Transmiterea securizată a datelor – modelul SSL

SSL (Secure Socket Layer), numit şi TLS (Transport Socket Layer), este un protocol care permite ca două aplicaţii să comunice într-un mod securizat. În cazul transmiterii datelor pe Web – Serverul comunică cu Clientul prin protocolul HTTPS şi nu HTTP.

Cum funcţionează SSL?

Deobicei datele circula de la Client spre Server şi vice-versa în mod text şi pot fi citite şi modificate de oricine poate prelua comunicarea dintre Client şi Server. Pentru ca acest lucru să nu se întâmple, protocolul SSL criptează informaţia care circulă prin canalele din internet şi verifică dacă proprietarul serverului este cel real. În modul acesta, clientul poate fi sigur că s-a logat pe site-ul băncii sale şi nu a trimis datele spre un alt server care ar putea să profite de datele contului său.

Modelul SSL foloseşte tehnica de “public/private key encryption”. O cheie publică este un string compus din litere şi cifre care se foloseşte la criptarea mesajelor astfel, încât numai proprietarul cheii publice îl poate citi. Acest mesaj, însă, poate fi descifrat doar dacă a fost criptat cu o cheie privată. Cheile funcţionează şi pe invers: mesajele criptate cu o cheie privată pot fi decriptate cu o cheie publică.

SSL Handshake: Identitate şi securitate

Spre exemplu Maria doreşte să îşi acceseze contul bancar de pe www.bancamariei.ro. Browser-ul Mariei începe o conecţiune HTTPS cu serverul www.bancamariei.ro şi transmite acestuia un string generat aleator pe care îl vom numi “noroc”.


Serverul www.bancamariei.ro va începe conecţiunea cu Maria şi va trimite browser-ului ei două lucruri: cheia sa publică criptată într-un certificat SSL şi “noroc” criptat cu cheia sa privată.

Browser-ul Mariei va decripta mesajul de “noroc” cu cheia publică primită de la server. Dacă mesajul decriptat este identic cu cel transmis de Maria mai înainte spre server – atunci serverul sigur este www.bancamariei.ro , căci numai cheia privată de pe server poate cripta mesajul în aşa fel încât să poată fi decriptat cu cheia publică.

Să presupunem că Ion este un administrator de reţea şi monitorizează această comunicare de pe Internet. Până acum el a putut prelua din discuţia Client – Server cheia publică a băncii şi mesajul “noroc” a Mariei. Dar el nu are cheia privată a serverului, astfel, el nu poate cripta mesajul ca să îl trimită clientului. Deci, Ion nu poate să o păcălească pe Maria.

Problema identităţii

Dar ce s-ar fi putut întâmpla dacă Ion intervenea din start în discuţia dintre Maria şi bancă? Ce se întâmplă dacă browser-ul Mariei ar fi discutat de la început cu serverul fals al lui Ion? În cazul acesta Ion ar fi putut genera cheia sa privată pentru a cripta mesajul “noroc” şi păcăli browser-ul Mariei că PC-ul lui este banca. Nu e bine!

Pentru aceasta, comunicare prin SSL dintre Client şi Server nu se rezumă doar la cheia publică. Cheia publică face parte dintr-un certificat SSL, emis de către o companie autorizată, în care browser-ul Mariei are încredere. După instalarea browser-ului pe calculatorul Mariei acesta deja conţine cheile publice a diverse companii autorizate ca GoDaddy, VeriSign şi Thawte ce emit certificate SSL. Companiile care doresc să deţină o conexiune securizată cu clienţii trebuie să cumpere un certificat SSL de la una dintre companiile autorizate de mai sus.


Certificatul SSL se compune din cheia publică a băncii şi un bloc de date ce pot identifica banca, criptate cu cheia privată a emiţătorului de certificate.

Când serverul băncii trimite certificatul spre browser-ul Mariei, acesta decriptează certificatul cu cheia publică a emiţătorului de certificate. Dacă certificatul este fals – decriptarea eşuiază. Dacă certificatul este valid – în datele decriptate apare cheia publică a băncii şi informaţia despre bancă. Dacă prin informaţia despre bancă nu e inclusă şi adresa băncii (www.bancamariei.ro) - Maria primeşte un mesaj de eroare şi conecţiunea se întrerupe.

Să ne întoarcem la Ion. Poate acesta să se dea drept Bancamariei? Nu, deoarece nu are cheia privată a emiţătorului de certificate pentru a cripta certificatul SSL.


După verificarea certificatului, comunicare dintre Maria şi bancă poate continua.

După Handshake: criptare simetrică chei

Browser-ul Mariei şi serverul băncii ar putea comunica şi mai departe prin schimb de certificate, însă aceasta necesită prea multe calcule şi resurse pe serverul băncii şi ar putea încetini mult conecţiunea cu banca la un moment dat dacă sunt logaţi prea mulţi clienţi simultan.

Pentru aceasta browser-ul Mariei, după ce a verificat identitatea băncii, transmite băncii o cheie de criptare “simetrică” (pe care o va folosi şi Clientul şi Serverul de acum încolo) şi un algoritm nou de criptare serverului. Această modalitate de criptare este mai simplă şi va cripta datele mult mai uşor pe tot parcursul comunicării Client – Server.


