HTTP এবং https ব্যবহৃত প্রোটোকলকে উল্লেখ করে।
HTTP এনক্রিপ্ট না করা ক্লিয়ারটেক্সট যোগাযোগের জন্য ব্যবহৃত হয়, যার অর্থ হ'ল স্থানান্তরিত ডেটা কোনও মানুষের দ্বারা আটকানো এবং প্লেইন এ পড়তে পারে। ব্যবহারকারীর নাম / পাসওয়ার্ড ক্ষেত্র উদাহরণস্বরূপ ক্যাপচার এবং পড়তে পারে।
https এসএসএল / টিএলএস এনক্রিপ্ট করা যোগাযোগকে বোঝায়। এটি পড়ার জন্য অবশ্যই ডিক্রিপ্ট করা উচিত। সাধারণত / আদর্শভাবে কেবলমাত্র শেষের পয়েন্টগুলি ডেটা এনক্রিপ্ট / ডিক্রিপ্ট করতে সক্ষম, যদিও এটি ক্যাভ্যাটস সহ একটি বিবৃতি ( নীচে সম্পাদনা দেখুন )।
অতএব https টি http এর চেয়ে বেশি সুরক্ষিত হিসাবে বিবেচিত হতে পারে।
: 80 এবং: 443 কেবলমাত্র ব্যবহৃত সার্ভার পোর্টের জন্য উল্লেখ করুন (যেমন এটি "কেবলমাত্র একটি সংখ্যা") এবং সুরক্ষার সাথে সম্পর্কিত কোনও গুরুত্বই রাখে না।
যাইহোক, পোর্ট 80 এর উপরে HTTP এবং 443 পোর্টের উপরে https প্রেরণের জন্য একটি শক্তিশালী কনভেনশন রয়েছে, যা প্রশ্নের সংমিশ্রণগুলিকে কিছুটা অপ্রচলিতের চেয়ে বেশি করে তোলে। এগুলি প্রযুক্তিগতভাবে নিখুঁতভাবে ব্যবহারযোগ্য, যতক্ষণ না শেষ পয়েন্টগুলি চুক্তিতে রয়েছে এবং কোনও মধ্যস্থতাকারী ফিল্টার অবজেক্ট নেই।
সুতরাং উত্তর দেওয়ার জন্য, http://example.com:443 https://example.com:80 এর চেয়ে কম সুরক্ষিত এবং পার্থক্যটি ব্যবহারিক (যদিও এটি বেশ কয়েকটি উপায়ে অফসেট করা যায়) এবং কেবল তাত্ত্বিক নয়।
আপনি সহজেই ওয়েবসভার এবং ক্লায়েন্ট ব্যবহার করে যেখানে আপনি সার্ভারপোর্ট এবং এনক্রিপশন স্থিতি পরিচালনা করেন, প্রতিটি সেশনের ওয়্যারশার্কের মতো একটি প্রোটোকল ডিকোডার দিয়ে ক্যাপচার ও তুলনা করে এই বিবৃতিগুলির বৈধতা সহজেই পরীক্ষা করতে পারেন।
[ সম্পাদনা - ক্লায়েন্ট / সার্ভারের পাথের সুরক্ষা সম্পর্কিত বিষয়ে ]
একটি https ম্যান-ইন-দি-মিডল আক্রমণের মূলত পরিমাণটি কী শোনানো বা ছদ্মবেশ ধারণের উদ্দেশ্যে সম্পাদন করা যেতে পারে? এটি পরিস্থিতি অনুসারে অজ্ঞতার কারণে এমনকি উদ্রেককারী, দানশীলতার কাজ হিসাবে বা এটি পরিণত হতে পারে।
আক্রমণ যেমন একটি প্রোটোকল দুর্বলতা শোষণ মাধ্যমে পারেন কাজ করা যেতে পারে Heartbleed বাগ বা কুঞ্চিত লোমযুক্ত ক্ষুদ্র দুর্বলতার অথবা ক্লায়েন্ট এবং সার্ভারের মধ্যে একটি HTTPS প্রক্সি শুরু করতে গিয়ে মাধ্যমে নেটওয়ার্কের পাথ অথবা সরাসরি ক্লায়েন্টের ।
দুর্ভাগ্যজনক ব্যবহারের খুব বেশি ব্যাখ্যার দরকার নেই বলে আমি মনে করি। উপকারী ব্যবহার উদাহরণস্বরূপ কোনও সংস্থা লগিং / আইডির উদ্দেশ্যে আগত https সংযোগগুলি প্রক্সিং করছে বা অনুমোদিত / অস্বীকৃত অ্যাপ্লিকেশনগুলিকে ফিল্টার করার জন্য https সংযোগগুলি প্রক্স করছে । অজ্ঞ ব্যবহারের উদাহরণ হ'ল উপরের সাথে যুক্ত লেনোভো সুপারফিশ উদাহরণ বা একই স্লিপ-আপের সাম্প্রতিক ডেল বৈচিত্র ।
সম্পাদনা 2
কখনও লক্ষ্য করেছেন কীভাবে বিশ্ব অবাক করে রাখছে? সবেমাত্র সুইডেনে একটি কেলেঙ্কারি ছড়িয়ে পড়ে, যেখানে তিনটি কাউন্টি কাউন্সিলের স্বাস্থ্যসেবা সংস্থা রোগীদের টেলিফোন কলের মাধ্যমে স্বাস্থ্যসেবা ইভেন্টগুলি নিবন্ধ করার জন্য একই সরবরাহ চেইন ব্যবহার করেছে।
এটি যেমন ছিল, ততক্ষণে প্রশ্নটি বিভিন্ন বিষয়ের উপর একটি উত্তর পেয়েছে। যদি কেবল এটি ব্যবহারিক রসিকতা হত এবং কোনও আসল ঘটনা না ...
আমি কেবল কম্পিউটার সুইডেনে নিউজ টেক্সট থেকে অনূদিত দুটি স্নিপেট পেস্ট করব :
”কম্পিউটার সুইডেন আজ স্বাস্থ্যসেবা রোগীর সুরক্ষা এবং ব্যক্তিগত অখণ্ডতা সম্পর্কিত সবচেয়ে বড় বিপর্যয়ের একটি প্রকাশ করতে পারে। কোনও প্রকারের পাসওয়ার্ড সুরক্ষা বা সুরক্ষার অন্যান্য পদ্ধতি ছাড়াই একটি উন্মুক্ত ওয়েবসভারে, আমরা চিকিত্সা পরামর্শক নম্বর 1177 এর মাধ্যমে রোগীদের স্বাস্থ্যসেবা থেকে 2,7 মিলিয়ন রেকর্ড করা কল পেয়েছি The কলগুলি আবার ফিরে আসে 2013 এবং এতে 170.000 ঘন্টা সংবেদনশীল ভয়েস রয়েছে ফাইলগুলি কল করুন যেগুলি যে কেউ ডাউনলোড এবং শুনতে পারে।
[...]
কলগুলি আইপি ঠিকানায় http://188.92.248.19:443/medicall/ এ ভয়েস ইন্টিগ্রেটেড নর্ডিক্স স্টোরেজ সার্ভারে সংরক্ষিত হয়েছে । টিসিপি-পোর্ট 443 নির্দেশ করে যে ট্র্যাফিকটি https ছাড়িয়ে গেছে, তবে সেশনটি এনক্রিপ্ট করা হয়নি।
আমি সিদ্ধান্ত নিতে পারি না এটি এখনও অজ্ঞতার অন্য উদাহরণ, বা যদি আমরা সম্পূর্ণ নতুন বিভাগটি দেখছি। আপনার পরামর্শ দিন.