SSL چیست؟

SSL یا Secure Socket Layer راه حلی جهت برقراری ارتباطات ایمن میان یک سرویس دهنده و یک سرویس گیرنده است که توسط شرکت Netscape ارایه شده است. در واقع SSL پروتکلی است که پایین تر از لایه کاربرد (لایه ۴ از مدل TCP/IP) و بالاتر از لایه انتقال (لایه سوم از مدل TCP/IP) قرار می گیرد. مزیت استفاده از این پروتکل، بهره گیری از موارد امنیتی تعبیه شده آن برای امن کردن پروتکل های غیرامن لایه کاربردی نظیر HTTP، LDAP، IMAP و... می باشد که براساس آن الگوریتم های رمزنگاری بر روی داده های خام (plain text) که قرار است از یک کانال ارتباطی غیرامن مثل اینترنت عبور کنند، اعمال می شود و محرمانه ماندن داده ها را در طول کانال انتقال تضمین می کند. 

به بیان دیگر شرکتی که صلاحیت صدور و اعطای گواهی های دیجیتال SSL را دارد برای هر کدام از دو طرفی که قرار است ارتباطات میان شبکه ای امن داشته باشند، گواهی های مخصوص سرویس دهنده و سرویس گیرنده را صادر می کند و با مکانیزم های احراز هویت خاص خود هویت هر کدام از طرفین را برای طرف مقابل تایید می کند، البته غیر از این کار می بایست تضمین کند که اگر اطلاعات حین انتقال مورد سرقت قرار گرفت، برای رباینده قابل درک و استفاده نباشد که این کار را با کمک الگوریتم های رمزنگاری و کلیدهای رمزنگاری نامتقارن و متقارن انجام می دهد. 

ملزومات یک ارتباط مبتنی بر پروتکل امنیتی SSL عبارتند از :

برای داشتن ارتباطات امن مبتنی بر SSL عموما به دو نوع گواهی دیجیتال SSL یکی برای سرویس دهنده و دیگری برای سرویس گیرنده و یک مرکز صدور و اعطای گواهینامه دیجیتال یا CA نیاز می باشد. وظیفه CA این است که هویت طرفین ارتباط، نشانی ها، حساب های بانکی و تاریخ انقضای گواهینامه را بداند و براساس آن ها هویت ها را تعیین نماید. 

 

 

 

 

مکانیزم های تشکیل دهنده SSL 

1)تایید هویت سرویس دهنده 

با استفاده از این ویژگی در SSL، یک کاربر از صحت هویت یک سرویس دهنده مطمئن می شود. نرم افزارهای مبتنی بر SSL سمت سرویس گیرنده، مثلا یک مرورگر وب نظیر Internet Explorer از تکنیک های استاندارد رمزنگاری مبتنی بر کلید عمومی و مقایسه با کلیدهای عمومی یک سرویس دهنده، (مثلا یک برنامه سرویس دهنده وب نظیر IIS می تواند از هویت او مطلع شود و پس از اطمینان کامل، کاربر می تواند نسبت به وارد نمودن اطلاعات خود مانند شماره کارت های اعتباری و یا گذرواژه ها ) اقدام نماید. 

2) تایید هویت سرویس گیرنده 

برعکس حالت قبلی در اینجا سرویس دهنده است که می بایست از صحت هویت سرویس گیرنده اطمینان یابد. طی این مکانیزم، نرم افزار مبتنی بر SSL سمت سرویس دهنده پس از مقایسه نام سرویس گیرنده با نام های مجاز موجود در لیست سرویس گیرنده های مجاز که در داخل سرویس دهنده تعریف می شود و در صورت وجود، اجازه استفاده از سرویس های مجاز را به او می دهد. 

3)ارتباطات رمز شده 

کلیه اطلاعات مبادله شده میان سرویس دهنده و گیرنده می بایست توسط نرم افزارهای موجود در سمت سرویس دهنده و سرویس گیرنده رمزنگاری (Encrypt) شده و در طرف مقابل رمزگشایی (Decrypt) شوند تا حداکثر محرمانگی (Confidentiality) در این گونه سیستم ها لحاظ شود. 

 

اجزای پروتکل SSL 

پروتکل SSL دارای دو زیرپروتکل تحت عناوین زیر می باشد: 

•  SSL Rocord Protocol که نوع قالب بندی داده های ارسالی را تعیین می کند. 
• SSL Handshake Protocol که براساس قالب تعیین شده در پروتکل قبلی، مقدمات ارسال داده ها میان سرویس دهنده ها و سرویس گیرنده های مبتنی بر SSL را تهیه می کند. 

