الفرق بين HTTP وHTTPS
عندما تفتح موقع Web، يتبادل المتصفح والخادم البيانات.
الآلية الأساسية المستخدمة في هذا التبادل على Web هي HTTP. أما الآلية التي تجعل اتصال HTTP يتم بأمان فهي HTTPS.
HTTPS ليس مجرد "آلية لتشفير محتوى الاتصال". المهم أنه يجعل التنصت والعبث وانتحال الجهة من طرف ثالث على مسار الاتصال أصعب.
لذلك تكون النقاط الثلاث الآتية مهمة خصوصًا في HTTPS.
- جعل محتوى الاتصال أصعب قراءة في الطريق
- جعل العبث بمحتوى الاتصال في الطريق أصعب
- تسهيل التأكد من أن الطرف الذي تتصل به هو الطرف المقصود
بعبارة أخرى، HTTPS آلية مهمة جدًا لمواجهة هجمات الرجل في الوسط.
لكن HTTPS ليس تقنية إخفاء هوية. حتى عند استخدام HTTPS، يصل الوصول إلى موقع Web الوجهة. كما تبقى مسائل مثل عنوان IP المصدر و وحالة تسجيل الدخول وسجلات الوصول منفصلة.
ينظم هذا المقال الفرق بين HTTP وHTTPS، وما يحميه HTTPS، وما قد يبقى مرئيًا حتى مع HTTPS.
ما هو HTTP
HTTP بروتوكول اتصال لتبادل البيانات على Web.
عندما تفتح موقع Web في المتصفح، يرسل المتصفح طلبًا إلى الخادم. مثلًا، يطلب أشياء مثل "أرسل HTML لهذه الصفحة" أو "أريد جلب هذه الصورة".
يرجع الخادم بيانات مثل HTML والصور وCSS وJavaScript استجابة لذلك الطلب.
HTTP هو الآلية المستخدمة لهذا النوع من تبادل الطلب والاستجابة بين المتصفح والخادم.
HTTP نفسه أساسي لاتصال Web. لكن HTTP وحده لا يملك آلية لحماية محتوى الاتصال.
في HTTP، لا يكون محتوى الاتصال مشفرًا. لذلك قد يستطيع طرف ثالث على مسار الاتصال قراءة المحتوى أو إعادة كتابته أو التصرف كطرف مقابل مزيف.
| ضعف HTTP | الشرح |
|---|---|
| ضعيف أمام التنصت | لأن محتوى الاتصال غير مشفر، توجد خطورة أن يُقرأ في الطريق |
| ضعيف أمام العبث | قد يُعاد كتابة محتوى الصفحة أو المحتوى المُرسل أثناء الاتصال |
| ضعيف أمام انتحال الجهة | يصعب التأكد من أن طرف الاتصال هو الخادم المقصود فعلًا |
مثلًا، إذا أرسلت كلمة مرور عبر نموذج تسجيل دخول يستخدم HTTP، فقد تُرى تلك الكلمة أثناء الاتصال. وتوجد أيضًا خطورة أن يُعاد كتابة محتوى صفحة محملة عبر HTTP في الطريق وأن يُدرج نموذج إدخال مزيف أو سكربت خبيث.
HTTP أساس اتصال Web، لكنه كما هو يملك مشكلات أمنية كبيرة.
ما هو HTTPS
HTTPS آلية لحمل اتصال HTTP داخل قناة اتصال آمنة.
بدقة أكبر، يستخدم HTTPS بروتوكول HTTP فوق طبقة اتصال آمنة تسمى TLS. لا يتناول هذا المقال آلية TLS بالتفصيل، لكن لفهم HTTPS، الأسهل التفكير فيه كـ"حماية محتوى اتصال HTTP باستخدام TLS".
