सूचना सुरक्षा की आधारशिला तीन अवधारणाओं के इर्द-गिर्द घूमती है:C-I-A - गोपनीयता, अखंडता और उपलब्धता। ये मूल सिद्धांत हैं जिनके द्वारा सुरक्षा की जाती है - या पूर्ववत की जाती है।
जब आप सामान्य रूप से वेब ब्राउज़ कर रहे होते हैं, तो आप वास्तव में इस बात की परवाह नहीं करेंगे कि आप वर्तमान में जिस वेबसाइट पर जा रहे हैं वह वास्तव में वह है जिसके होने का दावा किया जा रहा है। हालांकि, अगर आपको वेबसाइट के साथ इंटरैक्ट करना है और गोपनीय जानकारी प्रदान करनी है, तो C-I-A महत्वपूर्ण हो जाता है।
हमारे गोपनीय लेन-देन को निजी बनाने के लिए, एन्क्रिप्शन का जन्म हुआ। हम "सुरक्षित" वेबसाइटों से जुड़ने और व्यापार करने के लिए एसएसएल/टीएलएस का उपयोग करते हैं, चाहे वह अमेज़ॅन पर किताबें खरीदना हो, आपके बैंक की वेबसाइट पर स्टॉक पोर्टफोलियो (मजेदार धन) का प्रबंधन करना हो या उस अंतिम डीएनए परीक्षण की जांच करना हो जो आपको जोखिम में डालने वाला था। स्पष्ट है, इसलिए आपको गुजारा भत्ता नहीं देना होगा ...
लेकिन यह इंटीग्रिटी पार्ट का जवाब नहीं देता है। हम वास्तव में कैसे सुनिश्चित हो सकते हैं कि जिन वेबसाइटों पर हम जा रहे हैं वे वास्तव में वही हैं जो वे होने का दावा करते हैं? हम 100% कैसे सुनिश्चित हो सकते हैं कि हम किसी दुष्ट (फ़िशिंग) सर्वर को व्यक्तिगत डेटा सबमिट करने का प्रयास नहीं कर रहे हैं?
यही प्रमाणपत्र प्राधिकारी (CA) करते हैं। वे दुनिया भर में सुरक्षित (HTTPS) वेबसाइटों के लिए पहचान प्रदान करने वाले तटस्थ, तृतीय-पक्ष निकाय हैं। आम सहमति यह मानती है कि यदि किसी वेबसाइट को सीए में से किसी एक द्वारा अधिकृत किया गया है और सही प्रमाणपत्र प्रदान करता है, तो यह वही है जो वह होने का दावा करता है।
तो हम ठीक हैं, है ना?
फिर भी, यह आप में से कुछ के लिए पर्याप्त नहीं हो सकता है। हाल ही में, MD5 के सफल टक्कर हमलों की चर्चा हुई है।
गैर-गीक्स के लिए, यहां इसका सार है:हैश अपरिवर्तनीय, इंजेक्शन वाले कार्य हैं जो विशिष्ट रूप से क्लीयरटेक्स्ट को सिफरटेक्स्ट में मैप करते हैं। इसका मतलब यह है कि किसी भी दो अलग-अलग मानों का एक ही हैश नहीं होना चाहिए। सबसे लोकप्रिय हैश एल्गोरिदम MD5 और SHA-1 हैं।
इसलिए, यदि किसी वेबसाइट को प्रमाणपत्र प्रदान किया जाता है, तो इस प्रमाणपत्र में एक निश्चित हैश होता है। सिद्धांत रूप में, किसी भी अन्य वेबसाइट में समान हैश नहीं होना चाहिए, भले ही इसकी सामग्री कुछ भी हो।
MD5 टक्कर ठीक यही है - एक ऐसा मामला जहां दो अलग-अलग मानों का एक ही हैश में अनुवाद किया जाता है। इसका मतलब है कि दो अलग-अलग प्रमाणपत्रों पर एक ही हस्ताक्षर हो सकता है। इस प्रकार, सिद्धांत रूप में, एक दुष्ट वेबसाइट MD5 के साथ एक गलत प्रमाणपत्र प्रस्तुत कर सकती है जो एक वैध साइट से मेल खाती है जिसे वह प्रतिरूपित करने की कोशिश कर रही है और दुनिया भर के वेब ब्राउज़र इसे सहर्ष स्वीकार कर लेंगे, क्योंकि हैश चेक पास हो जाएगा।
इसका अर्थ है कि हम वेबसाइटों के सत्यापन के किसी एक स्रोत पर विश्वास नहीं कर सकते हैं। हमें और अधिक मजबूत दृष्टिकोण की आवश्यकता है। परिप्रेक्ष्य दर्ज करें।
दृष्टिकोण
Perspectives एक Firefox सुरक्षा विस्तार है जो जब भी आपका ब्राउज़र HTTPS वेबसाइटों से जुड़ता है तो कई नेटवर्क नोटरी से संपर्क करता है। नोटरी एक प्रकार की जूरी होती है जो जाँचती है कि प्रमाणपत्र बदल गया है या नहीं और यह उनके अपने डेटाबेस से मेल खाता है या नहीं। मान्य प्रमाणपत्रों को सभी नोटरी के लिए समान जानकारी दिखानी चाहिए। कुछ नोटरी की तुलना में दुष्ट प्रमाणपत्र अचानक या हाल ही में बदले गए रूप में दिखाई देंगे।
