Nền tảng của bảo mật thông tin xoay quanh ba khái niệm:C-I-A - Tính bảo mật, tính toàn vẹn và tính khả dụng. Đây là những nguyên tắc cơ bản mà bảo mật được thực hiện - hoặc hoàn tác.
Khi bạn duyệt web một cách tình cờ, có thể bạn sẽ không thực sự quan tâm lắm đến việc liệu trang web bạn đang truy cập có thực sự như những gì nó tuyên bố hay không. Tuy nhiên, nếu bạn phải tương tác với trang web và cung cấp thông tin bí mật, C-I-A trở nên quan trọng.
Để làm cho các giao dịch bí mật của chúng tôi trở nên riêng tư, mã hóa đã ra đời. Chúng tôi sử dụng SSL/TLS để kết nối với các trang web "an toàn" và tiến hành kinh doanh, cho dù đó là mua sách trên Amazon, quản lý danh mục đầu tư chứng khoán (tiền buồn cười) trên trang web ngân hàng của bạn hay kiểm tra xét nghiệm DNA cuối cùng được cho là đưa bạn vào danh sách rõ ràng, vì vậy bạn sẽ không phải trả tiền cấp dưỡng ...
Nhưng điều này không trả lời phần Liêm chính. Làm thế nào chúng tôi có thể thực sự chắc chắn rằng các trang web chúng tôi đang truy cập thực sự là những gì họ tuyên bố? Làm cách nào chúng tôi có thể chắc chắn 100% rằng chúng tôi không cố gắng gửi dữ liệu cá nhân đến một máy chủ lừa đảo (lừa đảo)?
Đây là những gì Cơ quan cấp chứng chỉ (CA) làm. Họ là các cơ quan bên thứ ba, trung lập, cung cấp nhận dạng cho các trang web an toàn (HTTPS) trên toàn thế giới. Sự đồng thuận cho rằng nếu một trang web đã được ủy quyền bởi một trong các CA và cung cấp chứng chỉ phù hợp, thì đó là những gì nó tuyên bố.
Vậy là chúng ta ổn, phải không?
Tuy nhiên, điều này có thể không đủ cho một số bạn. Gần đây, người ta đã nói về các cuộc tấn công va chạm MD5 thành công.
Đối với những người không phải là chuyên viên máy tính, đây là ý chính của nó:Băm là các hàm tiêm không thể đảo ngược, ánh xạ duy nhất văn bản rõ ràng thành văn bản mã hóa. Điều này có nghĩa là không có hai giá trị khác nhau nào có cùng một hàm băm. Hầu hết các thuật toán băm phổ biến là MD5 và SHA-1.
Do đó, nếu một trang web được cung cấp chứng chỉ, thì chứng chỉ này có một hàm băm nhất định. Về lý thuyết, không có trang web nào khác có thể có cùng hàm băm, bất kể nội dung của nó.
Xung đột MD5 chính xác là như vậy - trường hợp hai giá trị khác nhau được dịch thành cùng một hàm băm. Điều này có nghĩa là hai chứng chỉ khác nhau có thể có cùng một chữ ký. Do đó, về lý thuyết, một trang web giả mạo có thể xuất trình chứng chỉ giả với MD5 khớp với chứng chỉ của trang web hợp pháp mà trang web đó đang cố mạo danh và các trình duyệt web trên toàn thế giới sẽ vui vẻ chấp nhận nó vì quá trình kiểm tra hàm băm sẽ vượt qua.
Điều này có nghĩa là chúng tôi không thể tin tưởng bất kỳ nguồn xác minh nào cho các trang web. Chúng tôi yêu cầu một cách tiếp cận mạnh mẽ hơn. Nhập quan điểm.
Phối cảnh
Perspectives là một tiện ích mở rộng bảo mật của Firefox liên hệ với một số công chứng viên mạng bất cứ khi nào trình duyệt của bạn kết nối với các trang web HTTPS. Công chứng viên là một loại bồi thẩm đoàn kiểm tra xem chứng chỉ đã thay đổi chưa và liệu nó có khớp với cơ sở dữ liệu của chính họ hay không. Giấy chứng nhận hợp lệ sẽ hiển thị cùng một thông tin cho tất cả các công chứng viên. Giấy chứng nhận giả mạo rất có thể sẽ hiển thị là thay đổi đột ngột hoặc gần đây so với một số công chứng viên.
