Всички сайтове, които могат да се заредят с HTTP протокол или иначе казано адресът на сайта в адресната лента на браузъра започва с „http://“, са твърде уязвими, според Интернет гиганта. Алтернатива е протоколът HTTPS, който сайтовете могат да изполват, ако имат инсталиран, подписан от официален издател SSL сертификат.
От Google обявиха позицията си през миналатa седмица в специален блогпост, посветен на сигурността. Компанията ще предприема все по-радикални мерки за преодоляване на този проблем. В публикацията са набелязани стъпките, които Google има намерение да направи.
Това което ще засегне голяма част от собствениците на сайтове е предвидената промяна в поведението на най-популярния браузър Google Chrome. От 01 януари 2017 г. сайтовете, които се зареждат с HTTP протокол и изискват парола или друг вид оторизация и информация за платежни карти, ще бъдат маркирани като несигурни.
Тази промяна се налага от факта, че все още голяма част от потребителите не виждат разлика между защитените и незащитените сайтове, а браузърите не маркират използването на HTTP връзка като по-несигурно. По информация от Google броят на страниците, които Google Chrome отваря с двата протокола е приблизително еднакъв в момента. След пускането на версия 56 на Chrome през януари 2017 г., когато част от HTTP сайтовете ще бъдат маркирани като “Not secure”, Google има намерение да отиде още по-далеч. Компанията обмисля маркиране на всички HTTP сайтове по-агресивно с поставяне на червен триъгълник и удивителна за повишено внимание.
Така потребителите на най-използваният браузър в света, които са около 72 % от всички потребители, ще бъдат наясно дали сайтът, в който въвеждат личните си данни е защитен или не.
Преходът към по-сигурния HTTPS протокол се насърчава още от 2014 г., когато търсачката на Google започна да приоритизира криптираните сайтове в резултатите си.
Host.bg има готово решение на този проблем. Всеки клиент на нашите услуги може да получи безплатно валиден сертификат на издателя Letsencrypt. Активирането на сертификата става лесно от предвидения за това модул в контролния панел на хостинга.
Едно от основните предимства на HTTP/2 е повишената сигурност при сърфиране в Интернет. Тя се гарантира с използването на криптирана връзка между потребителя и уеб сървъра. За целта обаче е необходимо уеб сайтът и неговият домейн да бъдат защитени с SSL сертификат, който работи с актуални версии на уеб сървърите като LiteSpeed Web Server 5.0, Nginx 1.9.5 или Apache 2.4.17 (mod_http2). Доскоро това бе приоритет само на малка част от уеб сайтовете, между които гигантите Google, YouTube и Facebook. Повечето от собствениците на уеб сайтове се въздържаха от предимствата на новата HTTP/2 технология, тъй като това беше обвързано с допълнителен разход за SSL сертификат. Навлизането на безплатните SSL сертификати преодолява това препятствие.
От 3-ти май 2016 г. всички нови и настоящи клиенти на Host.bg могат да инсталират безплатен SSL сертификат. Сертификатите се издават от организацията Let’s Encrypt за период от три месеца, но подновяването им става чрез инструмент в контролния панел (cPanel). При наличието на SSL сертификат за сайта/домейна и поддръжка от страна на уеб сървъра, ползването на HTTP/2 от потребителите е напълно прозрачно.
За да проверите дали посещаван от вас сайт е с HTTP/2 поддръжка можете да използвате безплатните разширения за браузърите Chrome и Firefox.
HTTP протоколът е в основата на интернета, който всички ние познаваме днес. Той управлява връзката между уеб сървъра, на който се намира сайта ви и браузъра, който потребителят използва, за да го достъпи. Благодарение на този протокол ние четем последните новини, пазаруваме онлайн, гледаме видеа в YouTube и посещаваме любимите си сайтове от всякакъв вид устройства. За съжаление протоколът не е променян от 1999 година, когато беше пусната версия 1.1. Ето защо, публикуването на HTTP/2 спецификацията в края на миналата година беше причина за големи вълнения сред специалистите. Разбира се, ние от Host.bg обърнахме заслужено внимание на това значимо за технологиите събитие и днес всички наши нови хостинг планове поддържат HTTP/2.
Защо HTTP се нуждаеше от ъпдейт?
Модерните уеб сайтове и приложения генерират стотици HTTP заявки, а HTTP/1.1 започна да изостава от нуждите и непрекъснато нарастващите изисквания на потребителите и новите технологии. През последните 16 години на уеб разработчиците им се налагаше да проявяват висока креативност по отношение на преодоляването на HTTP/1.1 ограниченията. Нуждата от нови функционалности и по-висока скорост при зареждане обаче, наложи разработката на нова версия на протокола.
