יום רביעי, 24 ביוני 2020

האם הבלוג שלך מאובטח?



אצל חלק מהחברים והעמיתים בקהילת פרפרים, קידומת כתובת הבלוג היא עדיין http ולא https. כאשר קידומת כתובת הבלוג שלך היא https, למעשה מוצפנת תעבורת המידע בין המחשב שלך לבין השרת בו מאוחסן הבלוג שלך. כלומר, אתר הבלוג משתמש במפתח הצפנה ייחודי המכונה SLL, שהוא הסטנדרט המקובל להעברת מידע מאובטח באינטרנט. באתר מוצפן כזה יוצג בדפדפן סימן של מנעול בראש הדפדפן לצד הכתובת. 

לעומת זאת אם כתובת הבלוג שלך מתחילה עם http - משמע כל המידע שעובר בין הדפדפן (במחשב/סמרטפון שלך) לבין השרת בו מאוחסן הבלוג חשוף. למשל, אם התחברת אל לוח העריכה של הבלוג שלך בבלוגספוט או בוורדפרס - שם המשתמש והסיסמה שלך הוא מידע שנשלח כטקסט חשוף ואינו מוצפן, לכן אם מישהו מאזין (והאקרים אוהבים לעשות זאת) לתעבורת התקשורת בין המחשב שלכם לאתר - הוא יוכל “לרגל” אחר המידע שעובר ולגנוב את שם המשתמש והסיסמה שנשלחו. למעשה זה די פשוט לאתר את זהותך באתר הבלוג שלך (לידיעת הבלוגרים החוששים לאלמוניותם !) הדבר חשוב שבעתיים אם אתר הבלוג שלך מאגד נתונים פרטיים כמו מידע על כרטיסי אשראי, ססמאות, רשימות אנשי קשר, מנויים וכתובתם וכדומה. כמו כן, חשיפת כתובות ה-IP של המכשירים דרכם נכנסים לאתר הן כר נרחב לפריצה למכשירים שלכם ולעשות בהם שימוש על ידי זרים.

כיום https הוא הסטנדרט הנדרש להעברת מידע פרטי מוצפן אשר עובר בין הדפדפן לבין השרת. אם לא כן, דפדפנים כמו Chrome ו-  Firefox מציינים באופן בולט וברור שהעמוד לא מאובטח.

יש מספר סיבות משכנעות נוספות לשינוי הקידומת ל- https:

א. מדד SEO
ב- Google טוענים שכתובת https באתר  מהווה גורם חשוב בציון דירוג האתר (מדד SEO) - כלומר מייעלת את מידת החשיפה והתנועה בבלוג שלך. למעשה ציון הדירוג הזה מורכב משלושה פרמטרים עיקריים:

  • אתר בעל רספוסיביות גבוהה והתאמה למובייל
  • זמן טעינה מהיר
  • אתר מאובטח.
ב. אמון
קוראים רבים מחפשים בדפדפן את המנעול בצד כתובת הבלוג. זהו בעצם סימן של אמון. מערכות הגנה טובות (במחשבים וסמרטפונים) עשויות למנוע כניסה לאתרים לא מאובטחים. מי שנרשמים כמנויים לבלוג עם קידומת http - דמם בראשם.

בבלוגספוט אופן המעבר מקידומת http ל- https הוא פשוט מאוד:
נכנסים ל'הגדרות' בלוח העריכה:
בממשק הישן יש לסמן כן


בממשק החדש יש לסמן בכפתור

בוורדפרס המעבר עשוי להיות מסובך יותר, אבל אפשרי. על המעוניינים לפנות בבקשה בתיבת המסרים וההוראות תשלחנה בדואר חוזר.

לידיעה, לבלוגים בפלטפורמות כמו ישראבלוג, תפוז, בלוגר - לבלוגים קידומת http ולכן הם אינם מאובטחים! אני לא הייתי נרשם אליהם כדי לקבל עדכונים במייל, גם לא להגיב בהם בתגובה מאומתת. ראו, הוזהרתם.

29 תגובות:

  1. עד כמה שאני מתרשמת, בוורדפרס לא צריך (ואי אפשר) לעבור לכלום. הבלוגים החינמיים מאובטחים, וזה לא משהו שנתון לבחירת המשתמש. כמו הרבה דברים אחרים שם, לטוב ולרע - זה מוכתב מלמעלה.

    השבמחק
    תשובות
    1. לא מעטים החברים מוורדפרס (בעיקר ותיקים) שכתובת הבלוג שלהם היא http ויש דרך לעבור (קצת מסובכת). יתכן שהחל מזמן מסוים המצטרפים החדשים לוורדפרס מקבלים https.

