پایگاه خبری تحلیلی اخبار محرمانه

آخرين مطالب

پروتکل HTTPS گاهی به‌اندازه کافی امن نیست اخبار محرمانه از منابع دیگر

پروتکل HTTPS گاهی به‌اندازه کافی امن نیست

  بزرگنمايي:

اخبار محرمانه - به گزارش گرداب ، استفاده‌ی گسترده از پروتکل امنیتی HTTPS موجب شده قفل‌های سبزرنگ را در بسیاری از وب‌سایت‌ها در سرتاسر جهان شاهد باشیم. بسیاری از وب‌سایت‌های پربازدیدی که روزانه به آن‌ها سر می‌زنید، از پروتکلی به‌نام پروتکل امنیتی لایه‌ی انتقال (Transport Layer Security) یا به‌اختصار TLS بهره می‌برند. این پروتکل داده‌های مبادله شده میان مرورگر و سِرور را رمزنگاری می‌کند تا از دید افراد دیگر مخفی بماند؛ اما جدیدترین یافته‌های محققان دانشگاه کافوسکاری ونیز در ایتالیا و دانشگاه تکنیکال وین در اتریش نشان داده که تعداد درخورتوجهی از وب‌سایت‌های رمزنگاری‌شده همچنان در معرض خطر هستند.
در تحلیل 10,000 وب‌سایت اول بهره‌مند از این پروتکل بر اساس شرکت تحلیل الکسا که به آمازون تعلق دارد، 550 وب‌سایت (5.5 درصد) آسیب‌پذیری‌های جدی مربوط به TLS داشتند. این مشکلات ناشی از نحوه‌ی اجرای TLS و باگ‌های شناخته‌شده‌ی این پروتکل و نسل قبل آن (Secure Socket Layer (SSL است. باوجوداین، بدترین قسمت ماجرا آن است که در این وب‌سایت‌ها همچنان قفل سبزرنگ نمایان می‌شود.
ریکاردو فوکاردی، محقق امنیت شبکه و رمزنگاری در دانشگاه کافوسکاری ونیز می‌گوید:
" ما چیزهایی یافته‌ایم که مرورگر نیز شناسایی نمی‌کند. ما به دنبال مشکلاتی از TLS هستیم که تاکنون به آن‌ها اشاره‌ای نشده‌ است "
این محققان تکنیکی برای تحلیل TLS توسعه داده‌اند که می‌تواند با بررسی وب‌سایت‌ها مشکلات TLS آن‌ها را گزارش دهد. محققان نفوذپذیری‌های کشف‌شده را در سه دسته طبقه‌بندی کردند. نتایج کامل تحقیقات این محققان در بخش امنیت و حریم شخصی سمپوزیم IEEE ارائه خواهد شد که ماه بعد در سان‌فرانسیسکو برگزار می‌شود.
همان‌طور که گفته شد، محققان آسیب‌پذیری‌ها را به سه دسته تقسیم کردند. دسته‌ی اول نقیصه‌هایی هستند که خطرهایی به همراه دارند؛ اما به‌تنهایی مهاجمان نمی‌توانند از آن استفاده کنند. اطلاعات به‌دست‌آمده از طریق این آسیب‌پذیری‌ها بسیار اندک‌ است و مهاجم باید جستار (Query) را چندین بار اجرا کند تا قطعات به‌دست‌آمده را کنار هم بگذارد و به اطلاعات دست یابد. برای مثال، این نفوذپذیری‌ها ممکن است به مهاجم امکان دسترسی به کوکی را بدهد؛ اما دسترسی به کوکی به‌تنهایی برای به دست آوردن اطلاعات مهم، مانند رمز عبور، چندان کارا نیست.
مشکلات در دو دسته‌ی دیگر بسیار جدی‌تر هستند. دسته‌ی دوم می‌تواند به دسترسی مهاجم به تمام اطلاعات و رمزگشایی تمام ترافیک میان مرورگر و سِرور منجر شود. بدتر از همه، وضعیت دسته‌ی سوم است که به مهاجم نه‌تنها اجازه‌ی رمزگشایی تمام ترافیک، بلکه اجازه‌ی تغییر آن را نیز می‌دهد. نکته‌ی طعنه‌آمیز اینجا است که پروتکل HTTPS از ابتدا برای مقابله با این‌ نوع حملات طراحی شده که به «حملات مرد میانی» (Man-in-the-Middle) موسوم‌اند.
این آسیب‌پذیری‌ها در عمل شاید چندان هم بحرانی نباشند؛ زیرا بسیاری از آن‌ها زحمت و زمان بیشتری در مقایسه ‌با سایر روش‌ها و نفوذپذیری‌ها می‌طلبند؛ اما مشکلات امنیتی TLS همچنان موضوع مهمی است. امروزه، امنیت و حریم شخصی در فضای مجازی اهمیتی دوچندان پیدا کرده و باید از امنیت کامل پروتکل‌های پرکاربرد و پایه‌ای مطمئن شد.
محققان می‌گویند یکی از فرضیات آنان دراین‌زمینه آن است که مشکلات ریز امنیتی TLS در صفحه‌ی وب می‌تواند بسیاری از صفحات دیگر را نیز تهدید کند. برای مثال، فرض کنید صفحه‌ی اصلی Example.com بدون مشکل و TLS داشته باشد؛ اما mail.example.com آسیب‌پذیری‌های TLS داشته باشد. با توجه ‌به ارتباط این دو، تمامی ارتباطات مطمئن این دو هم تضعیف می‌شود؛ بدین ترتیب، آسیب‌پذیری کوچکی به‌واسطه‌ی لینک‌ها و ارتباط‌ها تقویت می‌شود.
در فضای امروزی وب، بسیاری از وب‌سایت‌ها به یکدیگر وابسته هستند و ارتباطات میان وب‌سایت‌ها و وب‌سرویس‌ها بسیار زیاد است. برای درک این موضوع کافی است بدانید در آن جمعیت 5.5 درصدی از 10,000 وب‌سایت برتر که آسیب‌پذیر تشخیص داده شدند، 292 وب‌سایت تحت تأثیر مستقیم باگ TLS و 5,282 در معرض آسیب‌پذیری ناشی‌ از سایر ‌وب‌سایت‌ها قرار داشتند. از این تعداد، بیش از 4,800 وب‌سایت در دسته‌ی سوم (خطرناک‌ترین) و 733 وب‌سایت در دسته‌ی دوم و 912 وب‌سایت در دسته‌ی اول (کمترین خطر) قرار می‌گیرند.
این موضوع بدین معنا است که وب‌سایت شما به‌اندازه‌ی ضعیف‌ترین لینک آن امنیت دارد. محققان فوسکاری مشغول ساخت ابزاری مبتنی بر تحقیقاتشان هستند که توانایی تشخیص آسیب‌پذیری‌های TLS را دارد.
با توجه ‌به گستردگی استفاده‌ی TLS و SSL در سرتاسر وب و تبدیل‌شدن آن به استانداردی امنیتی، هرگونه آسیب‌پذیری آن باید جدی تلقی شود. علاوه ‌بر آن، بسیاری از گواهینامه‌های TLS و SSL به همراه بیمه‌ی ضد هک فروخته می‌شوند؛ بیمه‌ای که از چند ده‌ هزار یورو آغاز می‌شود و به یک‌میلیون یورو هم می‌رسد. این آسیب‌پذیری‌ها به دلیل پرونده‌های حقوقی احتمالی و ادعاهای دریافت بیمه می‌تواند زنگ خطری برای صادرکنندگان (Issuer) این گواهینامه‌ها تلقی شود.
منبع: زومیت




