Online zabezpečení je kriticky důležité a přesto často podceňované aspekt úspěchu webu.
Pokud budete chtít provozovat internetový obchod nebo webové stránky elektronického obchodování, zjevně budete chtít zákazníkům zajistit, aby informace, které vám na tomto webu poskytují, včetně jejich čísla kreditních karet, byly bezpečně řešeny. Bezpečnost webových stránek není však pouze pro online obchody. Zatímco stránky elektronického obchodování a jiné, které se zabývají citlivými informacemi (kreditní karty, čísla sociálního zabezpečení, finanční údaje apod.) Jsou zjevnými kandidáty na bezpečné přenosy, pravdou je, že všechny webové stránky mohou mít prospěch z zajištění.
Chcete-li zabezpečit přenos webu (jak z webu návštěvníkům, tak návštěvníkům zpět na váš webový server), bude tato stránka muset používat protokol HTTPS nebo HyperText Transfer Protocol se Secure Sockets Layer nebo SSL. HTTPS je protokol přenosu šifrovaných dat na webu. Když vám někdo pošle data jakéhokoli druhu, ostatní jsou jinak citliví, HTTPS udrží tento přenos bezpečný.
Existují dva primární rozdíly mezi protokolem HTTPS a HTTP:
- HTTPS se připojí na port 443, zatímco HTTP je na portu 80.
- HTTPS šifruje data odeslaná a přijatá pomocí protokolu SSL, zatímco protokol HTTP vysílá vše jako prostý text.
Většina zákazníků v internetových obchodech vědí, že by měli hledat "https" v adrese URL a hledat ikonu zámku v prohlížeči, když provádějí transakci. Pokud vaše prodejna nepoužívá protokol HTTPS, ztratíte zákazníky a pravděpodobně také otevřete sebe a vaši společnost až do vážné odpovědnosti, pokud vaše nedostatečná bezpečnost ohrozí soukromé údaje někoho. To je důvod, proč dnes téměř každý internetový obchod využívá protokoly HTTPS a SSL - ale jak jsme právě uvedli, používání zabezpečené webové stránky je už nikoli pouze pro stránky elektronického obchodování.
Na dnešním webu mohou všechny weby využít využití SSL. Společnost Google tuto skutečnost dnes doporučuje pro webové stránky jako způsob, jak ověřit, že informace na tomto webu skutečně pocházejí z této společnosti a že se nejedná někdo, kdo by se pokusil spoofit stránky. Jako takový Google nyní odměňuje weby, které používají protokol SSL, což je dalším důvodem, navíc k vylepšenému zabezpečení.
Odesílání šifrovaných dat
Jak již bylo uvedeno výše, služba HTTP odešle údaje shromážděné přes internet v prostém textu. To znamená, že pokud máte formulář s žádostí o číslo kreditní karty, číslo této kreditní karty může být zachyceno každým, kdo má paket sniffer. Vzhledem k tomu, že je k dispozici mnoho bezplatných softwarových nástrojů pro sniffer, mohlo by to udělat někdo vůbec s velmi málo zkušeností nebo školení. Shromažďováním informací prostřednictvím připojení HTTP (nikoliv HTTPS) vybíráte riziko, že tato data mohou být zachycena a protože není šifrována, používá ho zloděj.
Co potřebujete k zajištění bezpečných stránek
Existuje jen několik věcí, které potřebujete k tomu, abyste měli na svých webových stránkách hostitelské zabezpečené stránky:
- Webový server jako Apache s mod_ssl, který podporuje šifrování SSL.
- Jedinečná adresa IP - to je to, co používají poskytovatelé certifikátů k ověření bezpečného certifikátu.
- Certifikát SSL od poskytovatele certifikátů SSL.
Pokud nejste si jisti o prvních dvou položkách, měli byste se obrátit na svého poskytovatele webového hostingu. Budou vám moci říci, zda můžete na svém webu používat protokol HTTPS. V některých případech, pokud používáte poskytovatele hostingu s velmi nízkou cenou, budete pravděpodobně muset změnit hostitelské společnosti nebo upgradovat službu, kterou používáte u vaší současné společnosti, abyste získali ochranu, kterou potřebujete. Pokud tomu tak je, proveďte změnu. Výhody používání SSL stojí za zvýšené náklady na lepší hostingové prostředí.
Jakmile získáte certifikát HTTPS
Jakmile zakoupíte certifikát SSL od renomovaného poskytovatele, váš poskytovatel hostingu bude muset nastavit certifikát na vašem webovém serveru tak, aby při každém přístupu do stránky prostřednictvím protokolu https: // zasáhl bezpečný server. Po nastavení je možné začít vytvářet webové stránky, které musí být v bezpečí. Tyto stránky mohou být postaveny stejným způsobem jako jiné stránky, stačí, abyste se připojili k HTTPS namísto HTTP, pokud používáte na vašem webu libovolné cesty absolutního odkazu na jiné stránky.
Pokud již máte webové stránky, které byly vytvořeny pro protokol HTTP a nyní jste změnili na HTTPS, měli byste být také nastaveni. Stačí zkontrolovat odkazy, abyste se ujistili, že jsou aktualizovány všechny absolutní cesty, včetně cest do obrázkových souborů nebo jiných externích zdrojů, jako jsou listy CSS, soubory JS nebo jiné dokumenty.
Níže naleznete další tipy pro použití protokolu HTTPS:
- Ukažte na všechny webové formuláře na serveru https: //. Kdykoli odkazujete na webové formuláře na svém webu, zvykněte si na ně odkazovat na úplnou adresu URL serveru včetně označení https: //. To zajistí, že jsou vždy zajištěny.
- Použijte relativní cesty k obrázkům na zabezpečených stránkách. Pokud používáte plnou cestu (http: // www …) pro své obrázky a tyto obrázky nejsou na zabezpečeném serveru, vaši zákazníci dostanou chybové zprávy, které říkají věci jako: "Nebezpečné údaje byly nalezeny. Pokračovat?" To může být znepokojující a mnoho lidí zastaví proces nákupu, když to uvidí. Používáte-li relativní cesty, vaše obrázky budou načteny z stejného zabezpečeného serveru jako zbytek stránky.
Původní článek Jennifer Krynin. Upravený Jeremy Girard dne 9.7.17.
