https پروٹوکول کا استعمال لازمی گوگل کا اعلان انٹرنیٹ بدل دے گا
کروم براؤزر جنوری 2016ء سے یہ پروٹوکول استعمال نہ کرنے والی ویب سائٹس پر ’’غیرمحفوظ‘‘ کا لیبل لگانے شروع کردے گا۔
حالیہ برسوں کے دوران محفوظ https کنکشن ( جو SSL یا اس کی بہتر شکل، TLS پروٹوکول استعمال کرتے ہیں)، یا بہ الفاظ دیگر ویب سائٹس کی تعداد تیزی سے بڑھی ہے۔ ان میں تفریح و تعلیم، سائنس اور ٹیکنالوجی کے علاوہ آن لائن میگزین سمیت بے شمار کاروباری ویب سائٹس شامل ہیں۔
ای کامرس ویب سائٹس کے سلسلے میں ہونے والی ادائیگیوں کو محفوظ بنانے کے علاوہ پروٹوکول لازمی کرنے کی اور بھی وجوہات ہیں۔ حال ہی میں گوگل نے اعلان کیا ہے کہ اس کا کروم براؤزر جنوری 2017ء سے یہ پروٹوکول استعمال نہ کرنے والی ویب سائٹس پر ''غیرمحفوظ'' کا لیبل لگانے شروع کردے گا۔
گوگل انٹرنیٹ سیکیورٹی کو بہتر بنانے کی غرض سے https پر زور دیتا آرہا ہے۔ اس کا حالیہ اعلان بھی آن لائن سیکیورٹی بہتر بنانے کے منصوبے کا حصہ ہے۔ ویب سائٹس کو https پروٹوکول کے استعمال پر 'مجبور' کرنے میں گوگل تنہا نہیں ہے ( موزیلا بھی اپنے فائرفوکس کے سلسلے میں اسی نوع کی پالیسی اختیار کرچکا ہے ) مگر وہ پہلی کمپنی ہے جس نے اس پالیسی کے اطلاق کی تاریخ متعین کردی ہے۔
سب سے بڑا سرچ انجن ہونے کی وجہ سے گوگل کے اس اعلان کے وسیع تر اثرات مرتب ہوں گے۔ سوال یہ پیدا ہوتا ہے کہ گوگل اور دوسرے سرچ انجن ایسا کیوں کررہے ہیں؟ دراصل کئی اسباب کی بنیاد پر https پروٹوکول بے حد اہمیت اختیار کرگیا ہے۔ ان اسباب کا اجمالی بیان ذیل کی سطور میں کیا جارہا ہے:
تصدیق و توثیق( Authentication): ابتدائی سطح پرhttps پروٹوکول کلائنٹ کمپیوٹر کے براؤزر سیشن اور ویب سائٹ کے درمیان ایک محفوظ سرنگ ( اینکرپٹڈ ٹنل) تخلیق کرتا ہے۔ کمپیوٹر اور ویب سائٹ کے درمیان اس ' سرنگ' میں سے گزرنے والی ٹریفک محفوظ ہوتی ہے۔ اگر کوئی ٹریفک کی روانی میں مخل ہونا چاہے تو ہہ محفوظ سرنگ اسے ویب سائٹ کے نقلی ورژن کا راستہ دکھا دیتی ہے۔ یوں سائبر حملے کے امکانات بے حد محدود ہوجاتے ہیں۔
ڈیٹا سیکیورٹی: https پروٹوکول استعمال کرنے کا مطلب یہ ہے کہ کمپیوٹر اور ویب سائٹ کے درمیان سفر کرنے والا ڈیٹا بشمول پاس ورڈ اور کریڈٹ کارڈ وغیرہ کے نمبر، انکرپٹڈ( رمزبند) ہے۔ انکرپشن( رمزبندی) کی وجہ سے ہیکرز کے لیے بھیجے جانے والے ڈیٹا تک رسائی حاصل کرنا انتہائی مشکل ہوجاتا ہے۔
کارڈ پروسیسرز کے لیے PCI DSS اسٹینڈرڈ بھی اس امر کا طالب ہوتا ہے کہ کارڈ ڈیٹا SSL یا TLS انکرپٹڈ کنکشنز کے ذریعے بھیجا جائے۔ اسی لیے https کئی برسوں سے ای کامرس کی ویب سائٹس کے لیے معیار بنا ہوا ہے۔