Какво е новото в HTTP/2?
HTTP/2 е базиран на мрежовия протокол SPDY, разработен от Google като се фокусира изцяло върху подобряване на производителността и сигурността, предлагайки следните подобрения:
Мултиплексиране
Уеб сайтовете и приложенията изискват от уеб браузъра изпълнението на много заявки едновременно. В началото HTTP/1.0 дава възможност за изпълнението само на една заявка през една TCP връзка, което е причина за така нареченият head-of-line blocking. От HTTP/1.1 се опитваха да разрешат проблема с технологията Pipelining, която дава възможност да се правят множество заявки с една TCP връзка. Въпреки това все още са на лице забавяния, предизвикани от реда на изпълнение на заявките.
Изпълнението на заявките към сървъра при HTTP/1.1 обикновено е в следния ред: браузърът изпраща заявка и чака за отговор от сървъра преди да изпрати следващата заявка. Това води отново до забавяния, тъй като по този начин при постъпване на множество заявки, те се изпълняват една по една, по ред на постъпване.
Решението, което HTTP/2 предлага е мултиплексиране. Чрез него множество заявки могат да бъдат обработени по едно и също време през една TCP връзка. За да реши проблема със забавянията, протоколът използва фреймове, като всеки фрейм съдържа мета информация за заявките/отговорите които се изпълняват през една връзка.
Това е пример за това как различните версии на протокола (HTTP/1.1 и HTTP/2) обработват заявките. От диаграмите може да се види, че при HTTP/2 не се блокира изпълнението на третата заявка, въпреки че за изпълнението на втората заявка сървърът се нуждае от повече време.
Компресиране на хедъри
Уеб браузърите използват пакети от информация, наречени хедъри, за да информират сървърите от каква информация се нуждаят и в какъв формат да бъде доставена. За разлика от HTTP/1, при който за всяка заявка се изпраща отделен хедър, HTTP/2 изпраща един хедър в една TCP връзка и освен това дава възможност за компресиране на хедърите. То води до по-малък обем на предаваната информация и е още един фактор, допринасящ за по-бързото зареждане на страниците.
Приоритизиране
Едно от най-големите предимства на HTTP/2 е това, че браузърите могат да приоритизират заявките, които правят към сървъра. По този начин отговорите от страна на сървъра се изпращат в зависимост от приоритета, което от своя страна дава сигурност, че важната информация винаги ще стигне първа при потребителите.
Наличието на протокола Secure Sockets Layer (SSL) осигуряващ криптираната връзка и предпазващ преноса на данни между уеб сървъра и браузъра на потребителите е най-новото попълнение, което от Google отчитат като положителен сигнал в общия алгоритмичен индекс за класирането на уебсайтовете в търсачката.
След проведени тестове през изминалите месеци, Google инициират взимането под внимание – дали уебсайтовете използват сигурни криптирани връзки благодарение на SSL сертификат, след положителната обратна връзка.
От компанията уточняват, че към настоящия момент влиянието на HTTPS сигнала е под 1%, но в бъдеще процентът би приел по-висока стойност, като част от желанието на Google за преход от HTTP към HTTPS и осигуряването на безопасността в мрежата.
– Secure Sockets Layer или SSL е специален интернет протокол, който създава криптиран канал за комуникация между уеб сървърът и браузъра. Той предпазва преноса на данни в интернет от недоброжелателна намеса;
– Всеки SSL сертификат се състои от публичен и частен ключ. С тяхна помощ се създават защитени сесийни ключове за всяка връзка;
– Нивата на защита на връзката със SSL сертификат се определят от дължината на ключа, измервана в битове (40-bit, 56-bit, 128-bit и 256-bit);
– Колкото по-голяма дължина има един сертификат, толкова по-високо ниво на защита осигурява;
Този понеделник (7-ми април) беше разкрит бъг в софтуера за имплементация на криптиращи протоколи OpenSSL. Опасната дупка в сигурността беше открита от специалисти от Google и компанията за софтуерна сигурност Codenomicon.
OpenSSL е най-популярната библиотека с отворен код за имплементация на SSL и TLS криптиращите протоколи. Използва се в повече от 66 процента от всички уебсайтове в интернет пространството, като се инсталира по подразбиране с уебсървърите Apache и nginx, както и с операционни системи с отворен код Debian, Ubuntu, CENTOS, Fedora, OpenBSD, FreeBSD, OpenSUSE и т.н. Когато използвате https:// протокола, вашата връзка минава през тази библиотека.
Бъгът, официално заведен като CVE-2014-0160 и станал известен като „Heartbleed“, засяга версии на OpenSSL от 1.0.1 до 1.0.1f, основно за операционни системи, никоя от които не се използва на сървърите за споделен хостинг на Host.bg.