النقاط الثلاث الآتية مهمة في HTTPS.
| العنصر | الدور | الشرح |
|---|---|---|
| التشفير | جعل محتوى الاتصال أصعب قراءة | يمنع طرفًا ثالثًا في الطريق من قراءة كلمات المرور أو محتوى النماذج كما هي |
| كشف العبث | جعل ملاحظة إعادة كتابة محتوى الاتصال ممكنة | إذا تغيرت البيانات في الطريق، يصبح قبولها كاتصال صحيح أصعب |
| التحقق من طرف الاتصال | التأكد مما إذا كنت تتصل بالطرف المقصود | استخدام الشهادات وآليات مشابهة للتأكد من أن خادم الوجهة مشروع |
قوة HTTPS في جمع هذه العناصر الثلاثة.
التشفير وحده لا يكفي. مثلًا، حتى إذا كان محتوى الاتصال مشفرًا، إذا استطاع مهاجم التصرف كخادم مزيف وجعل المستخدم يتصل بذلك الخادم، فلا يمكن اعتبار الاتصال آمنًا.
لذلك يستخدم HTTPS آليات لا تحمي محتوى الاتصال فقط، بل تؤكد أيضًا أن الطرف الذي يجري الاتصال به هو موقع Web المقصود.
الفرق بين HTTP وHTTPS
الفرق بين HTTP وHTTPS ليس فقط الفرق الظاهر في بداية URL، هل هي http[:]// أو https[:]//.
في HTTP، لا يكون الاتصال بين المتصفح والخادم محميًا. في HTTPS، تُنشأ قناة اتصال آمنة بين المتصفح والخادم، ويحدث تبادل HTTP داخلها.
| العنصر | HTTP | HTTPS |
|---|---|---|
| بداية URL | http[:]// | https[:]// |
| تشفير محتوى الاتصال | غير مشفر | مشفر |
| الحماية من التنصت على محتوى الاتصال | ضعيفة | قوية |
| الحماية من العبث بمحتوى الاتصال | ضعيفة | يسهل اكتشاف العبث |
| التحقق من طرف الاتصال | ضعيف أساسًا | يستخدم الشهادات وآليات مشابهة للتحقق |
| مقاومة هجمات الرجل في الوسط | منخفضة | عالية |
| إخفاء الهوية | غير متوفر | غير متوفر |
فهم HTTPS على أنه "HTTP مع إضافة التشفير" غير كاف قليلًا. الأدق أنه آلية تلف اتصال HTTP داخل قناة اتصال آمنة وتجعل التنصت والعبث وانتحال الجهة أصعب.
ما هي هجمة الرجل في الوسط
هجمة الرجل في الوسط هي هجمة يدخل فيها طرف ثالث بين المتصفح والخادم، ثم يتنصت على الاتصال أو يعيد كتابته أو يتصرف كطرف مقابل مزيف.
حتى إذا كان المستخدم يظن أنه يصل إلى موقع Web الحقيقي، فقد يكون مهاجم في وسط الاتصال يرى المحتوى. وقد يعيد المهاجم أيضًا كتابة محتوى الاتصال ويدرج نموذج تسجيل دخول مزيفًا أو كودًا خبيثًا.
HTTP ضعيف أمام هذا النوع من الهجمات.
مع HTTPS، يُشفر محتوى الاتصال، ويُكشف العبث، ويُتحقق من طرف الاتصال. هذا يجعل نجاح هجمة الرجل في الوسط أصعب.
| ما يريد المهاجم فعله | مع HTTP | مع HTTPS |
|---|---|---|
| قراءة محتوى الاتصال | توجد خطورة أن يُقرأ | يصعب قراءته كنص صريح |
| سرقة كلمة مرور بالتنصت | خطر عالٍ | يصبح التنصت عليها أثناء الاتصال أصعب |
| إعادة كتابة محتوى الصفحة | توجد خطورة أن يُعاد كتابته | يسهل كشف العبث |
| جعل المستخدم يتصل بخادم مزيف | يصعب على المستخدم ملاحظته | يسهل منعه عبر التحقق من الشهادة |
| انتحال طرف الاتصال | سهل نسبيًا | صعب من دون شهادة صحيحة |
هذا هو جوهر HTTPS.
