Untitled-1_0009_locker-laptop-cyber-security-job-business-technology-internet-networking-concept

האם HTTPS מהווה הגנה לאתר?

HTTPS איננו הגנה. זהו מנגנון מבוסס טכנולוגיית SSL שתפקידו לעשות שני דברים בלבד :

1) לאפשר זיהוי הצד השני ואימות נכונותו (שמישהו לא מתחזה לאתר שרציתם להגיע אליו).
2) להצפין את המידע הנשלח ביניכם ובין השרת על מנת שגורם צד ג' לא יוכל להאזין למידע ולגנוב לכם למשל סיסמא.

יחד עם זאת המנגנון נועד להגן על הגולש ולא על השרת.
המנגנון איננו מהווה שום צורה של הגנה על השרת, איננו חוסם או מונע התקפות ואיננו קשור כהוא זה להגנה בפני פריצה. ברגע שהשרת חשוף לעולם, גם פורץ פשוט יוכל להתחבר באופן 'מאובטח' לשרת שלכם ולתקוף אותו בכיף והמנגנון הזה לא ימנע אותו.
אילו התקפות יש?

התקפות XSS, התקפות SQL INJECTION והתקפות שונות המנצלות פגמים שונים בקוד האתר שלכם, בתשתית שרת ה-Web עצמו או חולשות שונות של מערכת ההפעלה. אין תפקידו של פרוטוקול HTTPS להגן בפני אלו וכל מי שאומר לכם כי השרת שלכם מוגן HTTPS במקרה הטוב סתם אוויל ובמקרה הרע משקר לכם.

שמרו על עצמכם מוגנים.