بخش بندی پروتکل SSL به دو زیرپروتکل دارای مزایای چندی است از جمله: 

1.  در ابتدای کار و طی مراحل اولیه ارتباط (Handshake) هویت سرویس دهنده برای سرویس گیرنده مشخص می گردد. 
2. در همان ابتدای شروع مبادلات، سرویس دهنده و گیرنده بر سر نوع الگوریتم رمزنگاری تبادلی توافق می کنند. 
3. در صورت لزوم، هویت سرویس گیرنده نیز برای سرویس دهنده احراز می گردد. 
4. در صورت استفاده از تکنیک های رمزنگاری مبتنی بر کلید عمومی، می توانند کلیدهای اشتراکی مخفی را ایجاد نمایند. 
5.  ارتباطات بر مبنای SSL رمزنگاری می شود. 

 

الگوریتم های رمزنگاری پشتیبانی شده در SSL 

در استاندارد SSL، از اغلب الگوریتم های عمومی رمزنگاری و مبادلات کلید (Key Exchcenge Algorithm) نظیرRSA, RC۴, RC۲,MD۵, KEA, DSA, DES و RSA Key Exchauge، SHA-۱،Skipjack و DES۳ پشتیبانی می شود و بسته به این که نرم افزارهای سمت سرویس دهنده و سرویس دهنده نیز از موارد مذکور پشتیبانی نمایند، ارتباطات SSL می تواند براساس هر کدام از این الگوریتم ها صورت پذیرد. البته بسته به طول کلید مورد استفاده در الگوریتم و قدرت ذاتی الگوریتم می توان آن ها را در رده های مختلفی قرار داد که توصیه می شود با توجه به سناریوهای موردنظر، از الگوریتم های قوی تر نظیر DES۳ با طول کلید ۱۶۸ بیت برای رمزنگاری داده ها و همچنین الگوریتم SHA-۱ برای مکانیزم های تایید پیغام MD۵ استفاده شود و یا این که اگر امنیت در این حد مورد نیاز نبود، می توان در مواردی خاص از الگوریتم رمزنگاری RC۴ با طول کلید ۴۰ بیت و الگوریتم تایید پیغام MD۵ استفاده نمود. 

 

نحوه عملکرد داخلی پروتکل SSL 

همان طور که می دانید SSL می تواند از ترکیب رمزنگاری متقارن و نامتقارن استفاده کند. رمزنگاری کلید متقارن سریع تر از رمزنگاری کلید عمومی است و از طرف دیگر رمزنگاری کلید عمومی تکنیک های احراز هویت قوی تری را ارایه می کند. یک جلسه SSL (SSL Session) با یک تبادل پیغام ساده تحت عنوان SSL Handshake شروع می شود.

این پیغام اولیه به سرویس دهنده این امکان را می دهد تا خودش را به سرویس دهنده دارای کلید عمومی معرفی نماید و سپس به سرویس گیرنده و سرویس دهنده این اجازه را می دهد که یک کلید متقارن را ایجاد نمایند که برای رمزنگاری ها و رمزگشایی سریع تر در جریان ادامه مبادلات مورد استفاده قرار می گیرد.

گام هایی که قبل از برگزاری این جلسه انجام می شوند براساس الگوریتم RSA Key Exchange عبارتند از: 

گام اول:

سرویس گیرنده، نسخه SSL مورد استفاده خود، تنظیمات اولیه درباره نحوه رمزگذاری و یک داده تصادفی را برای شروع درخواست یک ارتباط امن مبتنی بر SSL به سمت سرویس دهنده ارسال می کند. 

گام دوم:

سرویس دهنده نیز در پاسخ نسخه SSL مورد استفاده خود، تنظیمات رمزگذاری و داده تصادفی تولید شده توسط خود را به سرویس گیرنده می فرستد و همچنین سرویس دهنده گواهینامه خود را نیز برای سرویس گیرنده ارسال می کند و اگر سرویس گیرنده از سرویس دهنده، درخواستی داشت که نیازمند احراز هویت سرویس گیرنده بود، آن را نیز از سرویس گیرنده درخواست می کند. 