المهم ليس فقط أن "محتوى الاتصال مشفر"، بل أيضًا أنه يمكن التأكد من "هل تغير المحتوى في الطريق" و "هل الطرف الذي يجري الاتصال به هو الطرف المقصود".
ما الذي يحميه HTTPS
ما يحميه HTTPS أساسًا هو محتوى اتصال HTTP المتدفق بين المتصفح والخادم.
مثلًا، يجعل HTTPS أنواع المعلومات الآتية أصعب قراءة أثناء الاتصال.
| العنصر المحمي | الشرح |
|---|---|
| كلمة المرور | تصبح كلمة المرور المدخلة في نموذج تسجيل دخول أصعب قراءة في الطريق |
| محتوى إدخال النماذج | تصبح الأسماء وعناوين البريد ومحتوى الاستفسارات وما شابه أصعب قراءة في الطريق |
| محتوى الصفحة | يصبح محتوى الصفحة المعروضة أصعب قراءة أو عبثًا في الطريق |
| محتوى الطلب | يصبح المحتوى المرسل من المتصفح إلى الخادم أسهل حماية |
| محتوى الاستجابة | يصبح المحتوى الراجع من الخادم إلى المتصفح أسهل حماية |
| Cookie | تصبح Cookie المرسلة والمستلمة أثناء الاتصال أصعب تنصتًا عليها في الطريق |
كلمات المرور وCookie مهمتان خصوصًا.
قد تُستخدم Cookie للحفاظ على حالة تسجيل الدخول أو التعرف إلى المستخدمين. إذا سُرقت Cookie أثناء الاتصال، فقد توجد في بعض الحالات خطورة أن يصل شخص إلى الموقع منتحلًا المستخدم.
مع HTTPS، تُرسل Cookie أيضًا داخل قناة الاتصال المشفرة، لذلك تصبح أصعب تنصتًا عليها أثناء الاتصال.
لكن استخدام HTTPS لا يحل كل مشكلة مرتبطة بـ Cookie. تبقى طريقة تخزين Cookie، وإعدادات جهة الموقع، وبيئة المتصفح، وأمان الجهاز، ومسائل مشابهة مشكلات منفصلة.
حتى مع HTTPS، يصل المحتوى إلى خادم الوجهة
يحمي HTTPS المحتوى من أطراف ثالثة في الطريق. ليس آلية لإخفاء المحتوى عن موقع Web الوجهة.
مثلًا، إذا أدخلت كلمة مرور في نموذج تسجيل دخول عبر HTTPS، تصبح كلمة المرور أصعب قراءة في الطريق. لكن تلك المعلومة تصل إلى خادم موقع Web الذي يعالج تسجيل الدخول.
هذا طبيعي. فلكي ينفذ الخادم معالجة تسجيل الدخول، يجب أن يستلم المعلومات المرسلة.
نطاق حماية HTTPS هو مسار الاتصال أساسًا.
| الهدف | دور HTTPS | الشرح |
|---|---|---|
| أطراف ثالثة في الطريق | يدافع عنها بقوة | يجعل التنصت والعبث وانتحال الجهة أصعب |
| خادم الوجهة | طرف الاتصال المقابل | يصل محتوى الطلب إلى الخادم |
| عنوان IP للمستخدم | لا يخفيه مباشرة | HTTPS وحده لا يخفي عنوان IP المصدر |
| الحساب المسجل الدخول | لا يخفيه مباشرة | الأفعال أثناء تسجيل الدخول ترتبط بالحساب |
بعبارة أخرى، HTTPS هو "آلية لمنع التنصت والعبث في الوسط". وليس "آلية لإخفاء معلوماتك عن الوجهة".
ما الذي قد يبقى مرئيًا حتى مع HTTPS
حتى عند استخدام HTTPS، لا تختفي كل المعلومات.
