Sa pamamagitan ng presyon mula sa Google, Facebook, at iba pang mga pangunahing provider tulad ng Yahoo at Apple ang malawak na web sa mundo ay bumagal na nagiging mas ligtas, sa paggamit ng mga web service HTTPS upang i-encrypt ang trapiko sa web sa pamamagitan ng default. Gayunman, ang pagdating ng mga draft mausisa Powers Bill raises mga katanungan tungkol sa kung sino ay maaaring potensyal na makakuha ng access sa kung ano - narito ang ilang mga sagot.
Maaari bang makita ng lahat ang lahat ng aking mga kahilingan sa web?
Oo. Tuwing nakikita mo ang HTTP sa address bar ng browser pagkatapos ang anumang data na ipinadala sa link ay hindi ma-encrypt. Nangangahulugan ito ng address ng pahina at domain na iyong binibisita, at anumang data na iyong ipinadala, tulad ng sa isang form, at anumang data na ibinalik.
Kahit sino ay maaaring makita ang aking mga kahilingan sa web kung gagamitin ko HTTPS?
Hindi. Kung makakita ka ng HTTPS sa address bar ng browser pagkatapos ay ang naka-encrypt gamit ang koneksyon SSL / TLS. Tanging ang IP address ng patutunguhan (at ang port na ginamit, karaniwang 443) ay maaaring matukoy. Walang mga detalye kung anong mga pahina o mga mapagkukunan ang na-access, o anumang karagdagang data na ipinadala sa koneksyon ay maa-access. Ginagamit ng Google, Facebook at marami pang iba pang mga pangunahing online na serbisyo ang HTTPS bilang default, kaya lahat ng iyong mga kahilingan sa paghahanap sa Google, halimbawa, ay protektado at ang iyong ISP ay hindi maaaring makita ang URL at ang mga resulta ng kahilingan.
Kung gagamitin ko HTTPS, ay kahit sino ma-access ang aking mga detalye mula sa remote web server logs?
Oo. Ang HTTPS tunnels ay naka-encrypt ng data sa buong internet upang maiwasan ang pag-eavesdropping, ngunit ang trapiko ay decrypted sa alinman sa dulo upang ang server log ay magpapakita ng mga detalye ng Na-access ng IP address kung anu-ano ang mapagkukunan at kung kailan. Habang ang SSL / TLS na ginagamit ng HTTPS ay gumagamit ng modelo ng client-server, ang key na kinakailangan upang i-decrypt ang koneksyon ay magagamit sa server - hindi katulad ng mga end-to-end na mga serbisyo ng pag-encrypt kung saan ang mga partido lamang ang may susi ng decryption. Ito ay nangangahulugang ang mga tiktik at investigator ay maaaring maghatid ng isang warrant at hihilingin ang service provider kamay sa paglipas ng kopya nito ng decryption key at i-access ang iyong mga komunikasyon. Pinoprotektahan lamang ng HTTPS ang paghahatid ng data sa internet, at ang buong mga detalye ng kahilingan at tugon ay maaaring ma-log sa server.
Maaari bang mai-log ang mga kahilingan sa DNS?
Oo. DNS - ang Domain Name System, na isinasalin human-friendly pangalan ng domain sa IP address ng mga web server na kung saan ang mga web page ay matatagpuan - ay gumagamit ng unencrypted UDP sa port 53. Ang iyong ISP ay maaaring makapag-log ang iyong mga kahilingan DNS, at anumang spies o investigators ay maaaring humiling na data.
Maaari bang matukoy ng aking ISP kung alin sa amin sa bahay ang naka-access sa isang partikular na site?
Hindi. Kadalasan, ang mga koneksyon sa broadband sa bahay ay nagbabahagi ng isang solong, maaaring masundan na pampublikong internet address ng IP sa pagitan ng maraming mga computer at smartphone gamit ang tinatawag Pagsasalin ng Address ng Network (Nat). Ang iyong ISP ay mag-log lamang ang nag-iisang public IP address na nakatalaga sa iyong home router, hindi na indibidwal na aparato sa bahay ay gumagamit ng ito sa oras.
Kapag ikinonekta ko sa isang website gamit ang isang VPN, ay aking mga kahilingan malo-log?
Marahil. Ang virtual pribadong network (VPN) ay isang point-to-point na naka-encrypt na tunnel mula sa isang computer papunta sa isa pa sa pamamagitan ng pampublikong internet. Hindi makita ng iyong ISP ang mga detalye ng packet ng data na naglalakbay sa pamamagitan ng tunel. Mismong kung ano ang napupunta sa trapiko ng network sa naka-encrypt na tunel at kung ano ang hindi nakasalalay sa kung paano naka-set up ang VPN. Halimbawa, posible na ipasa ang DNS sa pamamagitan ng isang naka-encrypt na tunel, masyadong, kung ito ay dadalhin sa server ng VPN ng korporasyon. Ang mga kumpanya ay madalas na gumagamit ng mga sistema na tinatawag na mga proxy server, kung saan ang mga detalye ng computer sa loob ng network ay hindi ihahayag sa mga panlabas na mga log.
Kung gumagamit ako ng Tor browser, maa-log ng aking ISP ang aking mga kahilingan sa web?
Hindi. Paggamit ng isang Tor browser na may pinaganang ito ay posible na i-browse ang pampublikong internet gamit ang Tor anonymising network. Ang iyong ISP ay hindi makakakita ng alinman sa mga data na ipinadala, at ang log ng web server ay magtatala lamang ng address ng gateway node - ang entry point sa network ng Tor, hindi ang pinagmulan (iyong browser) o panghuli na patutunguhan (sa web server).
