Bạn phải luôn bảo vệ tất cả trang web của mình bằng HTTPS, ngay cả khi các trang web đó không xử lý thông tin liên lạc nhạy cảm. Ngoài việc cung cấp tính bảo mật và tính toàn vẹn dữ liệu tối quan trọng cho cả trang web và thông tin cá nhân của người dùng, HTTPS là một yêu cầu cho nhiều tính năng trình duyệt mới, đặc biệt là những tính năng cần thiết cho các ứng dụng web tiến bộ.
Tóm tắt
- Kẻ xâm nhập cả độc hại và vô hại đều khai thác mọi tài nguyên không được bảo vệ giữa các trang web và người dùng của bạn.
- Nhiều kẻ xâm nhập xem xét các hành vi tổng hợp để nhận dạng người dùng của bạn.
- HTTPS không chỉ chặn hành vi sử dụng trang web sai mục đích. Đây cũng là yêu cầu đối với nhiều tính năng tiên tiến và công nghệ hỗ trợ các tính năng giống như ứng dụng, chẳng hạn như trình chạy dịch vụ.
HTTPS bảo vệ tính toàn vẹn của trang web
HTTPS giúp ngăn chặn kẻ xâm nhập can thiệp vào hoạt động giao tiếp giữa các trang web và trình duyệt của người dùng. Kẻ xâm nhập bao gồm những kẻ tấn công có chủ đích độc hại, và các công ty hợp pháp nhưng xâm nhập, chẳng hạn như các nhà cung cấp dịch vụ Internet hoặc khách sạn có chèn quảng cáo vào các trang.
Kẻ xâm nhập khai thác thông tin liên lạc không được bảo vệ để lừa người dùng cung cấp thông tin nhạy cảm hoặc cài đặt phần mềm độc hại, hoặc chèn quảng cáo của chính họ vào tài nguyên của bạn. Ví dụ: một số bên thứ ba chèn quảng cáo vào các trang web có khả năng phá vỡ trải nghiệm người dùng và tạo lỗ hổng bảo mật.
Kẻ xâm nhập khai thác mọi tài nguyên không được bảo vệ di chuyển giữa các trang web và người dùng của bạn. Hình ảnh, cookie, tập lệnh, HTML... đều có thể khai thác. Hoạt động xâm nhập có thể xảy ra tại bất kỳ thời điểm nào trong mạng, bao gồm cả máy của người dùng, điểm phát sóng Wi-Fi hoặc ISP bị xâm phạm, v.v.
HTTPS bảo vệ quyền riêng tư và bảo mật của người dùng
HTTPS ngăn kẻ xâm nhập theo dõi thụ động hoạt động giao tiếp giữa các trang web và người dùng của bạn.
Một quan niệm sai lầm phổ biến về HTTPS là các trang web duy nhất cần HTTPS là những trang web xử lý thông tin liên lạc nhạy cảm. Mọi yêu cầu HTTP không được bảo vệ đều có thể làm lộ thông tin về hành vi và danh tính của người dùng. Mặc dù một lần truy cập vào một trong những trang web không được bảo vệ của bạn có vẻ vô hại, nhưng một số kẻ xâm nhập sẽ xem xét các hoạt động duyệt web tổng hợp của người dùng để suy luận về hành vi và ý định của họ, cũng như để xoá ẩn danh danh tính của họ. Ví dụ: nhân viên có thể vô tình tiết lộ cho chủ lao động các tình trạng nhạy cảm về sức khoẻ chỉ bằng cách đọc các bài báo y tế không có biện pháp bảo vệ.
HTTPS là tương lai của web
Các tính năng mới và mạnh mẽ trên nền tảng web, chẳng hạn như chụp ảnh hoặc ghi âm bằng getUserMedia(), cho phép trải nghiệm ứng dụng ngoại tuyến với trình chạy dịch vụ hoặc tạo các ứng dụng web tiến bộ, yêu cầu người dùng cho phép rõ ràng trước khi thực thi. Nhiều API cũ cũng đang được cập nhật để yêu cầu quyền thực thi, chẳng hạn như API vị trí địa lý. HTTPS là thành phần quan trọng trong quy trình cấp quyền cho cả tính năng mới này và API cập nhật.