इससे आपको यह तय करने में मदद मिलेगी कि क्या आप संभावित रूप से असुरक्षित साइटों से जुड़ना चाहते हैं और डेटा अखंडता उल्लंघन से बचना चाहते हैं।
दृष्टिकोण इससे कहीं अधिक करता है। यदि आप अपने ब्राउज़र से एक सुरक्षा चेतावनी पाते हैं, आपको चेतावनी देते हैं कि एक साइट समाप्त हो चुकी, स्व-हस्ताक्षरित या डोमेन बेमेल साइटों का उपयोग कर रही है, तो परिप्रेक्ष्य यह देखने के लिए एक त्वरित जांच चलाएगा कि नोटरी द्वारा रखी गई जानकारी संगत है या नहीं।
फिर से, वैध होने का ढोंग करने की कोशिश करने वाली दुष्ट साइटें अक्सर इस तरह की त्रुटियां फेंकती हैं, लेकिन दुर्भाग्य से कुछ वास्तविक साइटें भी होंगी। परिप्रेक्ष्य व्यक्तिगत संदेह के आसान समाधान के रूप में आते हैं।
पर्सपेक्टिव का इस्तेमाल करना
Perspectives का उपयोग करना अत्यंत सरल है। आपको पहले एक्सटेंशन इंस्टॉल करना होगा। यदि आप नहीं जानते कि यह कैसे करना है, तो कृपया इस लेख को पढ़ें।
जब आप स्थापना के बाद पहली बार फ़ायरफ़ॉक्स पुनः आरंभ करते हैं, तो आपको कुछ भी शानदार नहीं दिखाई देगा। परिप्रेक्ष्य स्थिति आइकन ब्राउज़र विंडो के निचले दाएं कोने में स्थित है।
आइकन पर क्लिक करने से प्रेफरेंस विंडो खुल जाएगी।
आप यह तय कर सकते हैं कि सभी साइटों के लिए नोटरी से संपर्क करना है या केवल उनसे जो सुरक्षा त्रुटियों का कारण बनते हैं। इसके अलावा, आप मान्य साइटों पर स्थायी रूप से भरोसा करने के लिए परिप्रेक्ष्य सेट कर सकते हैं। और नोटरी से संपर्क करने से पहले हर बार यह आपसे पुष्टि के लिए भी कह सकता है।
यदि आप परिप्रेक्ष्य के बारे में पूछने का निर्णय लेते हैं, तो आपको प्रासंगिक HTTPS साइटों (सभी या केवल त्रुटियों वाली) के लिए अपनी ब्राउज़र विंडो में पीले चेतावनी पॉपअप प्राप्त होंगे।
अब देखते हैं कि Perspective कैसे काम करता है। हम एक सुरक्षित साइट से जुड़े हैं। यह सत्यापित किया गया है और ठीक-ठाक चेक आउट किया गया है। फिर भी, आइए दोबारा जांच करें।
परिप्रेक्ष्य कुछ पलों के लिए काम करेगा और फिर स्थिति पट्टी में परिणाम प्रदर्शित करेगा:
इसका मतलब है कि साइट वैध है। अधिक परिणामों के लिए आप आइकन पर क्लिक कर सकते हैं:
इस विशेष मामले में, सभी चार नोटरी के पास विशेष वेबसाइटों के लिए समान कुंजी होती है। यह आपको एक अच्छा संकेत देता है कि साइट प्रमाणपत्र के साथ छेड़छाड़ नहीं की गई है। यदि आप उस विशेष वेबसाइट के साथ निजी, गोपनीय लेन-देन करने वाले थे, तो आप ठीक हैं। वही जो हम जानना चाहते थे।
सीमाएं
परिप्रेक्ष्य अभी भी एक युवा परियोजना है। वर्तमान में, केवल कुछ नोटरी का उपयोग किया जाता है। भविष्य में इनकी संख्या और बढ़ेगी। कुछ अन्य फ़ायरफ़ॉक्स एक्सटेंशन पर्सपेक्टिव्स के साथ असंगत हैं। अंत में, प्रॉक्सी समस्याओं के कारण साइट सत्यापन विफल हो सकता है - सभी साइटों के लिए।
निष्कर्ष
परिप्रेक्ष्य एक दिलचस्प और महत्वपूर्ण परियोजना है। यह एक तरह का भरोसे का जाल बनाता है, जहां आप संचयी सामुदायिक अनुभव का उपयोग करते हैं, इसलिए बोलने के लिए, वेबसाइटों की सुरक्षा और उनके प्रमाणपत्रों की दोबारा जांच करने के लिए। सुरक्षा के प्रति जागरूक लोगों के लिए, यह एक अच्छा जोड़ है।
वेब सुरक्षा के बारे में अधिक जानकारी के लिए, आप मेरा सुरक्षित वेब अभ्यास आलेख पढ़ना चाहेंगे। आपको एच-ऑनलाइन पर फ़ायरफ़ॉक्स और सुरक्षा प्रमाणपत्रों पर एक लेख पढ़ने में भी रुचि हो सकती है। मैं इस सुझाव के लिए tlu को धन्यवाद देना चाहता हूं।
परिप्रेक्ष्य सभी ऑपरेटिंग सिस्टम पर उपलब्ध है।
प्रोत्साहित करना।