На теория, дупката в сигурността позволява да се разкрият до 64 KB информация за клиента и/или сървъра и/или частния ключ на SSL сертификата. Възползването от уязвимостта не оставя следи в сървърните логове и не се отразява по друг начин на работата на приложенията.
Сървърите на Host.bg също използват OpenSSL – без паника. В допълнение към собствената компилация на операционна система, различна от уязвимите, на сървърите допълнително е инсталиран пач за проблема. Сигурността на всички сървъри за споделен хостинг и за мейл услугите се наблюдава постоянно от нашите специалисти, които тестват продължително всеки софтуер преди той да бъде допуснат за употреба на сървърите ни. Можете да бъдете спокойни за сигурността на вашата информация.
Повече информация за дупката в сигурността, можете да прочетете на официалната страница:
https://heartbleed.com/
3. Обърнете внимание на дизайна и направете сайтът си userfirendly
Дизайнът нa един сайт е следващото нещо, с което се сблъскват посетителите му. Той е лицето на вашият бизнес онлайн. За това не подценявайте неговото значение. В зависимост от спецификата на сайта има най-различни възможности за неговия дизайн. За това нашият съвет е да разчитате на професионалистите в областта. Уеб дизайнерите, следят всички нови тенденции и добри практики.
Дори да имате специфично изискване към дизайна на сайта, споделете го с дизайнерите, но не пренебрегвайте с лека ръка тяхната преценка или съвет.
Следващото стъпало нагоре, по пътя на успеха, е да направите сайт, който е лесен за ползване. Хората обичат лесно и бързо да получават информация, ако е възможно с един клик, без да се налага да минават през различни нива и допълнителни линкове. Всичките ви усилия трябва да са насочени в тази посока. Лесно, бързо, достъпно. Всеки потребител харесва това.
Ако имате повече информация, продукти и услуги, най-добре е да ги подредите по категории. Направете си и бърза и удобна търсачка, така че посетителите лесно да намират желаната от тях информация. Проверете всяка страница за счупени и неработещи линкове.
4. Не прекалявайте с e-mail маркетинга и събирането на e-mail-и.
E-mail маркетингът се наложи като ефективен и достъпен начин да се предлагат продукти и услуги. Самото събиране на списъци с електронни пощи се превърна само по себе си в отделен бизнес. С времето обаче, хората станаха доста чувствителни на тази тема. Те вече внимават къде оставят електронните си адреси, отписват се от т. нар. newsletter-и, когато преценят, че информацията не ги засяга или чисто и просто започнат да им досаждат. За това е важно да работите с много такт в тази посока.
Например, не задължавайте посетителите да вписват e-mail-а си във вашите списъци, още със самото влизане в сайта. Колко човека биха въвели адреса на електронната си поща в сайт, в който влизат за първи път и който дори още не са разгледали?! Това ще ги настрои скептично към него и най-вероятно ще изберат опцията да разгледат сайта без да се регистрират. Както вече стана дума, ако нямат възможност да избират, чисто и просто ще затворят сайта. Ако държите да имате техните координати, има много други начини. По-добре е да ги „подтикнете” да се легитимират доброволно. Това може да стане посредством опция за регистрация; с наличието на поле, в което по своя воля да оставят мейла си; чрез игри, награди и т.н. Така се повишава успеваемостта на този вид маркетинг, защото след като човек доброволно се е регистрирал, шансът да се интересува от вашите оферти е доста по-висок. Разбира се, не трябва да се прекалява. Това може да доведе до „пренасищане” и хората да се отпишат преди да са закупили нещо от вас.
5. Накарайте ги да се чувстват сигурни с вас
За съжаление, с увеличаване на потреблението на различни Интернет услуги и продукти, хората започват да стават по-мнителни и внимателни кой сайт да ползват и за какво. За да имате успех, трябва да накарате хората да се чувстват сигурни във вас. За тази цел е добре да имате подробни и добре описани правила за използване на сайта. Често потребителите не ги четат, тъй като им се струват „дълги”. Това все пак създава усещането за сигурност, защото сте се погрижили да разгледате внимателно и да уредите отношенията си с потребителя прецизно. В „Страницата за контакти“ информирайте подробно как могат да се свържат с вас. Дайте адрес, телефон, e-mail, име на фирмата и т. н. Ако сайтът ви обменя важна информация, можете лесно да го защитите с т. нар. SSL сертификат . Той криптира връзката и предотвратява кражбата на данни онлайн. Ако в сайта ви се съхраняват лични данни или се извършват плащания с дебитни и кредитни карти, използването на SSL сертификат е задължително.