گام سوم:

سپس سرویس گیرنده با استفاده از اطلاعاتی که از سرویس دهنده مجاز در خود دارد، داده ها را بررسی می کند و اگر سرویس دهنده مذکور تایید هویت شد، وارد مرحله بعدی می شود و در غیر این صورت با پیغام هشداری به کاربر، ادامه عملیات قطع می گردد. 

گام چهارم:

سرویس گیرنده یک مقدار به نام Secret Premaster را برای شروع جلسه ایجاد می کند و آن را با استفاده از کلید عمومی (که اطلاعات آن معمولا در سرویس دهنده موجود است) رمزنگاری می کند و این مقدار رمز شده را به سرویس دهنده ارسال می کند. 

گام پنجم:

 اگر سرویس دهنده به گواهینامه سرویس گیرنده نیاز داشت می بایست در این گام برای سرویس دهنده ارسال شود و اگر سرویس گیرنده نتواند هویت خود را به سرویس دهنده اثبات کند، ارتباط در همین جا قطع می شود. 

گام ششم:

به محض این که هویت سرویس گیرنده برای سرویس دهنده احراز شد، سرویس دهنده با استفاده از کلید اختصاصی خودش مقدار Premaster Secret را رمزگشایی می کند و سپس اقدام به تهیه مقداری به نام Master Secret می نماید. 

گام هفتم:

هم سرویس دهنده و هم سرویس گیرنده با استفاده از مقدار Master Secret کلید جلسه (Session Key) را تولید می کنند که در واقع کلید متقارن مورد استفاده در عمل رمزنگاری و رمزگشایی داده ها حین انتقال اطلاعات است و در این مرحله به نوعی جامعیت داده ها بررسی می شود. 

گام هشتم:

سرویس گیرنده پیغامی را به سرویس دهنده می فرستد تا به او اطلاع دهد، داده بعدی که توسط سرویس گیرنده ارسال می شود به وسیله کلید جلسه رمزنگاری خواهد شد و در ادامه، پیغام رمز شده نیز ارسال می شود تا سرویس دهنده از پایان یافتن Handshake سمت سرویس گیرنده مطلع شود. 

 گام نهم:

سرویس دهنده پیغامی را به سرویس گیرنده ارسال می کند تا او را از پایان Handshake سمت سرویس دهنده آگاه نماید و همچنین این که داده بعدی که ارسال خواهد شد توسط کلید جلسه رمز می شود. 

گام دهم:

در این مرحله SSL Handshake تمام می شود و از این به بعد جلسه SSL شروع می شود و هر دو عضو سرویس دهنده و گیرنده شروع به رمزنگاری و رمزگشایی و ارسال داده ها می کنند.

 

 

 

 

طراحی سایت وپروتکل

وب سایت با يك مجموعه مشخصات و پروتكل مخصوص تعريف شده است. توليد كننده هاى نرم افزار از اين مشخصات براى ساخت و اجراى مرورگرهاى web و برنامه هاى رايانه سرويس دهنده يا server در شبكه هاى وب استفاده مى كنند. تاثير متقابل بين مرورگرهاى وب و رايانه هاى سرويس دهنده شبكه هاى وب توسط HTTP تعريف شده است. مرورگرهاى وب پيغام ها را با استفاده از اين پروتكل به رايانه سرويس دهنده شبكه هاى وب ارسال مى كنند .
اين به معناى درخواست اطلاعات است. قراردادهاى آدرس دهى قديمى اينترنت، براى تعيين رايانه هاى متصل شده به شبكه خاصى است. نام رايانه هاى داراى IP مستقل متصل به اينترنت و آدرس ها هر دو استفاده مى شوند. ليكن اين روش كار را مشكل مى سازد، به نحوى كه نياز بود كاربران اينترنت از طريق كشوها و پرونده هاى سيستم هاى عامل، كار جست وجو را دنبال كنند. پروتكل URL محل منابع (پرونده ها، مستندات يا حتى بخشى از يك سند) را در گستره وب تعيين كرده و به آن دسترسى پيدا مى كند. مرورگرهاى وب با استفاده از URL در HTTP تقاضاهايى را به رايانه هاى سرويس دهنده شبكه هاى دوردست ارسال مى كنند. آنها تقاضاى اطلاعات را دقيقاً با شبكه اى كه منابع در آن وجود دارد ارسال مى نمايند. اطلاعات منتقل شده از مراكز شبكه ها به مرورگرهاى وب وارد شده و به همان شيوه اى كه در شبكه مبدا وجود دارند، نمايش داده مى شوند. اجزاى مختلف صفحات وب براى كارهاى مختلف با استفاده از HTM2 ساخته مى شوند. مهمترين كار اين قطعات، ارتباط متن يا تصوير با ساير بخش هاى همان صفحه، صفحات ديگر يا منابع ديگر است. اين ارتباط ممكن است با منابع روى شبكه هاى ديگر متصل به اينترنت باشد .