نظرات شما

ارسال دیدگاه

Protected by FormShield

ساير مطالب

مربی گلرهای استقلال انتخاب شد

ژاپن اتهامات آمریکا علیه ایران را رد کرد

آخرین صحبت طارمی درمورد بازگشت به پرسپولیس

واکنش کی‌روش پس از غلبه تیمش بر آرژانتین

یک سیاه‌باز منتظر است جای برانکو را بگیرد

ازدواج اسطوره منچستر در حضور فرزندش +عکس

شکست مسی و یارانش مقابل شاگردان کی‌روش

گام هیات مدیره پرسپولیس برای بازگشت برانکو

شرط استقلال برای حضور یک پرسپولیسی روی نیمکت

چرا استراماچونی به درد استقلال می‌خورد؟

عامل آشفتگی سینمای ایران از دید یک کارگردان

خواستگار ناکام خانواده دختر را به گلوله بست

ائتلاف سعودی یک روستا را در غرب یمن آتش زد +عکس

ابلاغ پیام تسلیت رهبر انقلاب در پی درگذشت رئیس خیرین مدرسه‌ساز

نیوزویک: اسرائیل،‌ امارات و عربستان می‌توانند عامل حادثه نفتکش‌ها باشند

گران‌ترین ترکیب تیم فوتبال جهان

امتیازآورترین بازیکن دیدار ایران و لهستان

پهپادهای یمن فرودگاه‌های ابهاء و جیزان را هدف قرار دادند

دیدار روحانی با تولیت آستان قدس +عکس

شرکت سفیر انگلیس در اغتشاشات 88

کولاکوویچ: بازیکنان قهرمان‌های واقعی ایران هستند

اخبار تازه از قیمت لبنیات، خودرو و لاستیک

ورزشگاه آزادی ترسناک‌ترین استادیوم آسیا شد

سفیر انگلیس به وزارت خارجه ایران احضار شد

فارین افرز: ترامپ سقوط آمریکا را سرعت می‌بخشد

خط دفاعی تراکتور تکمیل شد +عکس

به شماره افتادن روزهای حضور بولتون در دولت آمریکا

فیلم/ رستوران لاکچری در شمال تهران

ایران 3 – لهستان 2؛ ایران با برد نفس گیر صدرنشین ماند

سرمربی لهستان، معروف را به کافی شاپ دعوت کرد

فدراسیون والیبال لهستان عذرخواهی کرد

موشک یمن باز هم عربستان را هدف قرار داد

پشت پرده برنامه هسته‌ای عربستان

عرب: خیال هواداران راحت

نگرانی‌های ترکیه از تحریم‌های احتمالی آمریکا

با فرزندی که محتوای غیراخلاقی می بیند، چگونه رفتار کنیم؟

جشن تولدی که تبدیل به دعوا شد

انصارالله: «جنگ بزرگ» در داخل عربستان در راه است

وقوع انفجاری مهیب در دمشق

دلیل بستری شدن علی پروین در بیمارستان

بلاتکلیفی پرسپولیس درباره ستاره نوظهورش

آخرین وضعیت بیرانوند در پرسپولیس

پسری که برای نجات جان پدرش، غذا می‌خورد!

راز فارسی نبودن و ناخوانا بودن نسخه‌های پزشکان

واکنش مدیر سابق استقلال به محرومیت 5 ساله

تکرار طرح "فریب و مذاکره" صدام، توسط ترامپ

پانادیچ: برانکو بهترین تصمیم را می‌گیرد

محاسبات غلط ترامپ درباره ایران

وعده حقوق‌ بالا برای فریب گارسون‌های خوش‌تیپ

قیمت انواع سکه در بازار امروز