Kategorien
Webentwicklung

Webprotokoll

Wusstest du, dass 68% der Internetnutzer glauben, dass die aktuellen Gesetze zum Schutz ihrer Rechte nicht gut genug sind?

Jedes Mal, wenn Google eine neue Präferenz einführt, nimmt/ wird das Internet gezwungenermaßen zur Kenntnis. Etwas Ähnliches passierte, als Google ankündigte, dass Webseiten mit SSL Zertifikat / HTTPS Protokoll in den Suchmaschinenergebnissen bevorzugt werden. Ich werde versuchen, die Grundlagen von HTTP und HTTPS Protokollen abzudecken

Bevor wir tiefer in das Verständnis über das HTTP und HTTPS Protokoll eintauchen, lass uns versuchen, die Bedeutung des Wortes Protokoll zu verstehen.https und http Protokoll

Was ist ein Protokoll?
Ein Protokoll ist ein Satz von Regeln, die wir für bestimmte Zwecke verwenden. Wenn wir heute von Protokollen sprechen, geht es um Kommunikation – die Art und Weise, wie wir miteinander sprechen. Zum Beispiel spricht ein Nachrichtensprecher auf Englisch und weil du Englisch verstehst, bist du in der Lage zu verstehen. Englisch ist das Protokoll.

In dem Moment, in dem der Nachrichtensprecher anfängt, in einer Sprache zu sprechen, die du nicht verstehst, verfehlt das Protokoll seinen Zweck. Wir brauchen also beide Parteien, die sich auf eine Reihe von Regeln einigen, damit die Kommunikation stattfinden kann. Das Protokoll ist in diesem Fall für die Kommunikation.

Wenn wir nun über das Web sprechen, werden mehrere Protokolle zur Kommunikation verwendet. Vor allem für den Endnutzer sind die wichtigsten und sichtbarsten Protokolle HTTP und HTTPS. Obwohl es auch viele andere Protokolle gibt, sind HTTP und HTTPS die Protokolle, die den Großteil der Bevölkerung ansprechen.

Was ist HTTP?
HTTP ist das Hypertext-Übertragungsprotokoll. Einfach gesagt – Regeln zum Senden und Empfangen von textbasierten Nachrichten. Wie wir alle wissen, arbeiten Computer in einer Sprache aus 1en und 0en, d.h. in einer Binärsprache. Daher konstruiert potentiell jeder Satz von 1en und 0en etwas, es könnte ein Wort sein.

Sagen wir, ich möchte ‘a’ schreiben. Wenn nun 0 für ‘a’, 1 für ‘b’ und 01 für ‘c’ steht, kann ich daraus schließen, dass eine Kombination aus 0 und 1 auch ein Wort bilden kann. In diesem Fall ist der Text bereits konstruiert und wird über den Draht gesendet. Der Computer arbeitet mit vielen Sprachen – reinem Binärcode, Text und einigen anderen Formaten wie Bytecodes. Was hier übertragen wird, ist Text. Ich betone “Text”, weil dieser Text vom Browser interpretiert wird und in dem Moment, in dem der Browser ihn interpretiert, wird er zu Hypertext, und das Protokoll, das den Text überträgt, wird als Hypertext Transfer Protocol – HTTP bezeichnet.

Mit HTTP kannst du definitiv Bilder und Text und sogar Ton übertragen, aber keine Videos.

Was ist HTTPS?
Hyper Text Transfer Protocol Secure (HTTPS) ist die sichere Version von HTTP, dem Protokoll, über das die Daten zwischen deinem Browser und der Website, mit der du verbunden bist, gesendet werden. Das ‘S’ am Ende von HTTPS steht für ‘Secure’. Es bedeutet, dass die gesamte Kommunikation zwischen deinem Browser und der Webseite verschlüsselt ist. HTTPS wird oft verwendet, um sehr vertrauliche Online-Transaktionen wie Online-Banking und Bestellformulare beim Online-Shopping zu schützen.

Lade das ultimative Push-Benachrichtigungs-Marketing-Kit kostenlos herunter
Was ist die Bedeutung von HTTPS?
Wir haben uns auf die Tatsache geeinigt, dass das, was von einem Punkt zum anderen übertragen wird, Text ist. Um zu verstehen, warum das HTTPS-Protokoll wichtig ist, sollten wir zunächst wissen, wie WLAN-Router funktionieren: Nehmen wir an, du bist auf einem Flughafen und verbindest dich mit dem WLAN, das einem Dritten gehört. Nun, wenn du über HTTP kommunizierst, wird der Text von deren Router übertragen. Und wenn ich zu einer niedrigen Version des Routers gehe, kann ich den Text, der übertragen wird, bequem überprüfen und lesen. Es könnte ein Passwort enthalten sein, mit dem ich mich auf ihrer Bankseite einloggen und eine betrügerische Transaktion durchführen kann! Der Punkt ist – das ist grundlegend unsicher. Das nennt man den Man-in-the-Middle-Angriff.