يُحمى محتوى الاتصال. لكن معلومات مصدر الوصول، ومعلومات الوجهة، والمعلومات التي تتلقاها جهة موقع Web مسائل منفصلة.
| المعلومة | الطرف الذي قد يراها | الشرح |
|---|---|---|
| عنوان IP المصدر | خادم الوجهة وأطراف مشابهة | تستطيع جهة موقع Web معرفة أي عنوان IP وصل إليها |
| وقت الوصول | خادم الوجهة وأطراف مشابهة | قد يُسجل وقت الوصول كسجل |
| محتوى الطلب | خادم الوجهة | حتى مع HTTPS، يصل المحتوى إلى خادم الوجهة |
| Cookie | موقع Web الوجهة | قد تُستخدم للتعرف إلى المستخدم أو المتصفح نفسه |
| حالة تسجيل الدخول | موقع Web الوجهة | إذا كنت مسجل الدخول، ترتبط الأفعال بالحساب |
| سجلات الوصول | موقع Web الوجهة | قد يُسجل أي صفحات شوهدت وأي عمليات نُفذت |
| معلومات المتصفح | موقع Web الوجهة | قد تُرسل معلومات مثل User-Agent |
| معلومات عن الوجهة | تعتمد على بيئة الاتصال | حتى إذا كان محتوى الاتصال مشفرًا، قد تُستنتج الجهة المتصل بها في بعض الحالات |
النقطة المهمة هنا فصل "محتوى الاتصال" عن "حقيقة الاتصال".
يحمي HTTPS محتوى الاتصال. لكنه لا يخفي تلقائيًا معلومات مثل أي عنوان IP جاء منه الوصول، ومتى حدث الوصول، وأي حساب مسجل الدخول.
كذلك، مع HTTPS، لا يكون URL كاملًا مرئيًا دائمًا لأطراف ثالثة. مسارات الصفحات ومحتوى النماذج وبيانات مشابهة تُحمى كمحتوى اتصال. في المقابل، قد تظهر معلومات مرتبطة باسم نطاق الوجهة بحسب بيئة الاتصال.
لذلك لا يعني استخدام HTTPS اختفاء آثار الوصول ومعلومات التعرف.
HTTPS ليس تقنية إخفاء هوية
HTTPS ليس تقنية إخفاء هوية.
الأغراض الرئيسية لـ HTTPS هي النقاط الثلاث الآتية.
- جعل محتوى الاتصال أصعب قراءة في الطريق
- جعل محتوى الاتصال أصعب عبثًا في الطريق
- تسهيل التأكد من أن طرف الاتصال هو الطرف المقصود
هذا منفصل عن إخفاء الهوية.
عند التفكير في المجهولية، يجب فصل "هل محتوى الاتصال محمي؟" عن "هل الشخص الذي وصل مخفي؟".
يرتبط HTTPS بقوة بالأول. لكنه لا يحل الثاني مباشرة.
| المنظور | هل يحله HTTPS؟ | الشرح |
|---|---|---|
| الحماية من التنصت على محتوى الاتصال | قوي على مسار الاتصال | يجعل المحتوى أصعب قراءة في الطريق |
| الحماية من العبث بمحتوى الاتصال | قوي على مسار الاتصال | يجعل إعادة كتابة المحتوى في الطريق أصعب |
| التحقق من طرف الاتصال | نعم | يستخدم الشهادات وآليات مشابهة للتحقق من الوجهة |
| إخفاء عنوان IP | لا | HTTPS وحده لا يخفي عنوان IP المصدر |
| التعرف عبر Cookie | لا | يبقى التعرف في جهة موقع Web مسألة منفصلة |
| إخفاء حالة تسجيل الدخول | لا | الأفعال أثناء تسجيل الدخول ترتبط بالحساب |
| حذف سجلات الوصول | لا | تخزين السجلات في جهة موقع Web منفصل عن HTTPS |
الفكرة القائلة إن "HTTPS يعني المجهولية" خاطئة.