تمام اطلاعاتى كه كاربران اينترنت جست وجو مى كنند در فرمت HTML نيست، بلكه بانك هاى اطلاعاتى بزرگ، از ديگر منابع مهمى هستند كه در اينترنت قابل دسترس هستند. خصوصاً زمانى بهتر عمل مى شود كه اين منابع با فرمت اصلى باشند . CGI مكانيزمى براى نمايش و كار با اطلاعاتى است كه با فرمت هاى غير از وب هستند. با اين شيوه، منابع مهم با فرمت بانك هاى اطلاعاتى را از طريق وب مى توان در اختيار ديگران قرار داد. البته جمع آورى اطلاعات از اين نوع منابع با هدف مبادلات تجارى از طريق وب كاملاً حساس و فنى است. تنها طراحی فرم ها براى جمع آورى اطلاعات از طريق وب كافى نيست .

بلكه مكانيسم هاى خارج از رايانه سرويس دهنده شبكه (Server) نياز است تا آن اطلاعات را پردازش كند . CGI يك ارتباط بين Webserver و بقيه فرآيند تجارى برقرار مى كند. در پايان، پروتكل هاى حفاظت و ايمنى مناسب در وب شامل SSL و S-HTTP است. لازم به توضيح است كه اين پروتكل ها، ايمنى و حفاظت لازم را روى پروتكل هاى موجود بين مرورگرهاى وب و رايانه هاى سرويس دهنده وب كه آنها را پشتيبانى مى كنند ايجاد مى كنند .

با توجه به سادگى كار و ظاهر كاملاً گرافيكى، وب محيطى بسيار مناسب براى تجارت است. مهمترين مانع تجارى كردن اينترنت، حمايت سازمان هاى دولتى براى اهداف فقط تحقيقاتى تا سال ۱۹۹۰ بود. پس از آن كمك هاى مالى دولت قطع شد و ديگر تجديد نشد. موانع ديگر از قبيل صنعت نفوذ بازار و نبود مكانيسم هاى لازم براى ايمنى و حفاظت به سرعت كمرنگ شدند و مشتريان و بازرگانان به اينترنت هجوم آوردند و صاحبان تكنولوژى و علوم رايانه و ارتباطات تمام تلاش خود را در رفع مشكلات حفاظت و ايمنى در اينترنت صرف كردند. مشترى به سادگى وارد سايت وب متعلق به شركت ها مى شود و اطلاعات آن شركت و محصولات آن را مطالعه مى كند. اگر فروشنده موفقى باشد با نفوذ در تصميم گيرى مشترى و جلب اعتماد وى، يك سفارش كالا مى سازد. به اين ترتيب، مشترى فرم سفارش خريد را تكميل مى كند. شيوه اى كه فروشنده اطلاعات را عرضه مى كند، چه در شبكه و چه در خارج از شبكه، سطح اعتماد مشترى را تعيين مى كند. محتويات صفحه وب، شامل محصولات و توضيحات و قيمت و نحوه توزيع، مشترى را در تصميم گيرى كمك مى كند .

