Un debugger HTTPS (Hypertext Transmission Protocol secure) è un programma software progettato per scansionare e analizzare il linguaggio di markup ipertestuale (HTML) su cui sono costruiti i siti web. Trova errori nel codice che lo renderebbero vulnerabile agli attacchi. HTTPS è una suddivisione speciale del protocollo di trasferimento ipertestuale in generale che include la crittografia dei trasferimenti di dati avanti e indietro tra siti Web e utenti, nonché l’autenticazione di siti Web e posizioni dei server di rete per evitare attività fraudolente come il phishing. Il phishing è una pratica in cui copie false di siti Web legittimi tentano di ottenere informazioni personali e dati finanziari dai visitatori e un debugger HTTPS è progettato per impedirlo assicurandosi che un sito Web soddisfi gli standard di sicurezza.
Il protocollo HTTPS incorpora quello che è noto come secure sockets layer (SSL) per la “S” nel termine. Un sito Web che utilizza SSL sta crittografando tutti i dati che vengono inviati avanti e indietro da esso, in modo che non possano essere intercettati e compresi da nessuno durante il viaggio tranne che per il destinatario previsto. L’utente che interagisce con il sito Web avrà un programma di chiave di decrittazione integrato per restituire i dati alla normale leggibilità. L’utilizzo di uno strumento di debug HTTPS consentirà a un progettista di siti Web di vedere come appaiono tutti questi dati crittografati mentre vengono trasferiti avanti e indietro sul sito, nonché l’intestazione del file solitamente nascosta, i cookie e le informazioni sulla cache di memoria allegate ai file e tutto il traffico Internet.
Esistono online sia versioni gratuite che commerciali del software di convalida HTTPS. Un aspetto importante di qualsiasi debugger HTTPS è che deve tenere conto di ciò che viene fatto anche sul lato server del traffico Internet. Gli schemi di codifica per i siti Web che utilizzano pagine server attive (ASP) o un preprocessore ipertestuale (PHP) sono progetti in cui l’attività viene avviata da un visitatore del sito Web, ma in realtà viene eseguita tramite programmi situati sul server. Un debugger PHP, quindi, analizza ciò che è noto come caching lato server, in cui le informazioni HTML e del browser sono archiviate nella memoria del server, che può anche avere problemi di sicurezza propri.
Uno dei principali principi alla base di un debugger HTTPS è che esamina la convalida dei certificati lato server. Un certificato lato server è archiviato su un server per un sito Web noto e attendibile. Quando il browser di un utente viene indirizzato a quel sito Web, il codice HTTPS esamina il certificato per assicurarsi che sia valido. Se non viene riconosciuto, il sito Web potrebbe, infatti, essere fraudolento e il debugger HTTPS è progettato per assicurarsi che la funzionalità di questo sito Web funzioni correttamente e che l’utente venga avvisato quando un certificato non corrisponde ai parametri previsti. Un limite di questa sicurezza è che i certificati digitali devono essere acquistati da un’autorità di certificazione (CA) e i siti Web di piccole imprese spesso non si preoccupano di ottenerli o lasciano scadere quelli che hanno.
La diversità dei linguaggi di scripting utilizzati per il web design interattivo, dai fogli di stile a cascata (CSS) al javascript e all’extensible markup language (XML), ha alimentato la creazione di molteplici tipi di debugger di codice. Sebbene alcuni programmi di editor HTTPS possano analizzare una varietà di linguaggi di scripting, potrebbe essere necessario un debugger javascript, un debugger XML o un debugger CSS per ottenere un risultato più accurato di ciò che non va nel codice del sito web. Nessun programma di debug è mai adeguato per trovare tutti gli errori, per proteggere completamente un sito Web dagli attacchi o per proteggere gli utenti che lo visitano. Poiché hacker e criminali trovano continuamente modi per aggirare le misure di sicurezza, il debugger HTTPS deve essere migliorato per mettere in atto misure appropriate per prevenire l’intrusione in attività online legittime.