אבטחת אתר ב-HTTPS – למה זה חשוב ואיך עושים את זה?

אבטחת אתר HTTPS
נהניתם מהתוכן ואפילו קצת השכלתם? שתפו גם את החברים והקולגות

אתר שלא מאובטח ב-HTTPS מסכן את הגולשים שלו.

מה זה HTTPS בכלל ואיך דואגים שתהיה אבטחת אתר איכותית?
כתבה קלילה על נושא כבד – בשפה שכל אחד מבין.

 

השבוע נחשף ב"הארץ" כשל אבטחה באתר של  Pepper ("אל תקרא לי בנק").
למי שלא מכיר, פפר הוא סניף דיגיטלי של בנק לאומי שמופעל ע"י אפליקציה ייעודית ופונה בעיקר לצעירים.
ביום שבת חסמו כרום ופיירפוקס, שני הדפדפנים המובילים ברשת, חלק מהסקריפטים באתר של פפר שהיו בהם כשלי אבטחה. במילים אחרות, מי שנכנס לאתר פפר בשבת ובראשון גילה אתר שבור.

אתר של בנק עם פרצת אבטחה הוא סיפור רציני מאד ואני מאמין שיום א' של מנהלי השיווק ומחלקת ה-IT של פפר היה לא פשוט, בלשון המעטה.

מהר מאד הסיפור הגיע לעיתונות ולפייסבוק ובנס לא הפך לויראלי. אני בטוח שהושקעו הרבה מאמצעים בשביל למנוע משבר דיגיטלי ובשביל לפתור את הכשל במהירות האפשרית.

 

החלטתי לנצל את המומנטום ולדבר אתכם קצת על אבטחת מידע, נושא שקל מאד להתעלם ממנו בתקווה שמישהו אחר יתעסק איתו בהמשך.
במאמר הבא אסביר בשפה פשוטה מה זה HTTPS, למה זה חשוב (מאד!) ומה זה דורש מכם – מנהלי השיווק, מנהלי IT ומנהלי מוצר.

 

מה זה HTTPS?

בקצרה, הרעיון הבסיסי של HTTPS הוא לאפשר ערוץ מאובטח ומוגן יחסית מפני האזנות סתר ושליפת מידע רגיש.
זהו יישום המוסיף שכבת הצפנה על פרוטוקול HTTP רגיל. HTPPS בעצם מצפין את כל המידע שנשלח מהדפדפן אל השרת, ובכך מונע זליגה שלו לגורמים זדוניים.
כשאנחנו נכנסים לאתר באמצעות פרוטוקול HTTPS, אף אחד לא יכול לדעת מה אנחנו עושים באתר כי התקשורת בינינו לבין האתר מוצפנת.

הצפנת מידע ב-HTTPS: לא מאפשרת מעבר מידע מהמשתמש אל צד ג'
הצפנת מידע ב-HTTPS: לא מאפשרת מעבר מידע מהמשתמש אל צד ג'. הזכויות שמורות ל-COMODO.

 

אבטחת אתר בסיסית ב-HTTPS חשובה במיוחד אם גולשים ב-WiFi. כך, אם אני ב-WiFi של בית קפה ונכנס לאתר מאובטח, בעל בית הקפה יכול לדעת שנכנסתי לאתר הזה אבל אין לו אפשרות לדעת מה עשיתי שם. באתר לא מאובטח, כל אדם עם ידע טכני בסיסי יכול לדלות מהתקשורת ביני לבין האתר את פרטי החשבון שלי, הסיסמא, מספר כרטיס האשראי וכו'.

 

איך יודעים אם אתר מאובטח?

אתר שמאובטח באמצעות HTTPS ייראה בשורת ה-URL ממש כך:

תצוגת אתר מאובטח ב-HTTPS
תצוגת אתר מאובטח ב-HTTPS

למה ש-HTTPS יעניין אותי?

אבטחה

כמובן שאבטחה היא הסיבה המשמעותית ביותר.
אבטחת אתר באמצעות HTTPS שומרת על המידע של הגולשים שלכם בידיים טובות ומונעת מהאקרים להפנות טראפיק לאתרים בעייתיים.
לכן, HTTPS חשוב מאד גם אם האתר שלכם הוא אתר תדמיתי שלא מכיל פרטים של גולשים – אבל על אחת כמה וכמה אם האתר שלכם הוא חנות וירטואלית שנעשה בה שימוש בפרטי אשראי.

אמינות

יצירת אמון אצל הגולשים שלכם חייבת להיות חלק מאסטרטגיית אבטחת אתר שלכם.
כשהגולשים באתר רואים שהאתר שלכם מאובטח, הם ייטו יותר לתת בו אמון ולבצע דרכו פעולות כמו רכישה והשארת פרטים.
בנוסף, החל מינואר 17', כרום ופיירפוקס מציגות אזהרה כשמנסים להזין פרטים באתרים שאינם מאובטחים ב-HTTPS. כך, למשל, הסימון נראה בכרום:

טופס לידים של אתר לא מאובטח ב-HTTPS: מוריד אחוזי המרה
טופס לידים של אתר לא מאובטח ב-HTTPS: מוריד אחוזי המרה

 

מעל 60% מהגולשים באינטרנט גולשים דרך כרום או פיירפוקס, לכן אתר לא מאובטח הולך להשפיע באופן ישיר על אחוזי ההמרה של הגולשים באתר.