بقيه كارها بر عهده وب است. اما ممكن است به سازوكارهاى ديگرى هم نياز باشد. براى مثال، خريد كالايى الكترونيكى مانند مقاله علمى، تماماً مى تواند با وب انجام گيرد. خريدار مقاله موردنظر را انتخاب و شماره كارت اعتبارى خود را وارد مى كند و خدمات رسان وب آن را به رايانه شخص تقاضادهنده منتقل مى كند. براى تجارت در سطح وب به نكاتى بيش از ايمنى انتقال نياز است. به مكانيسم هاى پردازش كامل فروش نياز است. اين مكانيسم ها شامل جمع آورى اطلاعات فروش از طريق وب، انتقال اطلاعات به سيستم هاى مناسب در سازمان فروشنده يا خارج از سازمان (به شركت هايى كه خدمات تاييد كارت اعتبارى را برعهده دارند) هستند.در سند مقدمه CERN يك ارتباط فرامتنى وجود دارد كه شما را به منابع دسته بندى شده از روى نوع برنامه كاربردى (يعنى www, WAIS, FTP, gopher) هدايت مى كند با پرش به اين سياهه، برنامه مرورگر، سندى را به ميان مى آورد كه دروازه اى به سوى برنامه هاى ديگر اينترنت است. از اين صفحه وب مى توانيد به برنامه ها يا منابع اطلاعاتى متعددى برويد برخى از اين خدمات (telnet, gopher, ftp, archie) هستند علاوه بر اين، نگارش فوق متنى سياهه خدمات اينترنت را نيز خواهيد يافت كه ارتباط شما را به منابع متعددى هدايت مى كند .

• وب جهانى چگونه كار مى كند (نحوه كار وب )
براى اين كه دريابيد وب چگونه كار مى كند ابتدا بايد آن را از اينترنت بزرگ متمايز كنيد. اينترنت شامل سخت افزار، مانند سيم ها، كابل ها، و همچنين انواع مختلفى از پروتكل ها و نرم افزارهاست. اينترنت به عنوان ساختار پشتيبانى كننده وب، و همچنين Telnet, FTP و Usenet عمل مى كند .
خصوصيت فراپيوند (Hyperlink) ، وب را از ساير بخش هاى اينترنت متمايز مى كند. فراپيوندها، كه در اسناد HTML قرار دارند، به كاربران امكان مى دهند كه به فوريت و به سادگى به متن، گرافيك، و داده هاى ديگر روى وب دسترسى پيدا كنند. كافى است روى يك فراپيوند ضربه اى بزنيد، برنامه مرورگر شما اطلاعات مربوط به آن را كه در يك خدمت دهنده وب مستقر در يكى از گوشه هاى جهان است بازيابى مى كند. در زير مراحل سرزدن به يك پايگاه وب شرح داده شده است.

۱- يك URL (نشانى وب) در ميدان نشانى برنامه مرورگر خود تايپ مى كنيد و كليد Enter در صفحه كليد را مى زنيد، برنامه مرورگر به ISP محلى (Local ISP) شما مى رود و از طريق شبكه ارتباطى، يك ارتباط با يك خدمت دهنده Domain Name System) DNS) برقرار مى كند .
۲ - خدمت دهنده DNS نشانى وب را به «نشانى IP» عددى ترجمه مى كند و آن اطلاعات را به برنامه مرورگر تحويل مى دهد.

۳ - برنامه مرورگر «نشانى IP» درست را مى يابد و با خدمات دهنده پايگاه وب آن نشانى ارتباط برقرار مى كند.

۴- حال كه برنامه مرورگر «نشانى IP» درست را دارد به ISP بازمى گردد و از طريق آن و مسيرياب ها و فراهم كننده هاى ديگر مقصد نهايى را مى يابد.

۵ - وقتى اتصال با خدمت دهنده وب مقصد برقرار شد برنامه مرورگر شما يك فرمان GET براى دريافت اطلاعات موردنظر ارسال مى كند.

۶ - خدمات دهنده وبوب، اطلاعات درخواستى را پيدا مى كند و به صورت يك صفحه وب با (اطلاعات درخواستى ديگر) به طرف شما مى فرستد .
اگر خدمات دهنده هاى ريشه به نشانى IP پاسخ بدهد، برنامه مرورگر مى تواند آن خدمات دهنده خاص را پيدا كند. اگر يك نشانى IP حاوى بيش از يك نوع خدمات دهنده باشد برنامه مرورگر شما از خدمات دهنده اصلى اينترنت يا شبكه آن شركت رهنمودهايى براى كامپيوتر ميزبان وب مى پرسد كه معمولاً كامپيوترى است كه نرم افزار خدمات دهنده وب را اجرا مى كند. در اغلب اوقات، برنامه مرورگر شما مجبور است اين مسير پيچيده را براى هر يك از صفحات وب طى كند. اما در شبكه ها، مدير شبكه مى تواند يك خدمات دهنده شبكه را طورى برپا كند كه اگر كسى به صفحه اى سرزد بعدها بتواند آن را از حافظه تحويل بگيرد .