Paano ISPs trace sa akin?
Karaniwan, isang session cookie ay ginagamit para sa session web browsing bawat gumagamit. Ang mga ito ay unencrypted, malinaw tekstong aytem na maaaring maging harvested kapag nakikipag-usap sa HTTP at may mina para sa impormasyon na kadalasang ihahayag ang pagkilala ng mga detalye tungkol sa gumagamit.
Makakaapekto ba ang aking mga email ma-scan para sa mga detalye?
Malamang na hindi. Maraming mga email providers ngayon encrypt email trapiko sa buong internet, halimbawa web-based email tulad ng Gmail o Yahoo Mail (gamit HTTPS), o naka-encrypt na bersyon ng karaniwang mga protocol mail, tulad ng POP, SMTP o IMAP. Kaya ang iyong ISP ay hindi maaaring basahin ang iyong mga email, ngunit ay alam na na-access mo ang isang email service. Ang ibig sabihin nito ang mga ISP ay hindi magkakaroon ng mga detalye upang pumasa sa mga tiktik o investigators.
May mga kapangyarihan ba ang mga investigator na suriin ang mga log ng web server?
Oo, para sa mga nakabase sa Britanya. Ngunit ang mga server para sa pinaka ginagamit na serbisyo sa web ay batay sa labas ng UK, at kaya hindi napapailalim sa mga batas ng UK. Ang kredibilidad ng katibayan na nakuha mula sa mga log ng web server ay kaduda-dudang kadalasang maaari silang tampiwasan, habang ang mga IP address ay maaaring spoofed (faked).
Maaari bang magkaroon ng "man-in-the-middle"?
Marahil. Ang draft Bill ng Pananaliksik Powers ay nagbibigay ng mga investigator at spies na may ang karapatan na makialam sa hardware at software upang ma-access ang data, halimbawa upang makatulong na iwasan ang pag-encrypt. Bagaman maaaring ito ay limitadong paggamit para sa mga website na naka-host sa labas ng UK, maraming mga piraso ng kagamitan sa UK sa pagitan ng iyong web browser at mga server na iyon. Mayroon ding iba pang mga paraan ng pag-tricking sa mga web browser at iba pang software gamit ang HTTPS - tulad ng ipinakita ng "man-in-the-middle" na atake na ginagamit ng Superfish software naka-install sa computer Lenovo.
Makakakita ba ang isang investigator ng aking mga password?
Hindi. Anumang maayos na idinisenyong sistema ng pag-login sa website ay gumagamit ng HTTPS - kung hindi, at nakikipag-usap ka sa sensitibong impormasyon, huwag gamitin ito. Ang anumang data kabilang ang mga password na ipinadala sa HTTPS ay naka-encrypt at secure.
Kaya, sino talaga ang nakakaalam kung ano ang ma-access ko?
Google. Maaari mo ring i-download ang iyong kumpletong kasaysayan ng bawat paghahanap na iyong ginawa.
Tungkol sa Ang May-akda
Bill Buchanan, Head, Center para sa Ipinamahaging Computing, Networks at Security, Edinburgh Napier University. Kasalukuyan siyang namumuno sa Center for Distribution Computing, Networks, at Security, at gumagana sa mga lugar ng seguridad, mga interface ng gumagamit sa susunod na henerasyon, mga imprastrakturang batay sa Web, e-Crime, mga sistema ng detection ng panghihimasok, digital forensics, e-Health, mobile computing, mga system na batay sa ahente, at simulation
Ang artikulong ito ay orihinal na na-publish sa Ang pag-uusap. Basahin ang ang orihinal na artikulo.
Ang mga editor Tandaan: Ang lahat ng InnerSelf Websites ay magagamit sa https: // seguridad. Kung dumating ka sa site sa pamamagitan ng http: // magbabago lamang sa https: //. Maaari mong baguhin ang iyong mga bookmark sa https: // at maiwasan ang pagbabago sa hinaharap. Lumipat ngayon.
Mga Kaugnay Book:
at
Narito Kung Ano Ang Isang Cyber War Might Look Like
Isipin na nagising ka upang matuklasan ang isang napakalaking pag-atake sa cyber sa iyong bansa. Ang lahat ng data ng gobyerno ay nawasak, kinuha ang pangangalagang pangkalusugan...
Salamat sa pagbisita InnerSelf.com, Kung saan mayroon 20,000 + mga artikulong nagbabago sa buhay na nagtataguyod ng "Mga Bagong Saloobin at Bagong Posibilidad." Ang lahat ng mga artikulo ay isinalin sa 30+ wika. sumuskribi sa InnerSelf Magazine, na inilathala linggu-linggo, at Araw-araw na Inspirasyon ni Marie T Russell. InnerSelf Magazine ay nai-publish mula noong 1985.
Narito Kung Ano Ang Isang Cyber War Might Look Like
Salamat sa pagbisita InnerSelf.com, Kung saan mayroon 20,000 + mga artikulong nagbabago sa buhay na nagtataguyod ng "Mga Bagong Saloobin at Bagong Posibilidad." Ang lahat ng mga artikulo ay isinalin sa 30+ wika. sumuskribi sa InnerSelf Magazine, na inilathala linggu-linggo, at Araw-araw na Inspirasyon ni Marie T Russell. InnerSelf Magazine ay nai-publish mula noong 1985.
