HTTP ‌වෙබ්සයිට් Not Secure ලෙසින් පෙන්වන Google Chrome 68 වන Update එක

HTTP එහෙමත් නැතිනම් Hypertext Transfer Protocol කියන්නේ අපි දැනට අන්තර්ජාලය හරහා වෙබ්සයිට් එකක් නැරඹීමේදී අදාල server එක හා අපගේ devices එක, එහෙමත් නැතිනම් client device එක අතර පණිවුඩ හුවමාරුව සඳහා භාවිතා වෙන protocol එකක්.

මෙම protocol එකෙහි සැකැස්ම අනුව එය හරහා ගමන් කරන දත්ත අතරමැදියෙකුට (man-in-the-middle) පහසුවෙන් නිරීක්ෂණය කිරීමට හෝ වෙනස් කිරීමට අවස්ථාව ලැබෙනවා.

man-in-the-middle-mitm-tech-news-sinhala

මෙම දුර්වලතාවය මගහරවාගැනීම උදෙසා HTTPS කියන protocol එක හඳුන්වා දෙනු ලැබූ අතර මෙහිදී අපි server එක වෙත යවනු ලබන තොරතුරු හා server එක මගින් අපට එවන තොරතුරු server එකට හා අපට පමණක් තේරුම්ගතහැකි ලෙස encrypt කර පණිවුඩ හුවමාරු කරගැනීමට කටයුතු කරනවා. මුල් කාලයේදී විශේෂයෙන්ම බැංකු හා මුදල් කටයුතු පිළිබඳව වූ වෙබ්අඩවි වල මෙම තාක්ෂණය වැඩි වශයෙන් භාවිතා වූ අතර පසුකාලීනව සෑම වෙබ් අඩවියකටම පාහේ මෙය භාවිතා කරන්නට යෙදුණා.

මීට අවුරුදු දෙකකට පමණ පෙර Google සමාගම විසින් ඉහත සඳහන් කළ HTTP, එහෙමත් නැතිනම් non-SSL වෙබ් අඩවි හා HTTPS වෙබ් අඩවි වෙන් වෙන් වශයෙන් පෙන්වීමට කටයුතු කළ අතර ඔවුන්ගේ මතය වනුයේ අන්තර්ජාලය තුළ ඇති සියළුම වෙබ් අඩවි http වෙනුවට මෙම HTTPS මතින් පණිවුඩ හුවමාරු කළ යුතුය යන්නයි.

Treatment_of_HTTP_Pages-tech-news-sinhala

කොහොම වුණත් HTTPS භාවිතා නොකරන සියළුම වෙබ් අඩවි Not Secure ලෙස ලේබලයක් මගින් පෙන්වීමට කටයුතු කරන බව Google සමාගම මේ වර්ෂය මුලදී ප්‍රකාශයට පත් කරන ලද අතර Google Chrome 68 වන update එකෙන් පසුව දැන් HTTP වෙබ් අඩවි Not Secure ලෙස පෙන්වීමට ඔවුන් කටයුතු කර තිබෙනවා.

එමෙන්ම Chrome හි 70 වන update එක වන විට එනම් මෙම වර්ෂයේ ඔක්තෝම්බර් මාසය වන විට ඉහත කී label එක රතු වර්ණයෙන් වර්ණ ගැන්වීමටත් ඔවුන් කටයුතු කරන බව වැඩිදුරටත් ඔවුන් ප්‍රකාශ කරනවා.

Treatment_of_HTTP_Pages_with_User_Input

මේ මතයට විරුද්ධ වන පිරිසක් හා එකඟ වන පිරිසක් වශයෙන් web developers ලා කොට්ඨාශ දෙකක් මේ වන විට සිටින අතර මෙයට විරුද්ධ පිරිසගේ ප්‍රධාන තර්කය වන්නේ සෑම වෙබ් අඩවියකම මෙවැනි ආරක්ෂා කළ යුතු දත්ත නොමැති හෙයින් මෙය වැදගත් නොවන බවයි. නමුත් ඔබ MITM කියන වර්ගයේ attack එකක් කරන ආකාරය සොයා බැලුවහොත් මෙය කෙතරම් භයානක තත්ත්වයක් ද යන්න ඔබට තේරුම් ගැනීමට හැකියාව ලැබේවි.

උදාහරණයක් ලෙස සරළ උපක්‍රමයක් භාවිතා කරමින් තමන්ගේ WiFi network එක හරහා අන්තර්ජාලය භාවිතා කරන්නෙකු http://technews.lk වෙත පිවිසෙන්නට කටයුතු කළහොත් ඔහුට technews.lk වෙබ් අඩවිය පෙන්වන ගමන්ම ඔහුගේ browser data සොරා ගැනීමට හෝ keylogger එකක් ලෙස ලියන ලද තවත් script එකක් එයට inject කිරීමට අදාල attacker ට හැකියාව තිබෙනවා.

මෙම වර්ගයේ attack එකක් සාමාන්‍යය Android ජංගම දුරකථනයක සිට වුවත් එල්ල කළ හැකි අතර එය කෙතරම් භයානක තත්ත්වයක් දැයි දැන් ඔබට වැටහීමක් ලැබෙන්නට ඇති.

නමුත් ඔබ https භාවිතා කරනවා නම් අදාල attacker ට ඔබේ request එක තුළ අඩංගු වන්නේ මොනවාද යන්න දැනගැනීමට හැකියාව නොලැබෙන නිසා එවැනි තර්ජනයකට ලක් වන්නේ නැහැ.