• مسير خدمات وب
با آن كه بسيارى از پايگاه هاى وب براى شما امكان دسترسى به يك خدمات دهنده وب را فراهم مى سازد، ترافيك شديد روى وب مى تواند در مواردى جلوى اين امكان را بگيرد. به عنوان مثال خدمات دهنده وبى كه يك پايگاه بزرگ و پرطرفدار را پشتيبانى مى كند تحت صدها يا حتى هزاران درخواستى كه به يك باره مى رسند به سادگى مى تواند ضربه بخورد. بعضى از مديران پايگاه براى كاستن از بار اضافى بر روى خدمات دهنده و كنترل جريان ترافيك وب از پراكسى هاى (Proxy) وب و پايگاه هاى آينه اى (Mirrorsite) بهره مى گيرند .

• الف - پراكسى وب
پراكسى را دروازه يا gateway نيز مى نامند. پراكسى ها «پليس هاى راهنمايى» وب هستند و مى توانند كمى از باريك خدمات دهنده پركار را بردارند. خدمات دهنده وب اصلى يك شركت مسير درخواست ها را به يك خدمات دهنده پراكسى وب HTTP سوق مى دهد، كه از آنجا درخواست ها به خدمات دهنده وب واقعى ارسال مى شود .

• ب - پايگاه هاى آينه اى
اين روش نيز مى تواند از ترافيك وب بر روى يك خدمات دهنده بكاهد. اين نسخه هاى دقيق پايگاه وب اصلى بر روى خدمات دهنده هاى وب ديگر در مكان هاى مختلف قرار دارد. كاربران فقط روى يك فراپيوند بر روى يك صفحه وب تقه مى زنند تا به پايگاه آينه دسترسى پيدا كنند. پايگاه هاى آينه، كه براى كاستن از تعداد درخواست هاى برنامه هاى مرورگر كه به مسيرياب (Router يا يك وسيله سخت افزارى كه يك ساختمان را به اينترنت با شبكه هاى ديگر وصل مى كند) يك شركت مى رسد طراحی مى شوند مى تواند حتى با پراكسى ها نيز به كار بروند .
با اين حال، هدايت به يك پايگاه آينه موثرترين روش براى كاستن از ترافيك سنگين وب نيست. در مقابل، بسيارى از پايگاه هاى بزرگ مانند ياهو، اكسايت، و ميكروسافت از سيستم هاى تحويل ظرفيت بهره مى گيرند كه وقتى كاربران را به پايگاه آينه هدايت مى كنند كه پايگاه وب اصلى بسيار مشغول باشد. علت اين كه گاهى مى بينيد كه نشانى وبى كه در ميدان نشانى برنامه مرورگر تايپ كرده ايد فرق كرده است همين است. اين تغيير نشانى دلالت بر اين دارد كه شبكه مسير را به يك پايگاه ديگر هدايت كرده است. اين روش را «تعادل سازى بار » (Load Balancing) مى نامند. به عنوان مثال، مديران پايگاه وب ممكن است كاربران را به طرف چندين خدمات دهنده وب كه در نقاط مختلف جهان پراكنده اند هدايت كنند تا از بار ترافيكى روى كل يك شبكه بكاهند .

• پروتكل هاى اصلى
چه پايگاه ها از پراكسى بهره بگيرند چه از پايگاه آينه اى، HTTP ، كه بالاى IP به اجرا درمى آيد، ترافيك ورودى و خروجى خدمات دهنده هاى وب را هدايت مى كند. با اين حال، پروتكل هاى ديگرى نيز بر روى وب كار مى كنند تا به كاربران امكان بدهند كه از ويديوى جريانى (Streaming) صدا، و ساير فايل هاى غير HTTP بر روى وب استفاده كنند. وب روى IP اداره مى شود . IP پروتكلى است كه اينترنت را اداره مى كند. با وجود اين، وب امروزى شامل ويديوى جريانى، صدا، و ساير اطلاعات چند رسانه اى نيز هست .
بنابراين، چندرسانه اى و ساير انواع داده ها بايد با پروتكل HTTP سازگار باشند. صدا، ويديو و ساير داده هاى غير HTTP معمولاً روى خدمات دهنده اى قرار مى گيرند كه از فايل صفحه وب جداست، هرچند لازم نيست كه حتماً خدمات دهنده وب باشند. براى رسيدن به اين فايل هاى چندرسانه اى در شبكه، خدمات دهنده حاوى اين داده ها بايد بتوانند با يك خدمات دهنده وب صحبت كند. وقتى روى يك رابط HTML به يك ويديو تقه مى زنيد، برنامه مرورگر وب شما با خدمات دهنده حاوى آن ويديو به جاى HTTP با استفاده از يك پروتكل ويژه چندرسانه اى ارتباط برقرار مى كند. سپس برنامه مرورگر و خدمات دهنده با يكديگر «همكارى» مى كنند تا ويديوى جريانى را بفرستند و پخش كنند.

