Hva er en HTTPS feilsøking?
En hypertekst-overføringsprotokoll sikker (HTTPS) debugger er et program som er designet for å skanne og analysere HTML-språket (hypertext markup) som nettsteder er bygd på. Den finner feil i koden som vil gjøre den sårbar for angrep. HTTPS er en spesiell underavdeling av hypertekstoverføringsprotokoll generelt som inkluderer kryptering av dataoverføringer frem og tilbake mellom nettsteder og brukere, samt autentisering av nettsteder og nettverksserverplasseringer for å unngå falske aktiviteter som phishing. Phishing er en praksis der falske kopier av legitime nettsteder prøver å skaffe personlig informasjon og økonomiske data fra besøkende, og en HTTPS-feilsøking er designet for å forhindre dette ved å sørge for at et nettsted oppfyller sikkerhetsstandarder.
HTTPS-protokollen inneholder det som kalles sikre sockets-lag (SSL) for "S" i begrepet. Et nettsted som bruker SSL, krypterer alle dataene som sendes frem og tilbake fra den, slik at de ikke kan bli oppfanget og forstått av noen underveis, bortsett fra den tiltenkte mottakeren. Brukeren som samhandler med nettstedet, vil ha et innebygd dekrypteringsnøkkelprogram for å returnere dataene til normal lesbarhet. Ved å bruke et HTTPS feilsøkingsverktøy kan en nettstedsdesigner se hvordan alle disse krypterte dataene ser ut når de blir overført frem og tilbake til nettstedet, i tillegg til den vanligvis skjulte filhode, informasjonskapsel og minnebufferinformasjon som er knyttet til filer og all internettrafikk.
Både gratis og kommersiell versjon av HTTPS-valideringsprogramvare finnes online. Et viktig aspekt ved enhver HTTPS-feilsøking er at den også må ta hensyn til hva som gjøres på serversiden av Internett-trafikk. Kodingsskjemaer for nettsteder som bruker aktive serversider (ASP) eller en hypertekstforbehandler (PHP) er design der aktivitet initieres av en nettsteds besøkende, men faktisk kjøres gjennom programmer som ligger på serveren. En PHP-feilsøking analyserer derfor det som kalles caching på serversiden, der informasjon om HTML og nettleser er lagret i serverminnet, som også kan ha sikkerhetsproblemer.
Et av de viktigste underliggende prinsippene for en HTTPS-feilsøking er at den ser på valideringen av serversidesertifikater. Et serversideattest lagres på en server for et nettsted som er kjent og klarert. Når en brukers nettleser blir ledet til det nettstedet, undersøker HTTPS-koden sertifikatet for å sikre at det er gyldig. Hvis det ikke blir gjenkjent, kan nettstedet faktisk være uredelig, og HTTPS-avluseren er designet for å sikre at denne funksjonaliteten til nettstedet fungerer som den skal, og at brukeren blir varslet når et sertifikat ikke samsvarer med forventede parametere. En begrensning av denne sikkerheten er at digitale sertifikater må kjøpes fra en sertifiseringsinstans (CA) og nettsteder for små bedrifter ofte ikke gidder å skaffe dem, eller la de de har utløpe.
Mangfoldet av skriptspråk som brukes til interaktiv webdesign, fra kaskaderende stilark (CSS) til javascript og extensible markup language (XML), har drevet opprettelsen av flere typer kodefeilere. Selv om noen HTTPS-redigeringsprogrammer kan analysere en rekke skriptspråk, kan en javascript-debugger, XML-debugger eller CSS-debugger være nødvendig for å få et mer nøyaktig resultat av hva som er galt med nettstedskode. Ingen feilsøkingsprogram er noen gang tilstrekkelig for å finne alle feil, for å sikre et nettsted fullstendig mot angrep eller for å beskytte brukere som besøker det. Ettersom hackere og kriminelle kontinuerlig finner måter rundt sikkerhetstiltak, må HTTPS-avluseren forbedres for å få på plass passende tiltak for å forhindre inntrenging i legitim online aktivitet.