HTTPS: відмінності між версіями
| [перевірена версія] | [перевірена версія] |
Вилучено вміст Додано вміст
Рядок 24:
Напади на веб-сервери, які зберігають дані клієнта, здійснити простіше, ніж намагатись перехопити дані при передачі. Вважається, що комерційні сайти негайно пересилають операції, що поступають до шлюзу оплати і зберігають тільки операційний номер, але вони часто зберігають номери карт в базі даних. Звичайно сервер і база даних є ціллю для нападу.
Передача даних через захищені канали допомагає усунути деякі ризики: при використанні [[Transport Layer Security|TLS]], [[HTTP Strict Transport Security|HSTS]], фіксованих публічних ключів, веб-браузер може бути впевнений, що він отримує дані з саме того сервера, до якого він звернувся. Проте, ці механізми [[Автентифікація|автентифікують]] лише сервер, але не отримані дані. Зловмисник (або адміністратор веб-сайту) з доступом до сервера може довільно змінювати дані. Механізм [[Subresource Integrity|SRI]] дозволяє авторам веб-сторінок гарантувати, що користувачі завантажуватимуть зі сторонніх веб-сайтів тільки ті ресурси, які визначив автор сторінки<ref>{{cite web | url = http://www.w3.org/TR/2016/REC-SRI-20160623/ | title = Subresource Integrity | work = W3C Recommendation | date = 23 June 2016 }}</ref>.
== Примітки ==
| |||