Graham Cluley, a Sophos vezető biztonsági tanácsadója, a Sophos NakedSecurity blogból
A biztonság-tudatos felhasználók nagy örömére a Twitter bejelentette, hogy alapértelmezettként fogja használni a HTTPS protokollt.
Miért is fontos ez? Csak kérdezzék meg Ashton Kutchert.
Kutcher részt vett az idei TED Konferencián, és a rendelkezésre bocsátott titkosítatlan WiFi hotspothoz csatlakozott. Egy közeli hacker, valószínűleg egy Firesheep-hez hasonlatos segédprogrammal képes volt Kutcher Twitter session-jéhez csatlakozni és a nevében pro-SSL graffitit kiposztolni.
Sajnálatos, de ha Ön a Twitterbe egy titkosítatlan WiFin keresztül kapcsolódik (pl. hotelek, repterek várakozói), vagy nem engedélyezte a HTTPS-t, akkor egy hacker elfoghatja az Ön session cookie-ját. És bárki, aki erre képes, azt állíthatja magáról, hogy Ön az.
Ez pedig azt is jelenti, hogy tweeteket rakhat ki úgy, mintha Ön tette volna és elolvashatja a privát közvetlen üzeneteit is. És ezt Ön nem akarja.
A teljes Twitter HTTPS bekapcsolással az Ön session cookie-ja titkosított marad az Ön egész bejelentkezési időszaka alatt. Ez kifejezetten egy jó dolog.
Éppen ezért nagyszerű látni a következő hivatalos állásfoglalást a Twitter részéről.
"We suggest using HTTPS for improved security. We're starting to turn this on by default for some users. More here: https://support.twitter.com/articles/481955-how-to-enable-https "
Más olyan weboldalak is ráeszméltek a HTTPS/SSL titkosítással kapcsolatos dolgokra, amelyek személyes profilokat, azonosítókat kezelnek.
A Google nyitotta meg az utat a HTTPS használatának kikényszerítésével olyan alkalmazásainál, mint a Gmail és a Google Docs, a Google+ esetén pedig az SSL kapcsolódás kötelező is.
A Facebook esetén a HTTPS még mindig opcionális, de van rá remény, hogy a közösségi óriás ki fogja kényszeríteni a használatát még ebben az évben.
Feltétlenül javasolnám a HTTPS engedélyezését a Facebook-on és a Twitter-en is. A Twitter esetében a profiljának beállítások oldalán teheti ezt meg.
Ha pedig a Facebook-ot használja, tekintse meg Chet Wisniewski kollégám rövid videóját, amelyben megmutatja, hogyan engedélyezheti a teljeskörű SSL/HTTPS titkosítást.
További információ angol nyelven