Điều này sẽ giúp bạn quyết định xem bạn có muốn kết nối với các trang web không an toàn tiềm ẩn hay không và tránh vi phạm tính toàn vẹn của dữ liệu.
Perspectives còn làm được nhiều hơn thế. Nếu bạn tình cờ thấy một cảnh báo bảo mật từ trình duyệt của mình, cảnh báo bạn rằng một trang web đang sử dụng tên miền đã hết hạn, tự ký hoặc các trang web có tên miền không khớp, Perspectives sẽ chạy một cuộc kiểm tra nhanh để xem liệu thông tin do công chứng viên lưu giữ có nhất quán hay không.
Một lần nữa, các trang web giả mạo cố gắng giả vờ là hợp pháp sẽ thường đưa ra các lỗi như thế này, nhưng thật không may, một số trang web chính hãng cũng vậy. Quan điểm đến như một giải pháp hữu ích cho nghi ngờ cá nhân.
Sử dụng Phối cảnh
Sử dụng Perspectives cực kỳ đơn giản. Trước tiên, bạn cần cài đặt tiện ích mở rộng. Nếu bạn chưa biết cách làm thì hãy đọc bài viết này.
Khi bạn khởi động lại Firefox lần đầu tiên sau khi cài đặt, bạn sẽ không thấy bất kỳ điều gì ngoạn mục. Biểu tượng trạng thái phối cảnh nằm ở góc dưới cùng bên phải của cửa sổ trình duyệt.
Nhấp vào biểu tượng sẽ mở cửa sổ Tùy chọn.
Bạn có thể quyết định nên liên hệ với công chứng viên cho tất cả các trang web hay chỉ những trang gây ra lỗi bảo mật. Hơn nữa, bạn có thể đặt Quan điểm để các trang web được xác thực tin cậy vĩnh viễn. Và bạn cũng có thể yêu cầu bạn xác nhận mỗi lần trước khi liên hệ với công chứng viên.
Nếu bạn quyết định để Perspective hỏi bạn, bạn sẽ nhận được cửa sổ bật lên cảnh báo màu vàng trong cửa sổ trình duyệt của mình đối với các trang web HTTPS có liên quan (tất cả hoặc chỉ những trang web có lỗi).
Bây giờ hãy xem Perspective hoạt động như thế nào. Chúng tôi được kết nối với một trang web an toàn. Nó đã được xác minh và kiểm tra tốt. Tuy nhiên, hãy kiểm tra lại.
Các phối cảnh sẽ hoạt động trong giây lát rồi hiển thị kết quả trên thanh trạng thái:
Điều này có nghĩa là trang web hợp lệ. Bạn có thể nhấp vào biểu tượng để biết thêm kết quả:
Trong trường hợp cụ thể này, cả bốn công chứng viên đều có cùng khóa cho các trang web cụ thể. Điều này cung cấp cho bạn một dấu hiệu khá tốt rằng chứng chỉ trang web không bị giả mạo. Nếu bạn chuẩn bị thực hiện các giao dịch riêng tư, bí mật với trang web cụ thể, bạn không sao cả. Chỉ là những gì chúng tôi muốn biết.
Hạn chế
Perspectives vẫn là một dự án non trẻ. Hiện tại, chỉ một số ít công chứng viên được sử dụng. Trong tương lai, số lượng của họ sẽ tăng lên. Một số tiện ích mở rộng khác của Firefox không tương thích với Perspectives. Cuối cùng, các vấn đề về proxy có thể khiến quá trình xác minh trang web không thành công - đối với tất cả các trang web.
Kết luận
Perspectives là một dự án thú vị và quan trọng. Nó tạo ra một loại trang web đáng tin cậy, nơi bạn sử dụng kinh nghiệm cộng đồng tích lũy, có thể nói như vậy, để kiểm tra kỹ tính bảo mật của các trang web và chứng chỉ của chúng. Đối với những người có ý thức bảo mật, đây là một bổ sung tốt đẹp.
Để biết thêm về bảo mật Web, bạn có thể muốn đọc bài viết về thực hành Web an toàn của tôi. Bạn cũng có thể quan tâm để đọc một bài báo về Firefox và chứng chỉ bảo mật trên h-online. Tôi muốn cảm ơn tlu vì đã giới thiệu cái này.
Perspectives có sẵn trên tất cả các hệ điều hành.
Chúc mừng.