Dar ce face Ion? El poate vedea cheia “simetrică” şi tipul algoritmului transmis către server de către browser-ul Mariei? Da, însă cheia “simetrică” încă este criptată cu cheia publică a băncii şi nu poate fi decriptată decât de către bancă cu cheia sa privată.

Acum Maria şi banca comunică cu ajutorul unei chei simetrice pe care o cunosc numai ei. Această cheie se mai numeşte “master secret”.

Tot procesul de autentificare şi comunicare este schiţat în imaginea de mai jos (click pentru a o mări):

Apache şi OpenSSL

Pentru Apache se poate instala modulul OpenSSL care funcţionează fără a cumpăra neapărat un certificat SSL. Cu OpenSSL se pot genera certificate proprii, însă, aceste certificate nu sunt autorizate de nici o companie. În acest caz browser-ul clientului îl va întreba pe acesta dacă vrea sau nu să accepte un certificat de comunicare ne semnat de o companie autorizată. Clientul ar putea renunţa la vizitarea paginii dacă nu cunoaşte deţinătorul certificatului.

Resurse SSL

Tutorial de instalare a modulului OpenSSL pentru Apache:
http://www.debianadmin.com/install-and-configure-apache2-with-php5-and-ssl-support-in-debian-etch.html

De aici se pot cumpăra certificate SSL:

http://www.verisign.com/ssl/ssl-information-center/

https://www.godaddy.com/gdshop/ssl/ssl.asp

StumbleUpon

StumbleUpon nu este o noutate, având în vedere că a fost lansat la sfârşitul anului 2001. Eu l-am descoperit acum un an şi mi se pare un tool dinamic bun, atunci când chiar vrei să afli informaţii doar din aria ta de interes.

Sistemul de navigare este simplu. Îţi creezi un cont, îţi instalezi toolbar-ul, îţi alegi domeniile şi subdomeniile care te interesează - lista o găseşti pe pagina profilului tău şi începi să stumble, prin click-ul unui singur buton.

Totuşi, nu ar fi mai simplu să foloseşti în continuare un search engine?

Ba da, atunci când cauţi ceva exact. De exemplu, care sunt regulile dintr-un joc de baschet? Dar atunci când ai timp şi doreşti să afli mai multe informaţii despre acel sport, îţi recomand StumbleUpon deoarece aici sunt filtrate paginile cu ratings (adică recomandate de alţi utilizatori StumbleUpon - care sunt deocamdată în număr de 8 713 417).

Mai multe informaţii găsiţi pe pagina lor de prezentare sau urmărind acest video.

Voi aţi folosit StumbleUpon?

MS Office - Learn how to use IT the right way

MS Office - Learn how to use IT the right way a avut loc luni, 23 noiembrie, în sala Unirii a Hotelului Royal. Este primul eveniment axat pe partea de Microsoft Office organizat de noi şi ne-am bucurat că invitaţii ne-au onorat cu prezenţa lor.

Prima prezentare a fost a Andrei Marin, specialist HR, care a purtat o discuţie liberă cu participanţii despre modalităţile de evaluare a unui potenţial angajat şi despre competenţele pe care ar trebui să le aibă orice angajat, indiferent de poziţia pe care o ocupă într-o companie. Am avut parte chiar şi de un exerciţiu interactiv, prin care invitaţii au decis pe cine ar trebui să angajăm sau nu, în funcţie de soft skills şi hard skills.



A urmat Sorin Stancu, trainer LEC, care le-a arătat invitaţilor câteva lucruri utile care se pot face în Excel. Datorită timpului scurt, trainerul s-a axat mai mult pe partea finală a unor exerciţii în Excel, însă promitem ca la următoarele ediţii ne vom concentra mai în detaliu asupra unor probleme cu care vă confruntaţi zilnic la birou.

Desigur, a fost şi o scurtă pauză, unde invitaţii au interacţionat între ei. Evenimentul s-a încheiat cu prezentarea lui Daniel Năstase, trainer LEC, care ne-a învăţat ce ar fi bine şi ce nu ar fi bine să folosim în prezentările realizate în PowerPoint.



În urma completării formularului de feedback, Ana Hajdău - Administrative Coordinator Synergetica si Mihaela Tănasă - Compensation&Benefit Specialist Azadea au câştigat un training la Excel for Business, care se va desfăşura în perioada 7-8 decembrie, iar Dana Vladuţ - Project Manager Synergetica şi Gabriela Irinuca Văduva - Coordonator Marketing si Comunicare ECDL la PowerPoint Workshop, care se va desfăşura în data de 9 decembrie.

Următoarea ediţie va avea loc la începutul lunii februarie. Vă aşteptăm şi atunci!

Editia 2 - LEC Technology Meetings

Din motive tehnice cea de-a doua ediţie LEC - Technology Meetings se va defăşura sâmbătă, 12 decembrie. Intervalul orar va rămâne acelaşi, 18.30 - 20.30, însă cel mai probabil locaţia va fi alta. Vom anunţa noua locaţie cât mai curând posibil.

