SSL היא שיטה להצפנת נתונים באתרי אינטרנט רבים בעיקר להעברת כספים ומספרי כרטיס אשראי.
ה-SSL מספק הגנה חלקית מתוך כל המסגרת והוא לא מגן על הכותרת,אלא רק על הDATA שזה מספרי כרטיסי האשראי,סיסמאות
ומידע חשוב אחר,מה שמשאיר פתח להאקרים לפענח את הכתובות הפיסיות של המקור והיעד,כתובות לוגיות מקור ויעד,פורטים של
מקור ויעד.
בנוסף אין הצפנה של בקרה מספור המסגרת וה TTL.לא כל יישום של WEB מסוגל לתמוך בSSL שירותי הWEB פועלים בפורט 80
ואילו האבטחה של הSSL פועלת בפורט 443.
החסרון הגדול בSSL הוא שחוסר ההגנה על הכותרת מאפשר להאקרים לאחזר את נתוני המסגרת ולפגוע בהם.
האקר יכול לבצע SPOOFING =התחזות למישהו אחר על ידי שינוי של כתובת המקור,אבל בגישה של המשתמש לבין אתר האינטרנט
עדיין משתמשים בSSL.
שיטת הצפנה אחרת ויותר יעלה היא שיטת ה IPSEC שעוטפת את כל הנתונים במסגרת כולל הכותרת,המידע(DATA),והבקרה כפי שצינתי מספור המסגרת והTTL.
הIPSEC פועלת בשכבות הנמוכות(מודל שבע השכבות),לכן ניתן להשתמש בה בכל יישום,כאן ההאקר נתקל בקשיים באיחזור המידע
ובנסיון להתחזות לעמדה השולחת(המקור),עובדה שתשפיע על קבלת ההחלטות של ההאקר ותגרום לו לסגת ולחפש טרף יותר קל.
נהוג להשתמש בטכנולוגיית הIPSEC בין שרתים שמוכרים וידועים אחד לשני.
נושא חשוב שיש לתת עליו את הדעת הוא סוגי ההצפנות,ניתן להצפין מידע בשתי דרכים הצפנה סימטרית והצפנה אסימטרית.
ההצפנה הסימטרית היא נועדה גם להצפנה וגם לפענוח,שיטה זו לא מומלצת כי ניתן לפענח את המידע על ידי כח עיבוד סביר.
בהצפנה האסימטרית משתמשים במפתח אחד להצפנה,ומפתח אחר לפענוח בין שניהם קיים קשר מתמטי שקשה מאוד לפענח,בנוסף
המידע עובר עירבול (HASHING)מה שמקשה עוד יותר את פענוח המידע שזורם בעורק הנתונים.
אורן כהן בונה אתרים ויזם