Und deshalb brauchen wir https, wenn HTTP scheinbar ausreicht.

Um unsere Daten vor solchen Angriffen zu schützen, müssen wir die Daten verschlüsseln.

user-web-application-man

Verstehen von Webprotokollen

Um eine sichere Verbindung für die Nutzer zu implementieren, hat der Suchmaschinenriese 2014 HTTPS als Ranking-Signal angekündigt. Und so haben verschiedene Branchen darauf reagiert.

https und http Protokoll
Verschlüsselung und Verschlüsselungsstufen
Verschlüsselung ist einfach ausgedrückt ein Verstecken von Informationen. Es gibt verschiedene Möglichkeiten, dies zu tun. Du hast sicher schon von den Begriffen 128-Bit-Verschlüsselung und 64-Bit-Verschlüsselung bei HTTPS gehört. 128-Bit Encrypt ist eine hohe Verschlüsselungstechnik und es ist sehr schwer zu entschlüsseln (decodieren). Im Falle von HTTPS, wenn die Daten auf den Leitungen übertragen werden, kann der Mann in der Mitte zwar wissen, was übertragen wird, aber er kann keinen Sinn daraus machen, da die Daten verschlüsselt sind. Nur der Browser entschlüsselt sie und zeigt sie an, und der Server entschlüsselt sie und nutzt sie für Transaktionen.

Für die Neugierigen – Es gibt zufällig auch einen Film über Verschlüsselung, Imitation Games. Die gesamte Handlung des Films basierte auf der Entschlüsselung der deutschen Codes, die den gesamten Verlauf des Krieges neu gestalten sollten. Diese Codes waren sehr schwer zu entschlüsseln, aber wie Alan Turing es schließlich schafft.

Wie geschieht das, wenn du eine Seite in einem Browser öffnen möchtest?
Um das zu verstehen, stellen wir uns vor, dass es einen Server gibt, der sich irgendwo befindet und alle Anfragen für eine Domain bedient. Wenn ich nun xyz.com eintippe, ist es ein Server, zu dem ich mich verbinde, von dem ich Daten abnehme und der sie im Browser wiedergibt.

Um es weiter zu vereinfachen, stelle dir vor, dass der Domainname google.com von einem Server gesendet wird. Es gibt irgendwo eine Maschine, die mit dem Internet verbunden ist und in dem Moment, in dem du google.com in deinem Browser sagst, verbindest du dich mit dieser Maschine, holst dir Daten von dieser Maschine und zeigst sie im Browser an. Wenn du dein Bild gespeichert hast, wird es auf diese Maschine hochgeladen. Wenn du nun das Bild sehen willst, gehst du auf google.com/show-me-my-picture, was das Bild von der Maschine in den Browser überträgt, um es dir zu zeigen.

Dieser Prozess kann nicht abgeschlossen werden, wenn ich nicht in der Lage bin, diese bestimmte Maschine zu erreichen. Damit dies geschehen kann, hat jede Maschine eine Adresse (so wie wir eine Handynummer haben), sie wird IP-Adresse genannt und jede Domain hat eine IP-Karte. In dem Moment, in dem du diese benutzerfreundliche URL – google.com – eingibst, wandelt es diesen Benutzernamen in eine IP um und verbindet sich mit dem Router, um die bestimmte Serviceleitung zu erreichen, die mit dieser URL verbunden ist. Sobald es den Server erreicht, stellt es eine Anfrage, was benötigt wird. Sie wird als “google.com/s=” dargestellt, was dem Nutzer hilft, die von ihm gestellte Anfrage zu verstehen. Als Ergebnis liefert ihm der Server die Ergebnisse entsprechend deiner Anfrage, die an den Browser gerendert werden.

Retarget deine Website-Besucher mit personalisierten Push-Benachrichtigungen mit iZooto. Starte die KOSTENLOSE Testversion.

Was passiert, wenn eine Anfrage für eine Website-URL gestellt wird, die auf dem HTTP-Protokoll ist?
Im ersten Schritt ist es die Aufgabe von HTTP, den Server ausfindig zu machen und sobald der Kommunikationsweg hergestellt ist, sendet der Server einen Text an den Browser. Dieser Text kann entweder in seiner reinen Form oder in verschlüsselter Form vorliegen, der dann vom Browser gerendert oder für welchen Zweck auch immer verwendet wird.

