Nandakumar Edamana
Share on:
@ R t f

എച്ച്ടിടിപിഎസ്


നാം ഒരു വെബ്‌സൈറ്റ് സന്ദര്‍ശിക്കുമ്പോള്‍ നമുക്കും വെബ്‌സൈറ്റിനുമിടയിലുള്ള ആശയവിനിമയം നടക്കുന്നത് തുറന്ന ഇന്റര്‍നെറ്റിലൂടെയാണ്. നമുക്കും സെര്‍വറിനുമിടയിലുള്ള ഏതൊരു നെറ്റ്‌വര്‍ക്കിങ് ഉപകരണത്തില്‍വച്ചും ഈ വിവരങ്ങള്‍ ചോര്‍ത്താം, തിരുത്താം. സൈറ്റിലേക്ക് നാം അയയ്ക്കുന്ന പാസ്‌വേഡ് മോഷ്ടിക്കാനും സൈറ്റില്‍നിന്നെത്തുന്ന ഒരു വിവരം തിരുത്താനും ഹാക്കര്‍ക്ക് ഇത് അവസരമൊരുക്കുന്നു. നാമാകട്ടെ ഇത് അറിയുകയേയില്ല. 'മാന്‍-ഇന്‍-ദ-മിഡില്‍ അറ്റാക്ക്' Man-in-the-middle Attack) എന്നാണ് ഇത് അറിയപ്പെടുന്നത്.

നമുക്കും വെബ്‌സൈറ്റിനുമിടയിലുള്ള ആശയവിനിമയം എന്‍ക്രിപ്റ്റ് ചെയ്യുകയാണ് ഇതിന് പോംവഴി. പിന്നീടിത് ഹാക്കര്‍ക്ക് വായിക്കാനും തിരുത്താനുമാവില്ല. ഇതിനുള്ള സംവിധാനമാണ് എച്ച്ടിടിപിഎസ് ('എച്ച്ടിടിപി സെക്വര്‍' അഥവാ 'എച്ച്ടിടിപി ഓവര്‍ എസ്എസ്എല്‍'). 'ട്രാന്‍സ്പോര്‍ട്ട് ലെയര്‍ സെക്യൂരിറ്റി' അഥവാ ടിഎല്‍എസ് ഉപയോഗിച്ചാണ് ഇതില്‍ ആശയവിനിമയം എന്‍ക്രിപ്റ്റ് ചെയ്യുന്നത് (മുമ്പ് 'സെക്വര്‍ സോക്കറ്റ് ലെയര്‍' അഥവാ എസ്എസ്എല്‍ ആയിരുന്നു ഉപയോഗിച്ചിരുന്നത്).

ഈ സംവിധാനമുള്ള വെബ്‌സൈറ്റുകളുടെ വിലാസം തുടങ്ങുക http://-യ്ക്ക് പകരം https:// എന്നായിരിക്കും (ഗൂഗിളിന്റെയും വിക്കിപീഡിയയുടെയും വിലാസങ്ങള്‍ ശ്രദ്ധിച്ചുകാണുമല്ലോ). കൂടാതെ, ഇത്തരം വെബ്‌സൈറ്റുകള്‍ ലോഡാവുമ്പോള്‍ അഡ്രസ് ബാറിലോ സ്റ്റാറ്റസ് ബാറിലോ ഒരു പൂട്ടിന്റെ ചിഹ്നം കാണിക്കുകയും ചെയ്യും.

നമുക്കും വെബ്‌സൈറ്റിനുമിടയിലുള്ള ആശയവിനിമയം എന്‍ക്രിപ്റ്റഡ് ആയതുകൊണ്ടുമാത്രം കാര്യമില്ല—വിവരങ്ങളയയ്ക്കുന്നത് നമ്മളുദ്ദേശിച്ച വെബ്‌സൈറ്റിലേയ്ക്ക് തന്നെയാണെന്ന് ഉറപ്പുവരുത്തുകയും വേണം. ഇതിനുള്ള സംവിധാനമാണ് എസ്എസ്എല്‍/ടിഎല്‍എസ് സര്‍ട്ടിഫിക്കറ്റ്. ഈ സംവിധാനം ഇല്ലായിരുന്നെങ്കില്‍ ഒരു ഹാക്കര്‍ക്ക് ഗൂഗിളിന്റെ അതേ വിലാസത്തില്‍ പ്രത്യക്ഷപ്പെട്ട് നമ്മുടെ പാസ്‌വേഡ് ചോര്‍ത്തിയെടുക്കാമായിരുന്നു. https://-ല്‍ തുടങ്ങുന്ന ഒരു വെബസൈറ്റ് ലോഡാവുമ്പോള്‍ പൂട്ടിന്റെ ചിഹ്നം പ്രത്യക്ഷപ്പെടുന്ന കാര്യം നേരത്തെ പറഞ്ഞല്ലോ. ഇതില്‍ ക്ലിക്ക് ചെയ്താല്‍ ആ വെബ്‌സൈറ്റിന്റെ വ്യക്തിത്വം തെളിയിക്കുന്ന സര്‍ട്ടിഫിക്കറ്റ് കാണാം. ബ്രൗസറുകള്‍ വിശ്വാസമര്‍പ്പിക്കുന്ന അന്താരാഷ്ട്ര ഏജന്‍സികളാണ് ഈ സര്‍ട്ടിഫിക്കറ്റുകള്‍ വിതരണം ചെയ്യുന്നത്. ഈ സംവിധാനത്തെ മറികടക്കാന്‍ സാധാരണഗതിയില്‍ അക്രമികള്‍ക്കാവില്ല.

ശ്രദ്ധിക്കുക: ഹാക്കര്‍ നമുക്കുമുന്നിലവതരിപ്പിക്കുന്ന വ്യാജ സര്‍ട്ടിഫിക്കറ്റുകള്‍ക്ക് ഒരിക്കലും അനുവാദം (Add Security Exception) നല്കരുത്.

ടിഎല്‌എസ് സര്‍ട്ടിഫിക്കറ്റുകള്‍ തന്നെ പല തരത്തിലുണ്ട്. ചിലതില്‍ വിലാസം മാത്രമാവും സാക്ഷ്യപ്പെടുത്തിയിരിക്കുക. ചിലതില്‍ ആ വെബ്‌സൈറ്റിന്റെ ഉടമയെയും സാക്ഷ്യപ്പെടുത്തിയിട്ടുണ്ടാവും. രണ്ടും സുരക്ഷിതമാണ്. ഉദാഹരണത്തിന്, ഗൂഗിളിന്റെ സാധാരണതാളുകളില്‍ വിലാസം മാത്രമേ സാക്ഷ്യപ്പെടുത്തിയിട്ടുണ്ടാവൂ (സ്പൂഫിങ് തടയാന്‍ ഇത് ധാരാളമാണ്). എന്നാല്‍ ട്വിറ്ററിന്റെ സര്‍ട്ടിഫിക്കറ്റില്‍ ഉടമസ്ഥതയും സാക്ഷ്യപ്പെടുത്തിയിട്ടുണ്ട്. അതുകൊണ്ടുതന്നെ ട്വിറ്റര്‍ ലോഡാകുമ്പോള്‍ അഡ്രസ് ബാറില്‍ Twitter, Inc. (US) എന്ന് പച്ചനിറത്തില്‍ എഴുതിക്കാണാം.


Click here to read more like this. Click here to send a comment or query.