База для QA
К списку
Безопасность и авторизацияMiddleТехническое

Механизмы защиты данных при передаче по сети в QA

Краткий ответ

Безопасность данных в сети достигается через протокол HTTPS, который строится на базе TLS для шифрования. TLS гарантирует конфиденциальность и целостность, а цифровые сертификаты подтверждают подлинность сервера.

Развёрнуто

Краткий ответ

Для защиты данных при их передаче используется протокол HTTPS, который опирается на TLS — протокол шифрования, обеспечивающий конфиденциальность и целостность. Цифровые сертификаты служат для аутентификации сервера, предотвращая атаки типа "человек посередине".

Как это работает

HTTPS — это расширение HTTP, работающее поверх TLS (Transport Layer Security). TLS использует комбинацию асимметричного и симметричного шифрования для безопасности:

  • Асимметричное шифрование (с использованием публичного и приватного ключей) служит для безопасного обмена ключами.
  • Симметричное шифрование применяется для быстрой и эффективной защиты данных после установления соединения.

Цифровые сертификаты (обычно X.509) выдаются центрами сертификации (CA) и подтверждают, что сервер действительно принадлежит тому, за кого себя выдает.

Этап Описание
Установка TLS Клиент и сервер договариваются о параметрах шифрования
Аутентификация Проверка сертификата сервера на подлинность
Шифрование Передача данных в зашифрованном виде

Пример

1. Клиент инициирует HTTPS-запрос к серверу.
2. Сервер отправляет свой цифровой сертификат.
3. Клиент проверяет сертификат через центр сертификации.
4. Если проверка успешна, клиент и сервер устанавливают общий секретный ключ с помощью асимметричного шифрования.
5. Дальше данные передаются с использованием симметричного шифрования.

Что важно знать на собеседовании

  • TLS обеспечивает не только шифрование, но и целостность и аутентификацию данных.
  • Сертификаты гарантируют, что клиент соединяется с правильным сервером, предотвращая MITM-атаки.
  • HTTPS работает поверх TCP и существенно влияет на производительность из-за накладных расходов шифрования.
  • Важно понимать разницу между SSL и TLS — TLS является современным и безопасным протоколом.
  • Знание о том, как проверять сертификаты и ошибки при их валидации, критично для QA при тестировании безопасности.

Тема: Безопасность и авторизация | Уровень: middle