În cazul în care cineva a făcut o rezervare pentru data de 19 noiembrie aceasta va fi valabilă şi pentru data de 12 decembrie.

Google Wave

Ştiţi de Google Wave? Este cel mai nou proiect Google, definit de utilizatori ca fiind un instrument online de comunicare şi colaborare în timp real.

Până în 2010, Google Wave va fi disponibil în varianta de testare beta. S-au trimis deja 100 000 de invitaţii, în septembrie, cu scopul de a primi sugestii de îmbunătăţire. Odată ce eşti pe "val", vei putea trimite mai departe şi tu invitaţii prietenilor tăi. Poţi solicita o invitaţie aici, însă nu garantez promptitudinea deoarece chiar ei declară: "Invitations will not be sent immediately. We have a lot of stamps to lick."

Şi totusi, de ce este atât de special?

Personal, imi place să cred că e un upgrade al e-mailurilor cu multe reply-uri: poţi comunica în timp real cu un grup de oameni. În momentul în care scrii în wave (acea căsuţă) ceilalţi văd asta şi pot veni în acelaşi timp cu feedback: idei, imagini, videoclipuri, URL-uri, hărţi şi alte aplicaţii.

Dacă eşti interesat să afli mai multe despre Google Wave, poţi găsi informaţii pe pagina lor de prezentare sau poţi urmări următorul filmuleţ:


Ca şi utilizator Wave, tu ce beneficii ai mai descoperit în Google Wave?

LEC Technology Meetings editia 2

Cea de-a doua editie a seriei de evenimente LEC Technology Meetings se va desfasura joi, 19 noiembrie, incepand cu ora 18.30, in club Maya. Daca prima editie a fost dedicata technologiei Java, aceasta editie va fi dedicata PHP-ului. Deocamdata sunt confirmate urmatoarele prezentari:

Web Services - Core of Web 2.0 Social Media Communication. Chewing up Google, Yahoo and Twitter APIs with PHP
Speaker: Dumitru Glavan, trainer LEC

Past and Future - Vim & Zend Framework
Speaker: Tudor Barbu, trainer LEC

Fiecare prezentare va dura intre 30 si 40 de minute, iar continutul va fi strict legat de elemente practice si de noutate.

Cand si unde ?
Evenimentul se va desfasura joi19 noiembrie, intre orele 18.30 si 20.30, in club Maya (Calea Mosilor nr. 138). Mai jos aveti o harta cu locatia exacta.

Cat costa ?
Nu costa nimic, decat eventuala consumatie care se va face de la bar.

Ce trebuie sa fac pentru a ma inscrie ?
Pentru inscrieri trebuie sa trimiteti un mail pe adresa daniel.nastase@leconline.ro cu subiectul LEC Technology Meetings - editia 2, in care va spuneti numele si eventual daca veti mai veni si cu alti insotitori. Numarul de locuri este limitat la 40, iar inscrierile se vor face in ordinea mail-urilor primite. Dupa ce veti trimite mail, veti primi si din partea mea un mail de confirmare, daca mai sunt locuri sau nu.

Poate veni oricine ?
Da. Acesta este un eveniment deschis, la care poate participa oricine este interesat de subiect. Pot participa atat cei care au urmat cursurile LEC , cat si prieteni de ai vostri.

Share and win!

Începând cu data de 21 noiembrie, se vor forma grupe noi pentru următoarele traininguri:

• 21 noiembrie - Java Fundamentals
• 23 noiembrie - PHP Advanced
• 7 decembrie - Excel for Business
• 9 decembrie - Microsoft PowerPoint Workshop

Vrei să câştigi un training Line Education Center, la alegerea ta? Dacă da, uite ce îţi propunem să faci:

Scrie pe blogul tău un articol despre trainingurile noastre. Prezintă-le şi demonstrează-le cititorilor tăi beneficiile şi avantajele cursurilor LEC. Iar dacă i-ai convins, spune-le ca atunci când se vor înscrie la un training LEC să mentioneze la rubrica "Observaţii" ca de la tine au aflat. Şi nu uita să postezi la comentariile acestui articol linkul către blogul tău.

Creativitatea ta va fi măsurata şi recompensată prin numărul de prieteni care vor lua parte la un training LEC, începând cu data de 21 noiembrie.

Aşadar, cine reuşeşte să convingă câţi mai mulţi prieteni să participe la un training LEC, va beneficia la rândul lui de un curs LEC la alegere.

Aşteptăm comentariile tale. Share and win!

Iar câştigătorii de la How To Web sunt..

..Simian Mihnea, student la Facultatea de Automatică şi Calculatoare şi Radu Ioana, studentă la Facultatea de Matematică şi Informatică. Aceştia vor beneficia de un training gratuit de la Line Education Center.

Mulţumim celor care şi-au manifestat interesul pentru trainingurile noastre şi sperăm să ne întâlnim şi la alte astfel de evenimente! De asemenea, felicitări echipei How To Web!