 

SEO

גוגל משקיעה המון משאבים בכל הקשור לאבטחת HTTPS. כיום, ההמלצה הרשמית של גוגל היא שכל האתרים ברשת יעברו לשימוש ב-HTTPS. גוגל אפילו הצהירה באופן פומבי ב-2014 שהיא גורעת ניקוד מאתרים שלא עומדים בתקנון האבטחה המחמיר.
במילים אחרות, אתר לא מאובטח יופיע נמוך יותר בתוצאות החיפוש של גוגל.
למרות שההשפעה היא מינורית, עדיף לקבל את היתרון הזה ולא לפספס את ההזדמנות לדלג במעלה התוצאות על פני המתחרים שלכם.

 

שיפור מהירות האתר – למיטיבי לכת בלבד

אבטחת אתר ב-HTTPS מאפשרת שימוש בפרוטוקול HTTP/2 (בתנאי שאתם עובדים על וורדפרס כמובן), המשפר את מהירות טעינת העמוד.
אני לא רוצה להכנס לפרטים הטכניים וכמו לכל דבר גם לתוסף הזה יש חסרונות –
אבל זוהי אנקדוטה מעניינת ששווה לדבר עלייה כשמדברים על מעבר ל-HTTPS.

 

הבנתי, HTTPS זה חשוב. איך מאבטחים את האתר שלי?

בשביל "להשיג" HTTPS ליד הדומיין שלכם, תצטרכו תחילה לרכוש תעודת SSL, שבעצם עושה ולידציה לדומיין שלכם ומאותת לגולש ולגוגל שהאתר שלכם שייך לחברה לגיטימית. התעודה מגיעה עם רמות אבטחה שונות, ומחירה משתנה בהתאם לדרגת האבטחה הדרושה לאתר שלכם.
אחרי שרכשנו והתקנו תעודת SSL, צריך להעביר את האתר ל-HTTPS באמצעות איש מקצוע.

המעבר ל-HTTPS דורש לבצע שינויים רבים באתר. למעשה, מספיק שאחד האלמנטים בעמוד לא יעמוד בתקן הדרוש בשביל שכל העמוד עצמו ייחשב ללא מאובטח.

מבחינת המתכנתים, העברת אבטחת האתר ל-HTTPS היא משהו טכני שלא לוקח יותר מדי זמן, בייחוד באבטחת אתר וורדפרס.
לעומת זאת, מבנחית ההאקרים, אתר לא מאובטח זו דרך נהדרת לעשות פישינג או להפנות את הגולש להורדת אפליקציה זדונית שתתקין לו סוס טרויאני על המכשיר במקום לאפליקציה המקורית.

כן, עבודה של שעה יכולה לחסוך לכם המון המון המון בעיות.
אם ככה, השאלה החשובה באמת היא…

 

למה לא כל האתרים מאובטחים עם HTTPS???

אולי מנהלי השיווק לא מודעים?
אולי מנהלי המוצר לא זוכרים?
אולי מנהלי ה-IT לוקחים את זה כמובן מאילו?

 

אני לא יודע,
אבל בשורה התחתונה, אתר שלא מאובטח ב-HTTPS מסכן את הלקוחות שלו וחושף את המידע האישי שלהם לכל.
זה באמת באמת לא מסובך:

אם יש לכם אתר עסקי, וודאו שהאתר שלכם מאובטח ואם לא בקשו מהחברה שבנתה לכם את האתר להוסיף HTTPS (עכשיו אתם כבר יודעים לחפש את המנעול הירוק 🙂 ).
אם אתם רוצים לבנות אתר – שימו לעצמכם בכוכבית לוודא שהאתר שלכם יהיה מאובטח בין היתר גם ב-HTTPS.
זוהי ההגנה הבסיסית ביותר שאתם יכולים לתת לגולשים שלכם.
ההמלצה שלי היא להשתמש בצורות הגנה נוספות, כיוון ש-HTTPS לבדו רחוק מלהספיק בתור הגנה על האתר.

 

במקרה של פפר, סוף טוב הכל טוב –
הבעייה תוקנה ביום שני ומשבר דיגיטלי איכשהוא נמנע.
בתגובתם לעיתונות, טענו פפר ש"מדובר באתר הכולל מידע כללי שיווקי בלבד אודות השירות, לעומת חשבון הבנק של פפר – שהינו אפליקציה בנקאית מאובטחת ואין כל קשר בין השניים. לפיכך – גם אין חשש מזליגת מידע של הלקוח".

בכנות, התגובה שלהם מעידה בעיקר על חוסר הבנה של עולם הסייבר. כמו שוודאי הבנתם עד עכשיו, גם אתר תדמיתי צריך להיות מאובטח ברמה גבוההה בשביל למנוע דליפת מידע.

 

לסיכום,לא את כל מתקפות הסייבר אנחנו יכולים למנוע -אבל חלק גדול מהן אנחנו יכולים בהחלט.
תבדקו מהי הדרך הטובה ביותר עבורכם  ליצור אבטחת אתר חזקה ומספקת, ומנעו את הפאדיחה הבאה.

מוזמנים לשאול אותי שאלות כאן או בפרטי ולשתף חברים.

מקווה שעזרתי!

 

עד השבוע הבא,

יובל.

נהניתם מהתוכן ואפילו קצת השכלתם? שתפו גם את החברים והקולגות

כתיבת תגובה