Es gibt zufällig auch einen Film über Verschlüsselung – Imitation Games. Die gesamte Handlung des Films basiert darauf, dass die Protagonisten die deutschen Codes entschlüsseln, die den gesamten Verlauf des Krieges verändern sollten. Diese Codes waren sehr schwer zu entschlüsseln, aber Alan Turing schafft es schließlich.

Da es ein Maß für diesen Schwierigkeitsquotienten geben soll, interpretieren wir, dass es umso schwieriger ist, zu entschlüsseln, je höher die Anzahl der Bits ist. Allerdings erhöht sich dadurch nur der Grad der Komplexität, was die Entschlüsselung sehr schwierig, aber nicht unmöglich macht.

Die Entscheidung zwischen HTTP und HTTPS
Die Bedeutung des HTTPS Protokolls verstehen

Quelle: http://en.flossmanuals.net/basic-internet-security/_all/

Alles und jedes ist persönlich. Wenn du nach “Wie installiere ich ein SSL-Zertifikat” suchst, dann ist diese Suche für dich privat, oder? Egal ob du nach einem Produkt suchst oder einen Artikel liest, du möchtest in der Regel nicht, dass andere davon erfahren. Als Endnutzer würde ich es genauso privat halten wollen. Es gibt Dinge, die ich vielleicht nicht privat halten möchte und für diese kann ich HTTP nutzen. Aber für persönliche Informationen, Banken und grenzüberschreitende Informationen ist HTTPS ein Standard geworden.

HTTPS klingt toll. Was solltest du sonst noch darüber wissen?
Es ist nicht zu leugnen, dass die Privatsphäre ihren Preis hat. Es gibt ein paar Nachteile.

HTTPS-Anfragen brauchen mehr Zeit, um verarbeitet zu werden.
Weil es mehr Zeit braucht, um zu verarbeiten, braucht es mehr Hardware – den Server, den du verwendest. Das bedeutet auch zusätzliche Kosten.
Bei HTTP hingegen verbrauchst du weniger Energie im Vergleich zu HTTPS, da die Kommunikation schneller abläuft (ohne Ver- und Entschlüsselung). Ich werde dies jedoch nicht als Einschränkung für HTTPS bezeichnen. Es ist sehr subjektiv und persönlich, ich halte es für einen sehr geringen Preis, den wir zahlen, um unsere Privatsphäre zu sichern.

Die Idee, ein sicheres Web zu bauen, gibt es schon seit einer Weile. Wie ich bereits erwähnt habe, wird der Aufbau eines sicheren Webs von Unternehmen wie Google, Facebook, Akamai und so weiter vorangetrieben, und zwar hauptsächlich aus den folgenden zwei Gründen

Nutzerdaten und Nutzerdatenschutz: Die Verwendung von HTTPS stellt sicher, dass du als Entwickler Wert auf Nutzerdaten, die Privatsphäre der Nutzer und deren Sicherheit legst.
Schutz deiner Daten: Als Entwickler würden wir niemals unsere kritischen Daten an böswillige Teilnehmer weitergeben wollen.
Was steht auf dem Spiel, wenn du nicht auf HTTPS umsteigst?
https und http Protokoll

Hier sind einige der Funktionen, die nur noch auf HTTPS verfügbar sind.

GeoLocation: Du kannst den Standort des Nutzers nicht mehr suchen, wenn du auf HTTP bist
Web Push Notification: Push Notifications sind nur noch auf HTTPS verfügbar.
GetUserMedia: Du kannst nicht mehr die Berechtigung zur Nutzung der Kamera/des Mikrofons des Nutzers auslösen, wenn du auf HTTP bist
HTTP/2: Alle großen Browser, unterstützen jetzt HTTP/2 für HTTPS.
Wird bald entfernt werden:

AppCache: Eine Funktion, die es Entwicklern erlaubt, Inhalte im Browser zu cachen und für die Offline-Ansicht verfügbar zu machen, wird bald nur noch auf HTTPS-Seiten beschränkt sein.
Encrypted Media Extensions: Die Möglichkeit, die Wiedergabe von geschützten Inhalten zu verwalten.
Sowohl aus Sicht der Sicherheit als auch der Nutzererfahrung kann die Art des Zertifikats, das du wählst, einen Einfluss haben. Beachte, wie verschiedene Zertifikate die Darstellung deiner Website in der Adressleiste des Webbrowsers verändern.

https und http Protokoll

Einige häufig gestellte Fragen
Wie hoch sind die “Kosten” für die Umstellung einer Website mit X Benutzerzugriffen von HTTP auf HTTPS?
Das ist eine typische Frage, auf die es aber leider keine Antwort gibt. Die Kosten hängen einzig und allein von der Datenmenge ab, die du überträgst. Es gibt eine Menge Variablen, die die Kosten beeinflussen werden, nicht nur die Nutzer-Traktion,. Wenn es hier um Bankdaten geht, musst du die Kosten tragen, egal wie groß oder klein sie auch sein mögen.