پراؤیسی: یہ مسئلہ پچھلے چند برسوں کے دوران اُجاگر ہوا ہے۔ https پروٹوکول نگرانی سے کسی حد تک بچاؤ مہیا کرتا ہے۔ کسی حد تک اس لیے کہ یہ جاننا آسان ہے کہ یوزر نے کس ویب سائٹ کا وزٹ کیا ہے، تاہم ویب سائٹ کے کن حصوں کا وزٹ کیا گیا ہے، یہ معلوم کرنا بہت مشکل ہوجاتا ہے۔
ای کامرس ویب سائٹس کے سلسلے میں ہونے والی ادائیگیوں کو محفوظ بنانے کے علاوہ پروٹوکول لازمی کرنے کی اور بھی وجوہات ہیں۔ حال ہی میں گوگل نے اعلان کیا ہے کہ اس کا کروم براؤزر جنوری 2017ء سے یہ پروٹوکول استعمال نہ کرنے والی ویب سائٹس پر ''غیرمحفوظ'' کا لیبل لگانے شروع کردے گا۔
گوگل انٹرنیٹ سیکیورٹی کو بہتر بنانے کی غرض سے https پر زور دیتا آرہا ہے۔ اس کا حالیہ اعلان بھی آن لائن سیکیورٹی بہتر بنانے کے منصوبے کا حصہ ہے۔ ویب سائٹس کو https پروٹوکول کے استعمال پر 'مجبور' کرنے میں گوگل تنہا نہیں ہے ( موزیلا بھی اپنے فائرفوکس کے سلسلے میں اسی نوع کی پالیسی اختیار کرچکا ہے ) مگر وہ پہلی کمپنی ہے جس نے اس پالیسی کے اطلاق کی تاریخ متعین کردی ہے۔
سب سے بڑا سرچ انجن ہونے کی وجہ سے گوگل کے اس اعلان کے وسیع تر اثرات مرتب ہوں گے۔ سوال یہ پیدا ہوتا ہے کہ گوگل اور دوسرے سرچ انجن ایسا کیوں کررہے ہیں؟ دراصل کئی اسباب کی بنیاد پر https پروٹوکول بے حد اہمیت اختیار کرگیا ہے۔ ان اسباب کا اجمالی بیان ذیل کی سطور میں کیا جارہا ہے:
تصدیق و توثیق( Authentication): ابتدائی سطح پرhttps پروٹوکول کلائنٹ کمپیوٹر کے براؤزر سیشن اور ویب سائٹ کے درمیان ایک محفوظ سرنگ ( اینکرپٹڈ ٹنل) تخلیق کرتا ہے۔ کمپیوٹر اور ویب سائٹ کے درمیان اس ' سرنگ' میں سے گزرنے والی ٹریفک محفوظ ہوتی ہے۔ اگر کوئی ٹریفک کی روانی میں مخل ہونا چاہے تو ہہ محفوظ سرنگ اسے ویب سائٹ کے نقلی ورژن کا راستہ دکھا دیتی ہے۔ یوں سائبر حملے کے امکانات بے حد محدود ہوجاتے ہیں۔
ڈیٹا سیکیورٹی: https پروٹوکول استعمال کرنے کا مطلب یہ ہے کہ کمپیوٹر اور ویب سائٹ کے درمیان سفر کرنے والا ڈیٹا بشمول پاس ورڈ اور کریڈٹ کارڈ وغیرہ کے نمبر، انکرپٹڈ( رمزبند) ہے۔ انکرپشن( رمزبندی) کی وجہ سے ہیکرز کے لیے بھیجے جانے والے ڈیٹا تک رسائی حاصل کرنا انتہائی مشکل ہوجاتا ہے۔
کارڈ پروسیسرز کے لیے PCI DSS اسٹینڈرڈ بھی اس امر کا طالب ہوتا ہے کہ کارڈ ڈیٹا SSL یا TLS انکرپٹڈ کنکشنز کے ذریعے بھیجا جائے۔ اسی لیے https کئی برسوں سے ای کامرس کی ویب سائٹس کے لیے معیار بنا ہوا ہے۔
پراؤیسی: یہ مسئلہ پچھلے چند برسوں کے دوران اُجاگر ہوا ہے۔ https پروٹوکول نگرانی سے کسی حد تک بچاؤ مہیا کرتا ہے۔ کسی حد تک اس لیے کہ یہ جاننا آسان ہے کہ یوزر نے کس ویب سائٹ کا وزٹ کیا ہے، تاہم ویب سائٹ کے کن حصوں کا وزٹ کیا گیا ہے، یہ معلوم کرنا بہت مشکل ہوجاتا ہے۔