پروتكل هاى متعددى با محتويات وب غيرمتنى كار مى كنند تا چندرسانه اى پخش شود. به عنوان مثال، وقتى آخرين نسخه ويندوز يا Internet Explorer را از وب دريافت مى كنيد، برنامه مرورگر شما از پروتكل HTTP استفاده نمى كند بلكه داده ها را با FTP انتقال مى دهد . FTP در انتقال فايل بسيار كارآمدتر از HTTP است، چون FTP مخصوصاً براى انتقال داده ها در اينترنت طراحیشده است. هرچند دريافت يك برنامه مرورگر از وب طول مى كشد اما اگر از طريق پروتكل HTTP انجام بگيرد مدت دريافت بسيار طولانى تر مى شود .HTTP اين امكان را دارد كه با فايل هاى HTP و پروتكل هاى چندرسانه اى كار كند و همچنين از افزودنى هاى (plug-in) مختلفى مانند Macromedia Flash Player و Acrobat Reader Adobe بهره بگيرد . HTTP طورى طراحی شده است كه وقتى با انواع مختلفى از داده ها در داخل كد HTTP براى صفحه وب برخورد كند آن فايل را به برنامه ديگرى تحويل مى دهد كه مى داند با آن چه كار كند .بهترين راه براى نحوه كار اين پروتكل ها آن است كه لايه هايى را روى لايه هاى ديگر تصور كنيد. در هر جلسه اينترنت خود ممكن است روى پنج يا حتى شش لايه از پروتكل ها كار كنيد. بسيارى از اين پروتكل هاى غير HTTP اصلاً براى استفاده بر روى وب طراحی شده اند. از همين روى، آنها را پروتكل هاى وب مى ناميم، اما آنها در واقع ربطى به HTTP ندارند. آنها از پروتكل هاى مستقل تكامل يافته اند تا چندرسانه اى را براى صفحات وب فراهم كنند .

 

گوگل به وب سایت هایی که از پروتکل HTTPS استفاده می کنند جایگاه بهتری می دهد 

 

 

یکی از مهم‌ترین اولویت های گوگل امنیت کاربران خود بوده است. این شرکت تاکنون هزینه بسیاری را صرف تولید سرویس‌های بسیاری در همین حوزه کرده که از جمله مهم‌ترین آن می‌توان به برقراری پیش‌فرض پروتکل HTTPS برای تمامی سرویس‌های مهم گوگل اعم از جستجوی گوگل، جی‌میل، گوگل درایو و… اشاره کرد؛ سرویسی که هر چند گه‌گاه در همین ایران نیز مشکلاتی را برای کاربران ایجاد کرده، اما هیچ کاربری منکر امنیت سیستم‌های مجهز به این پروتکل نیست.
اما گوگل در جدیدترین گام خود برای تأمین امنیت بیشتر کاربران، تستی را در چند ماه اخیر راه‌اندازی کرده که در پی آن وب‌سایت های دارای پروتکل HTTPS از لحاظ رنک جایگاه برتری نسبت به وب‌سایت های محروم از این پروتکل خواهند داشت.
این ویژگی البته فعلا در سطح پایینی آغاز شده و تنها حدود 1 درصد از میزان کل جستجوی گوگل را تشکیل می‌دهد. این ویژگی همچنین نسبت به تأثیر «محتویات با کیفیت بالا» در رنکینگ وب‌سایت ها از ارزش کمتری بهره‌مند خواهد بود.
گوگل در ادامه اطلاعیه خود آورده که «ممکن است» با گذشت زمان تصمیم به تقویت این ویژگی در میان وب‌سایت ها بگیرد و به همین دلیل زمانی نیز برای صاحبان وب‌سایت ها فراهم آمده تا به HTTPS نقل‌مکان کنند.
در اطلاعیه گوگل همچنین مواردی به منظور انتقال بهتر و مدنظر گوگل به HTTPS قرار داده است که می‌توانید از این لینک آن‌ها را مشاهده کنید.

