trường công cộng : Wi-Fi cafe, quán Net …Còn so với những bạn Webmaster thì nên tiến hành web với giao thức https ngay lập tức, vừa là để bảo mật thông tin cho server / người dùng, vừa là để tăng thứ hạng trên Google, hãy thử tìm hiểu Cloudflare Flexible SSL để tiến hành trọn vẹn không tính tiền nhé !
CTV: Dương Minh Thắng – Blogchiasekienthuc.com
Bài viết đạt : 5/5 sao – ( Có 3 lượt nhìn nhận )
Source: https://quangcao24h.net
Category: thuật ngữ quảng cáo