BẢO MẬT TRONG GIAO THỨC HTTP
7.7. HTTP và HTTPS
Đối với giao thức HTTP, dữ lữ liệu được truyền dưới dạng plain text, khơng hề
được mã hóa hay bảo mật, dần đến rất dễ bị nghe lén và đánh cắp dữ liệu. Kiểu tấn công này gọi là Man in the middle attack (MITM) hay cịn gọi là tấn cơng xen giữa. Trong kiểu tấn công này, xuất hiện một attacker có vai trị trung gian giả mạo và mọi thơng tin liên lạc đều qua attacker này.
Một số cách phá hoại của hacker như:
Sniff packet để đọc lén dữ liệu:
Khi bạn gửi username và password qua giao thức HTTP, hacker có thể dễ dàng bắt và đọc trộm packet trong mạng để biết được username và password của bạn. Bạn hay server khơng hề biết là mình bị tấn cơng.
Sửa đổi packet:
Điều nghiêm trọng nữa là hacker không chỉ đọc lén được dữ liệu bạn truyền qua giao thức http mà nó cịn có thể sửa đổi dữ liệu bằng cách sửa packet làm nội dung bạn request đến server bị sai và đương nhiên server sẽ trả về dữ liệu hiển thị mà bạn không mong muốn. Bạn hay server cũng khơng hề biết là mình đang bị tấn cơng.
Hiện nay, cách phịng chống, bảo vệ dữ liệu được sử dụng phổ biến với HTTPS. Tiếp theo, cùng tìm hiểu giao thức HTTPS đã tăng cường bảo mật như thế nào so với HTTP.
Vấn đề lớn nhất của giao thức HTTP là giao thức này khơng được mã hóa.
Giao thức HTTPS (Hypertext Transfer Protocol Secure) là sự kết hợp giữa
HTTP và SSL, TSL sử dụng mã hóa để nhằm tạo nên một rào chắn an ninh, bảo mật khi truyền tải các thông tin. Một số giải pháp bảo mật được trình bày như sau:
Mã hóa Đối xứng (symmetric key cryptography)
Dữ liệu trao đổi giữa 2 bên sẽ được mã hóa và thống nhất cách giải mã, khi đó cho dù attacker có bắt được gói tin những cũng khơng thể giải mã nếu khơng biết cách mã hóa
Chìa khóa giải mã (key)
Key là chìa khóa giải mã cho dữ liệu đã được mã hóa và gửi qua HTTPS. Mã hóa đối xứng sẽ được bảo mật nếu như chỉ có người gửi và người nhận biết key đã được sử dụng. Những có một vấn đề đó là nếu bên gửi và bên nhận không gặp nhau để thống nhất và thỏa thuận trước khi gửi thì sẽ khơng biết được key là gì. Cịn nếu gửi key trong packet thì khác nào quay lại HTTP làm cho attacker biết được key, giải mã đánh cắp và giả mạo packet. Để giải quyết chúng ta dùng mã khóa khơng đối xứng.
Mã hóa khơng đối xứng (asymmetric key cryptography)
Chúng ta sẽ tạm gọi bên gửi là client và bên nhận là server. Hình thức mã hóa đối xứng sẽ diễn ra như sau:
Client gửi 1 tin nhắn không chứa dữ liệu cũng như khơng được mã hóa lên server như 1 request.
Server gửi lại cho client gói tin có chưa public key và giữ lại private key của server
Client gửi yêu cầu/ dữ liệu được mã hóa bằng public key mà nó nhận được từ server
Server nhận được gói tin và giải mã bằng private key.
Vậy là thông tin đã được trao đổi giữa client và server mà không sợ bị attacker đọc trộm hay sửa đổi do attacker khơng có private key.
Kết hợp giữa Mã hóa đối xứng và Mã hóa khơng đối xứng
Thay vì mỗi lần trao đổi client và server lại phải thực hiện các bước trao đổi khóa và xác thực khóa, thì sẽ áp dụng cả mã hóa đối xứng và mã hóa khơng đối xứng bằng cách chỉ trao đổi và xác thực khóa ở giai đoạn đầu mới thiết lập kết nối, sau khi đã trao đổi thành cơng, client sẽ lưu lại khóa và thực hiện cho các lần sau mà khơng cần phải trao đổi khóa lại.
KẾT LUẬN
Như vậy, bài tiểu luận này đã trình bày được về khái niệm của giao thức truyền tin siêu văn bản HTTP cùng với các nội dung liên quan của giao thức này. Kết thúc bài tiểu luận, chúng ta hiểu được thế nào là giao thức HTTP, quá trình chúng ta truy nhập Internet thông qua Web bằng giao thức HTTP để lấy các đối tượng đã được trình bày rõ ràng. Mơ hình Client-Server cùng với khn dạng bản tin HTTP đã đưa truyền tải tới người đọc. Bên cạnh đó, giới thiệu được các cơ sở hạ tầng ứng dụng Web như các máy chủ đệm (cache), cookies. Đồng thời thể hiện được các vấn đề bảo mật đối với giao thức HTTP, cũng như giao thức HTTPS có độ tăng cường bảo mật cao hơn.