 

طراحی پورتال و پروتکل CAS برای یکپارچه سازی احراز هویت 

همان گونه که می‌دانید در تمام زیر سیستم و سرویس های درون سازمانی برای استفاده از خدمات اختصاصی باید به طریقی هویت خود را آشکار سازید. پروژه های فعلی طراحی پورتال بر مبنای کلمه رمز و نام کاربری این امکان را به سرویس دهنده ها می‌دهند که خدمات خود را برای افراد اختصاصی کنند.

بدیهی است با افزایش تعداد زیر سیستم ها و با فرض وجود یک پورتال به عنوان سیستم واسط جهت دسترسی به کاربردهای درون سازمانی 2 حالت پیش می‌آید:
افراد از اسم کاربری و اسم رمز یکسان برای تمام سرویس ها استفاده می‌کنند.
افراد مجبورند که به ازای هر سرویسی شناسه کاربری و کلمه عبور مجزا انتخاب کرده و به خاطر بسپارند.
 در حالت اول، در صورتی که پیاده‌سازی مناسبی برای سیستم امنیتی یک زیر سیستم به کار نرفته باشد، با مطلع شدن نفوذگران از شناسه کاربری و رمز عبور در یک زیر سیستم امنیت کاربر در تمام زیر سیستمهایی که حق دسترسی داشته، به خطر خواهد افتاد. به همین دلیل اغلب کارشناسان امنیتی توصیه می‌کنند که از اسامی رمز متفاوت برای سرویس دهنده های متفاوت استفاده کنید. 
در حالت دوم:‌ با استفاده از این حالت کاربر مجبور است که اسامی رمز متفاوتی را به ذهن بسپارد که برای اغلب کاربران امر دشواری است.
راهکار پیشنهادی
سرویس احراز هویت مرکزی با استفاده از یک روش ساده و در عین حال کارآمد این مشکل را در فرآیند طراحی پورتال حل می‌کند. CAS این توانایی را دارد که مشکلات یکپارچه سازی در فرآبند تصدیق هویت را با استفاده از متمرکز کردن این لایه در تمام سرویس ها از لایه تعیین و کنترل حقوق دسترسی کاربران تفکیک کند. لایه احراز هویت، بخشی است که در تمام سرویس ها مورد نیاز بوده و هر سرویس و محصولی پیاده سازی خاصی از آن داراست. چنانچه قادر باشیم یک پیاده‌سازی امن برای احراز هویت ارایه کنیم و این احراز هویت مبتنی بر وب باشد کافی است که سرویس یا درگاهی را بعنوان مرجع انتخاب کرده و کلیه درخواست های تصدیق هویت سرویس های درون سازمانی و پورتال را به این مرکز ارجاع داده و نتیجه احراز هویت را از این مرکز دریافت نمائیم. این به زبان ساده شمای کلی کاری که CAS انجام می‌دهد را بیان می‌کند. از قابلیتهای اصلی این سرویس ایجاد یك تونل امنیتی میان كامپیوتر كاربر و سرور مركزی است كه باعث می شود اطلاعات محرمانه كاربران سایت تحت پروتكلهای امنیتی SSL جابجا شوند. در واقع، با پیاده سازی این لایه امنیتی ، می توان از تسهیلات بوجود آمده در پیاده سازی فرآیند Single Sign On بهره برداری نمود.
پروتکل CAS ، از 3 واحد کاری تشکیل شده است : مرورگر کاربر ، مرجع ارتباط دهنده درخواست های تصدیق هویت به سرویس احراز هویت و نهایتا سرویس دهنده CAS. که پورتال نقش دوم را ایفا می کند. به محض درخواست کاربر برای دسترسی به سرویس های درون سازمانی ، درخواست های تصدیق هویت از سرویس های مربوطه به پورتال ارسال می شود که در ادامه با استعلام واحد سرویس گیرنده CAS از سرویس دهنده هویت کاربر تعیین و تائید و یا رد می گردد. سرویس دهنده CAS می تواند برای پروسه تصدیق هویت از منابع اطلاعاتی گسترده ای همچون بانک های اطلاعاتی رابطه ای یا سرویس دهنده دایرکتوری (LDAP ) و... بهره برداری نماید.
تصویر زیر شمای فرآیند توصیف شده را نمایش می دهد: