A HTTP (Hypertext Transfer Protocol) a weboldalak kommunikációs szabványa – ez szabja meg, hogyan kérje le a böngésző az oldal tartalmát a szervertől. A gond csak az, hogy a HTTP önmagában nem titkosítja az adatokat. Ez azt jelenti, hogy ha például beírsz egy jelszót egy HTTP oldalon, azt valaki (mondjuk egy nyilvános wifin lógó támadó) könnyedén lehallgathatja.

Itt jön képbe a HTTPS, ami annyit jelent: HTTP + egy biztonsági réteg, amit SSL/TLS-nek hívunk (a modern változat a TLS – Transport Layer Security). Ennek köszönhetően minden adat, amit a böngésződ és a weboldal között küldesz, titkosítva van. Ha valaki bele is nézne az adatfolyamba, csak értelmetlen karakterhalmazt látna.

De nem csak a titkosításról van szó: a HTTPS azt is biztosítja, hogy valóban azzal az oldallal kommunikálsz, akivel szeretnél. A weboldalaknak ugyanis digitális tanúsítványaik vannak, amelyeket hivatalos szervezetek (tanúsítványkiadók) ellenőriznek. Ha valami nem stimmel, a böngésződ figyelmeztet, hogy az oldal nem biztonságos, gondolj csak a piros „Nem megbízható webhely” feliratokra.

A titkosítás sokak számára bonyolultnak tűnik, de egy egyszerű példával jól érthetővé válik.

Képzeljük el, hogy József levelet szeretne küldeni Bélának, de a levél tartalmát csak Béla láthatja. Csakhogy a postás, Jenő szeret minden levélbe beleolvasni. Hogyan lehetne ezt a helyzetet biztonságossá tenni?

József először megírja a levelet, majd beteszi egy dobozba, amit lezár a saját lakatjával. Odaadja Jenőnek, aki bár kíváncsi, nem tudja kinyitni, hiszen nincs kulcsa a lakathoz. Béla megkapja a dobozt, és nem nyitja ki, mivel ugye nem is tudja, hanem felteszi rá a saját lakatját is, így már két lakat zárja. Visszaküldi Jenővel Józsefhez, aki leveszi róla a saját lakatját, majd újra visszaküldi Bélához. Most már csak Béla lakatja van a dobozon, amit ő könnyedén kinyit és elolvassa a levelet, amit rajta kívül senki más nem látott.

Ez a módszer nagyon hasonlít arra, ahogy a nyilvános és privát kulcsú titkosítás működik a HTTPS-ben: az egyik fél „lezárja” az adatot egy kulccsal, a másik pedig csak a saját kulcsával tudja felnyitni. Így az üzenet biztonságosan, lehallgathatatlanul jut el a címzetthez, még akkor is, ha közben Jenő (az internetes támadó) figyel.

A való életben ezt a védelmet a TLS protokoll biztosítja. Amikor HTTPS-kapcsolat jön létre, a böngésződ és a szerver egyfajta digitális kézfogást hajt végre, kicserélik a szükséges kulcsokat, és megegyeznek a titkosítás részleteiben, mindezt ezredmásodpercek alatt.

Ma már alapelvárás, hogy egy weboldal HTTPS-t használjon, különösen, ha személyes adatokat kezel: webshopok, bankok, közösségi oldalak. A felhasználók egyre tudatosabbak, és ez jól is van így. Mielőtt megadunk egy jelszót vagy bankkártyaszámot, nézzük meg:

• https:// szerepel-e a címsorban?
• Van-e lakat ikon a böngésző bal szélén?
• Ha nincs, ne adjunk meg érzékeny adatot.

A biztonság nem csak a webfejlesztők dolga. Minden internethasználónak felelőssége, hogy tudatosan használja a netet, felismerje a kockázatokat, és megvédje saját adatait. Egy kis odafigyeléssel sok kellemetlenségtől kímélhetjük meg magunkat.