      מחק
  2. לא יודעת אם אני נחשבת לוותיקה או חדשה, אבל הבלוג שלי קיים בוורדפרס מאז אפריל 2014. אני זוכרת כשהם הודיעו (אחרי 2014) שהם עוברים ל-HTTPS. זה היה משהו גורף - לא שאלו אם אנחנו רוצים או לא, פשוט העבירו.
    מה קורה בגרסאות בתשלום, שבהן בעלי הבלוג מחזיקים את הבלוג על שרת, משלמים דמי אחסון ואחראים בעצמם לעדכונים - אינני יודעת.

    השבמחק
    תשובות
    1. ותק זה בלוגרים שכותבים מ- 2003 או מ- 2008 :)
      לכאלה וורדפרס לא יכול היה להעביר באופן גורף מ- http ל https, כי על כל בלוגר/ית יש לבצע ידנית מספר שלבי התאמות ספציפיות, בהתאם לקודים חיצוניים שהטמיעו.

      מחק
  3. וידאתי שוב - הבלוג שלי בוורדפרס מאובטח.
    בתפוז לא הייתה אבטחה (ועדיין אין) והאתר אכן נפרץ יותר מפעם. למעשה תפוז כבר מת אבל לא כולם יודעים זאת...

    השבמחק
    תשובות
    1. גם ישראבלוג נפרץ מספר פעמים. גם לא אהבתי שלהנהלה הייתה גישה לכל המידע שבלוחות העריכה של כולם, שמות משתמשים וסיסמאות, כתובות מנויים ומגיבים ולכתובות IP. חבל שהבלוגרים שמגיבים לבלוגרים שעדיין כותבים שם, אינם מודעים לסיכונים.

      אפילו חולדות בורחות מספינות שעומדות לטבוע. כנראה יש אנשים פחות חכמים מהן :)

      מחק
    2. אם יש לך תכנים חשובים בתפוז שלא גיבית, ממליצה לך לעשות זאת.
      מאנשים יודעי דבר שמעתי שכל הפלטפורמה שם הולכת להיסגר, הבלוגים, הפורומים, הכל.

      מחק
    3. n_lee, אינני יודע לגבי הבלוג הספציפי, אבל יש יוצאי תפוז שכבר דיווחו לאחרונה - שמרבית הפוסטים בבלוגים שלהם נמחקו והופיעו פוסטים של אחרים. לצערם הם לא גיבו את התכנים לפני האירוע.

      מחק
    4. יש לי חבר טוב שכתב בתפוז והפסיק לכתוב לפני כמעט עשור, וכל התאריכים בבלוג שלו השתנו (כאילו שהוא הפסיק לכתוב לפני 4 שנים).
      בכל מקרה הבנתי שהבלוגיה שם הולכת להיסגר סופית ממש בקרוב (ימים או שבועות לא ברור)
      והבלוגרים שם קיבלו הודעה כבר לפני שנה על זה שהולכים לסגור את הבלוגיה.
      חוץ מזה גם הפורומים והקבוצות שהיו שם יסגרו (הבנתי שסוגרים בתפוז את כל הפלטפורמה הקהילתית)

      מחק
    5. מסקנה- אין לסמוך אלא על פלטפורמות אכסניה בנוסח "דירה להשכיר", אלא אך ורק על פלטפורמות בלוגים עצמאיים.

      מחק
    6. גם הבלוג שלי נפל קורבן לבא או לפריצה בתפוז שהשחיתה את כל הרשומות. לשמחתי יש לי גיבוי לכל הרשומות (אבל לא לתגובות שלפעמים היו מאוד חשובות).
      בניגוד לשמועות, תפוז הודיעו על סגירת הבלוגיה שם רק לאחרונה וגם זה לא באופן בולט.
      תפוז הודיעו שהם יפתחו פלטפורמה חדשה אבל רק לפורומים ויעבירו לשם תוכן מהפורומים הקיימים

      מחק
  4. זה חשוב, אני זוכרת כשהפנית את תשומת לבי לכך ועדכנתי את ההגדרות שלי בבלוגספוט.

    השבמחק
    תשובות
    1. צריך לקחת בחשבון גם את הסיכונים בלהגיב תגובות מאומתות בבלוגים לא מאובטחים וכן את הסיכונים בהרשמה כמנויים. במאה ה-21 וסיכוניה - אין מקום לרמת אבטחה אפסית.

