Semua situs harus selalu dilindungi dengan HTTPS, meskipun situs tersebut tidak menangani komunikasi sensitif. Selain memberikan keamanan dan integritas data yang penting untuk situs dan informasi pribadi pengguna Anda, HTTPS adalah persyaratan bagi banyak fitur browser baru, terutama yang diperlukan untuk progressive web app.
Ringkasan
- Penyusup ganas dan jinak mengeksploitasi setiap resource yang tidak dilindungi antara situs dan pengguna Anda.
- Banyak penyusup mengamati perilaku gabungan untuk mengidentifikasi pengguna Anda.
- HTTPS tidak hanya memblokir penyalahgunaan situs. Hal ini juga merupakan persyaratan atas banyak fitur canggih dan teknologi yang memungkinkan untuk kemampuan seperti aplikasi seperti pekerja layanan.
HTTPS melindungi integritas situs
HTTPS membantu mencegah penyusup mengganggu komunikasi antara situs dan browser pengguna Anda. Penyusup mencakup penyerang berbahaya yang disengaja, dan perusahaan yang sah tetapi mengganggu, seperti ISP atau hotel yang memasukkan iklan ke dalam halaman.
Penyusup mengeksploitasi komunikasi yang tidak dilindungi untuk mengelabui pengguna agar memberikan informasi sensitif atau menginstal malware, atau memasukkan iklan mereka sendiri ke dalam resource Anda. Misalnya, beberapa pihak ketiga menginjeksikan iklan ke dalam situs yang berpotensi merusak pengalaman pengguna dan menimbulkan kerentanan keamanan.
Penyusup mengeksploitasi setiap resource tidak dilindungi yang lalu-lalang antara situs dan pengguna Anda. Gambar, cookie, skrip, HTML... semuanya dapat dieksploitasi. Penyusupan dapat terjadi kapan saja di jaringan, termasuk komputer pengguna, hotspot Wi-Fi, atau ISP yang disusupi.
HTTPS melindungi privasi dan keamanan pengguna
HTTPS mencegah penyusup secara pasif mendengarkan komunikasi antara situs dan pengguna Anda.
Salah satu kesalahpahaman umum tentang HTTPS adalah satu-satunya situs yang memerlukan HTTPS adalah situs yang menangani komunikasi sensitif. Setiap permintaan HTTP yang tidak dilindungi berpotensi mengungkapkan informasi tentang perilaku dan identitas pengguna Anda. Meskipun kunjungan tunggal ke salah satu situs Anda yang tidak dilindungi mungkin tampak jinak, beberapa penyusup melihat aktivitas penjelajahan gabungan dari pengguna untuk membuat kesimpulan tentang perilaku dan niat mereka, serta untuk melakukan de-anonimisasi identitas mereka. Misalnya, karyawan mungkin secara tidak sengaja mengungkapkan kondisi kesehatan sensitif kepada perusahaan mereka hanya dengan membaca artikel medis yang tidak dilindungi.
HTTPS adalah masa depan web
Fitur platform web baru yang canggih, seperti mengambil gambar atau merekam audio
dengan getUserMedia(), memungkinkan pengalaman aplikasi offline dengan pekerja layanan, atau
membangun progressive web app, memerlukan izin eksplisit dari pengguna sebelum
dieksekusi. Banyak API lama juga diupdate agar meminta izin untuk
dieksekusi, seperti Geolocation API. HTTPS adalah komponen utama bagi
alur kerja izin untuk fitur baru dan API yang diupdate ini.