Hvad er en HTTPS-debugger?
En fejlsøgning (HTTPS) fejlsøgning af en hypertekstprotokol er et softwareprogram, der er designet til at scanne og analysere det HTML-sprog (hypertext markup), hvorpå websteder er bygget. Den finder fejl i koden, der ville gøre den sårbar overfor angreb. HTTPS er en særlig underafdeling af hypertextoverførselsprotokol generelt, der inkluderer kryptering af dataoverførsler frem og tilbage mellem websteder og brugere, samt godkendelse af websteder og netværksserverplaceringer for at undgå svigagtig aktivitet som phishing. Phishing er en praksis, hvor falske kopier af legitime websteder forsøger at hente personlige oplysninger og økonomiske data fra besøgende, og en HTTPS-debugger er designet til at forhindre dette ved at sikre sig, at et websted overholder sikkerhedsstandarder.
HTTPS-protokollen indeholder det, der kaldes sikkert sockets-lag (SSL) for “S” i udtrykket. Et websted, der bruger SSL, krypterer alle de data, der sendes frem og tilbage fra det, så de ikke kan blive opfanget og forstået af nogen undervejs undtagen for den tilsigtede modtager. Brugeren, der interagerer med webstedet, har et indbygget dekrypteringsnøgelprogram til at vende tilbage til normal læsbarhed. Brug af et HTTPS-fejlsøgningsværktøj giver en webstedsdesigner mulighed for at se, hvordan alle disse krypterede data ser ud, når de overføres frem og tilbage til webstedet, samt den normalt skjulte filhoved-, cookie- og hukommelsescacheinformation, der er knyttet til filer og al internettrafik.
Både gratis og kommerciel version af HTTPS validator software findes online. Et vigtigt aspekt af enhver HTTPS-debugger er, at den også skal tage hensyn til, hvad der gøres på serversiden af internettrafikken. Kodningsskemaer til websteder, der bruger aktive serversider (ASP) eller en hypertekstforarbejdning (PHP) er design, hvor aktivitet initieres af en webstedsbesøgende, men faktisk køres gennem programmer placeret på serveren. En PHP-debugger analyserer derfor, hvad der er kendt som caching på serversiden, hvor HTML- og browseroplysninger gemmes i serverhukommelsen, som også kan have sine egne sikkerhedsproblemer.
Et af de vigtigste underliggende principper for en HTTPS-debugger er, at den ser på valideringen af serversidecertifikater. Et serversidesertifikat gemmes på en server på et websted, der er kendt og betroet. Når en brugers browser dirigeres til dette websted, undersøger HTTPS-koden certifikatet for at sikre, at det er gyldigt. Hvis det ikke genkendes, kan webstedet faktisk være svigagtig, og HTTPS-debugger er designet til at sikre, at denne webstedsfunktionalitet fungerer korrekt, og at brugeren får besked, når et certifikat ikke matcher forventede parametre. En begrænsning af denne sikkerhed er, at digitale certifikater skal købes fra en certificeringsmyndighed (CA), og websteder for små virksomheder ofte ikke gider at få dem eller lade dem, de har udløbe.
Mangfoldigheden af scriptsprog, der bruges til interaktiv webdesign, fra cascaderende stilark (CSS) til javascript og extensible markup sprog (XML), har givet anledning til oprettelse af flere typer kodebuggere. Selvom nogle HTTPS-redigeringsprogrammer kan analysere en række scripting-sprog, kan en javascript-debugger, XML-debugger eller CSS-debugger muligvis være nødvendig for at få et mere præcist resultat af, hvad der er galt med webstedets kode. Intet debugging-program er nogensinde tilstrækkeligt til at finde alle fejl, for at sikre et websted fuldstændigt mod angreb eller for at beskytte brugere, der besøger det. Idet hackere og kriminelle konstant finder måder omkring sikkerhedsforanstaltninger, skal HTTPS-debuggeren forbedres for at indføre passende foranstaltninger for at forhindre indtrængen i legitim online aktivitet.