      מחק
  5. אחד היתרונות של בלוגספוט על פני ישרא היה העניין של https
    דבר כל כך אלמנטרי במאה ה21
    וגם הכרחי
    עוד אחת מהסיבות שאני לא מבינה מדוע אנשים מתלהבים כל כך מחזרתו של ישראבלוג.
    לכתוב באתר שאין בו אבטחה בסיסית כזאת...

    השבמחק
    תשובות
    1. להערכתי, גם בישראבלוג "המחודש" לא יהיה https משתי סיבות: ראשית, זה יעלה להם הרבה כסף. שנית, הם יאבדו את שליטת "האח הגדול" על הבלוגרים והמגיבים. זוכרת את התופעה בישרא שהבלוגים הופכים פתאום ל"פרטיים"? היום אני יודע שהסיבה בחלק ניכר מהמקרים נבעה מכניסה של ההנהלה ללוחות העריכה של הבלוגרים.

      מחק
  6. אני לא יודע אם זה מה שיהיה
    כרגע גם ככה שומדבר לא מתקדם עם ישרא
    למה אתה חושב שהם רוצים להיות "האח הגדול" הם לא תאגיד ענק שמחזיק בישרא, הם בלוגרים כמונו.

    ואם כבר דיברנו, קראת את הכתבה שהתפרסמה בנושא ישראבלוג בגלובס?
    https://www.globes.co.il/news/article.aspx?did=1001333768

    השבמחק
    תשובות
    1. "האחים הגדולים" לא היו תאגיד, אלא העורכים שהיו "בלוגרים כמונו".
      והכתבה - בלה בלה, הכל דבש :)
      אבל אין ספק שכשאין הרבה בשר, נחוצים יחסי ציבור אגרסיביים ...

      מחק
    2. ממש אהבתי את הכתבה. הפיסקה האחרונה זה סיכום נהדר של כל הנושא.

      מחק
  7. מישהו עדיין משתמש בתפוז וב-bloger?
    אני נכנסתי פעם/פעמיים בשנה האחרונה לאתרים האלה, מת שם יותר מבבית קברות.

    השבמחק
    תשובות
    1. לא יותר מת שם מישראבלוג "המחודש" :).
      אך בניגוד לישראבלוג "המחודש", הממשק בבלוגר מאפשר לחברים עדכון אוטומטי של פוסטים בפרפרים.
      כלומר, בקהילת פרפרים יש גם בלוגרים מבלוגר.

      מחק
    2. את זה ראיתי, אני מתכוון שדף הבית של האתר bloger נראה ממש לא פעיל. נכנסתי לשם לפני המון זמן, והיו רק 7-8 פוסטים חדשים באותו יום. והפוסט עם הכי הרבה תגובות היה עם משהו כמו.. 5-6 תגובות? אולי פחות אפילו? לא זוכר...
      בישראבלוג המחודש יש קצת יותר פעילות, אבל בהפרש ממש קטן.

      מחק
    3. לדעתי בבלוגר אין לפוסטים "הרבה תגובות" כי בתגובה חובה להזדהות ולספק כתובת מייל (מילוי 3 שדות).

      אין אפשרות לאמוד פעילות בישראבלוג כאשר אין דף בית ומנויים לא מקבלים עדכונים למייל באופן מסודר.

      מחק
  8. גם בישראבלוג כל הבלוגרים עושים את השלב של "להזדהות ולספק כתובת מייל", ועדיין גם בישראבלוג המחודש יש יותר תגובות מבבלוגר, עכשיו כשאין עמוד ראשי אז אין מגיבים בללא שם.

    השבמחק
    תשובות
    1. חוץ מזה שגם ב-bloger יש אפשרות להגיב במשתמש 'ללא שם'. ככה אני הגבתי לבלוגרים שפעילים שם. אין לי כוח לפתוח עוד משתמש בעוד אתר ובמיוחד באתר לא מאובטח :P

      מחק
    2. בישראבלוג כל הטרולים הגיבו תגובות לא מאומתות כאלמונים או בכינויים שונים ומשונים בלי צורך למלא כתובת מייל. היו לי פוסטים עם למעלה מ-200 תגובות כאלה...
      לאחרים, לא היה צריך למלא שדות בתגובות לאחר שנכנסים לחשבון הבלוג של המגיב.

      מחק
    3. כבלוגר, כנ"ל גם חשבונות ישראבלוג המחודש אינם מאובטחים!!!

      מחק
    4. כן, בהחלט לא מאובטחים,
      נראה שאתר פרפרים הוא הבלוגיה היחידה שמעודכנת למאה ה-21. אם אי פעם אחליט לפתוח בלוג אז כאן הוא בהחלט יופיע :)

      מחק