HTTPS تقنية لجعل الاتصال أكثر أمانًا. ليست تقنية لإنشاء المجهولية.
منظورات لفهم HTTPS بدقة
لفهم HTTPS بدقة، يجب فصل من يحميه، وما الذي يحميه، وممن يحميه.
الهدف الرئيسي الذي يحمي HTTPS ضده هو الأطراف الثالثة على مسار الاتصال.
مثلًا، يساعد على منع طرف ثالث على Wi-Fi نفسها، أو أجهزة على مسار الاتصال، أو وسيط خبيث من التنصت على محتوى الاتصال أو العبث به أو التصرف كطرف مقابل مزيف.
في المقابل، موقع Web الوجهة هو الطرف النهائي للاتصال. لذلك يصل المحتوى الذي ترسله إلى جهة الموقع.
| الطرف | ما يسهل HTTPS منعه | ما لا يستطيع HTTPS منعه |
|---|---|---|
| طرف ثالث في الطريق | التنصت، العبث، انتحال الجهة | اختراق الجهاز نفسه |
| موقع Web الوجهة | التسرب أثناء الاتصال | تسجيل السجلات في جهة الموقع والتعرف عبر الحساب |
| مستخدمون على Wi-Fi نفسها | التنصت على محتوى الاتصال | لا يختفي استنتاج وجهات الوصول بالضرورة بالكامل |
| خادم مزيف | يسهل كشفه من دون شهادة صحيحة | الخطر إذا تجاهل المستخدم التحذيرات |
HTTPS آلية قوية جدًا، لكنها ليست شاملة.
مثلًا، إذا عرض المتصفح تحذير شهادة وتجاهله المستخدم وتابع، تنخفض السلامة التي يقدمها HTTPS كثيرًا. كذلك، إذا كان الجهاز نفسه مصابًا ببرمجية خبيثة، فقد يُسرق محتوى الإدخال في جهة الجهاز حتى أثناء استخدام HTTPS للاتصال.
يوفر HTTPS دفاعًا قويًا ضد التنصت والعبث وانتحال الجهة على الشبكة. لكن أمان الجهاز، وإدارة جهة الموقع، والتعامل مع الحسابات، وCookie، والسجلات، ومسائل مشابهة يجب التفكير فيها منفصلة.
خلاصة
HTTP هو الآلية الأساسية لتبادل البيانات على Web. لكن مع HTTP وحده، لا يكون محتوى الاتصال مشفرًا، وتوجد خطورة التنصت أو العبث أثناء الاتصال.
HTTPS آلية لتنفيذ اتصال HTTP داخل قناة اتصال آمنة.
الأدوار المهمة لـ HTTPS هي النقاط الثلاث الآتية.
- جعل محتوى الاتصال أصعب قراءة في الطريق
- جعل محتوى الاتصال أصعب عبثًا في الطريق
- تسهيل التأكد من أن الطرف الذي تتصل به هو الطرف المقصود
لذلك، HTTPS مهم جدًا لمواجهة هجمات الرجل في الوسط.
لكن HTTPS ليس تقنية إخفاء هوية. حتى عند استخدام HTTPS، تصل الطلبات إلى موقع Web الوجهة. كما تبقى عنوان IP المصدر وCookie وحالة تسجيل الدخول وسجلات الوصول ومعلومات مشابهة مسائل منفصلة.
HTTPS تقنية لجعل الاتصال أكثر أمانًا. وهو مهم خصوصًا لمنع التنصت والعبث وانتحال الجهة على مسار الاتصال.
لكنه ليس تقنية لإخفاء من وصل.
عند التفكير في المجهولية، يجب فصل النطاق الذي يحميه HTTPS عن النطاق الذي لا يحميه. HTTPS افتراض مهم، لكنه وحده لا ينشئ المجهولية.