Die gesamte Kostenberechnung selbst ist sehr subjektiv und ich habe nicht wirklich eine Zahl dafür.

Hat HTTPS einen Einfluss auf die Ladezeit deiner Webseite?
Ja, das hat es absolut!

Warum brauchen Web-Push-Benachrichtigungen SSL?
Ja, Web-Push-Benachrichtigungen gibt es schon eine Weile und sie können nur auf Websites funktionieren, die auf dem HTTPS-Protokoll sind. Bevor wir diese Frage beantworten, lass uns verstehen, wie das eigentlich funktioniert.

Der Grund dafür, dass die Web-Push-Benachrichtigungen nur auf dem HTTPS-Protokoll funktionieren, ist – die Daten, die gepusht und empfangen werden, sind private Daten. Um die Privatsphäre zu gewährleisten, wird es nur auf dem HTTPS-Protokoll unterstützt.

Benachrichtigungen sind grundsätzlich persönlich für die Nutzer. Wir wollen auf jeden Fall, dass diese Kommunikation sicher ist. In diesem speziellen Fall ist der Server in der Lage, den Browser anzupingen.

Als das Buch der Protokolle geschrieben wurde, wurde erwähnt, dass HTTP ein Connection-Less-Protocol ist. Das bedeutet, dass der Server, der im Rechenzentrum sitzt, nichts tun kann, bis der Browser eine Anfrage stellt/stellt. Und sobald die Antwort gegeben wird, entscheidet der Browser, ob er etwas tun will oder nicht. Es ist ausschließlich die Entscheidung des Browsers, der Server kann dem Browser nicht befehlen, etwas zu tun. Die Vorstellung, dass ein zufälliger Server deinen Browser oder deinen Bildschirm/Maschine kontrolliert, ist beängstigend. Um diese Möglichkeit zu verhindern, ist und bleibt HTTP ein Connection-Less-Protocol.

Erreiche deine Webseitenbesucher auch dann, wenn sie nicht auf deiner Seite sind. Sende kontextbezogene Benachrichtigungen mit iZooto. GRATIS Testversion starten.

Beliebte Missverständnisse oder Mythen
Meine Website ist nicht transaktionsorientiert. Warum muss ich das HTTPS-Protokoll nutzen?
SSL-Zertifikate sind teuer
Die Umstellung von HTTP auf das HTTPS-Protokoll hat drastische Auswirkungen auf die Leistung der Website
Auswirkungen auf andere 3rd Parties.
Schau dir dieses Video vom Progressive Web App Summit an, um all diese Missverständnisse auszuräumen

Mehr über Web Push Notifications
Interessanterweise schickt der Server im Falle von Web Push Notifications Daten an den Browser. Aber es wird so gespeichert, dass der Server nur einen kleinen Hinweis an den Browser sendet, dass eine Benachrichtigung auf dich wartet – das war’s. Hier ist ein Schritt-für-Schritt-Ablauf dessen, was tatsächlich passiert –

Der Server sendet einen Blip an den Browser
Dann tritt das Protokoll in Kraft und fragt nach Daten. Diese Daten könnten sehr personalisiert sein. Ich könnte dir eine Nachricht schicken – ‘Du hast XX Betrag getätigt’.
Die Benachrichtigung wird vom Service Worker abgeholt und dem Endbenutzer angezeigt.
Wenn ich mich heute für ein Protokoll entscheiden muss, das das Potenzial hat, extrem personalisiert zu sein (da Benachrichtigungen personalisiert sind), dann möchte ich es auf jeden Fall sicher machen.

Kann The Web Push auf HTTP funktionieren? Ja, natürlich.

Sollte es auf HTTP funktionieren? Striktes Nein.

Die Idee hinter Service-Worker
Es gibt noch einen anderen Blickwinkel – um die Vernunft von HTTP zu bewahren, haben wir die Service-Worker. Da der Server lediglich einen Blip sendet, dass du eine Benachrichtigung hast. Er schaltet auf das alte konventionelle verbindungslose Protokoll um und fragt, was ich zeigen soll und zeigt es. Also, der Server pusht keine Daten. Er sagt ihnen nur, dass es etwas gibt. Ja, es wird ein bisschen kompliziert, aber wer den Service Worker versteht, weiß, dass es dazu dient, HTTP so heilig zu halten, wie es eigentlich sein sollte.

Einige praktische Ressourcen
Google’s empfiehlt HTTPS. Warum, was und wie.
Bereitstellung von HTTPS und Migration von HTTP zu HTTPS
MythBusting: Schritt für Schritt
Ist TLS schon schnell?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

7 + 15 =