1398-01-14
اخبار
بازدید : 775
وجود آسیبپذیریهایی در پروتکل امنیتی HTTPS
پروتکل HTTPS گاهی بهاندازه کافی امن نیست
بسیاری از ما با مشاهدهی علامت قفل سبز درکنار آدرس وبسایتها، احساس امنیت میکنیم؛ اما یافتههای جدید از وجود آسیبپذیریهایی در پروتکل امنیتی HTTPS حکایت میکنند.
استفادهی گسترده از پروتکل امنیتی HTTPS موجب شده قفلهای سبزرنگ را در بسیاری از وبسایتها در سرتاسر جهان شاهد باشیم. بسیاری از وبسایتهای پربازدیدی که روزانه به آنها سر میزنید، مانند زومیت، از پروتکلی بهنام پروتکل امنیتی لایهی انتقال (Transport Layer Security) یا بهاختصار TLS بهره میبرند. این پروتکل دادههای مبادلهشده میان مرورگر و سِرور را رمزنگاری میکند تا از دید افراد دیگر مخفی بماند؛ اما جدیدترین یافتههای محققان دانشگاه کافوسکاری ونیز در ایتالیا و دانشگاه تکنیکال وین در اتریش نشان داده که تعداد درخورتوجهی از وبسایتهای رمزنگاریشده همچنان درمعرض خطر هستند.
در تحلیل ۱۰,۰۰۰ وبسایت اول بهرهمند از این پروتکل براساس شرکت تحلیل الکسا که به آمازون تعلق دارد، ۵۵۰ وبسایت (۵.۵ درصد) آسیبپذیریهای جدی مربوطبه TLS داشتند. این مشکلات ناشی از نحوهی اجرای TLS و باگهای شناختهشدهی این پروتکل و نسل قبل آن (Secure Socket Layer (SSL است. باوجوداین، بدترین قسمت ماجرا آن است که در این وبسایتها همچنان قفل سبزرنگ نمایان میشود.
ریکاردو فوکاردی، محقق امنیت شبکه و رمزنگاری در دانشگاه کافوسکاری ونیز میگوید:
ما چیزهایی یافتهایم که مرورگر نیز شناسایی نمیکند. ما بهدنبال مشکلاتی از TLS هستیم که تاکنون به آنها اشارهای نشده است.
این محققان تکنیکی برای تحلیل TLS توسعه دادهاند که میتواند با بررسی وبسایتها مشکلات TLS آنها را گزارش دهد. محققان نفوذپذیریهای کشفشده را در سه دسته طبقهبندی کردند. نتایج کامل تحقیقات این محققان در بخش امنیت و حریم شخصی سمپوزیم IEEE ارائه خواهد شد که ماه بعد در سانفرانسیسکو برگزار میشود.
همانطورکه گفته شد، محققان آسیبپذیریها را به سه دسته تقسیم کردند. دستهی اول نقیصههایی هستند که خطرهایی بههمراه دارند؛ اما بهتنهایی مهاجمان نمیتوانند از آن استفاده کنند. اطلاعات بهدستآمده ازطریق این آسیبپذیریها بسیار اندک است و مهاجم باید جستار (Query) را چندینبار اجرا کند تا قطعات بهدستآمده را کنارهم بگذارد و به اطلاعات دست یابد. برای مثال، این نفوذپذیریها ممکن است به مهاجم امکان دسترسی به کوکی را بدهد؛ اما دسترسی به کوکی بهتنهایی برای بهدستآوردن اطلاعات مهم، مانند رمز عبور، چندان کارا نیست.
مشکلات در دو دستهی دیگر بسیار جدیتر هستند. دستهی دوم میتواند به دسترسی مهاجم به تمام اطلاعات و رمزگشایی تمام ترافیک میان مرورگر و سِرور منجر شود. بدتر از همه، وضعیت دستهی سوم است که به مهاجم نهتنها اجازهی رمزگشایی تمام ترافیک، بلکه اجازهی تغییر آن را نیز میدهد. نکتهی طعنهآمیز اینجا است که پروتکل HTTPS از ابتدا برای مقابله با این نوع حملات طراحی شده که به «حملات مرد میانی» (Man-in-the-Middle) موسوماند.
این آسیبپذیریها در عمل شاید چندان هم بحرانی نباشند؛ زیرا بسیاری از آنها زحمت و زمان بیشتری درمقایسهبا سایر روشها و نفوذپذیریها میطلبند؛ اما مشکلات امنیتی TLS همچنان موضوع مهمی است. امروزه، امنیت و حریم شخصی در فضای مجازی اهمیتی دوچندان پیدا کرده و باید از امنیت کامل پروتکلهای پرکاربرد و پایهای مطمئن شد.
محققان میگویند یکی از فرضیات آنان دراینزمینه آن است که مشکلات ریزامنیتی TLS در صفحهی وب میتواند بسیاری از صفحات دیگر را نیز تهدید کند. برای مثال، فرض کنید صفحهی اصلی Example.com بدون مشکل و TLS داشته باشد؛ اما mail.example.com آسیبپذیریهای TLS داشته باشد. باتوجهبه ارتباط این دو، تمامی ارتباطات مطمئن این دو هم تضعیف میشود؛ بدینترتیب، آسیبپذیری کوچکی بهواسطهی لینکها و ارتباطها تقویت میشود.
در فضای امروزی وب، بسیاری از وبسایتها به یکدیگر وابسته هستند و ارتباطات میان وبسایتها و وبسرویسها بسیار زیاد است. برای درک این موضوع کافی است بدانید در آن جمعیت ۵.۵ درصدی از ۱۰,۰۰۰ وبسایت برتر که آسیبپذیر تشخیص داده شدند، ۲۹۲ وبسایت تحتتأثیر مستقیم باگ TLS و ۵,۲۸۲ درمعرض آسیبپذیری ناشی از سایر وبسایتها قرار داشتند. از این تعداد، بیش از ۴,۸۰۰ وبسایت در دستهی سوم (خطرناکترین) و ۷۳۳ وبسایت در دستهی دوم و ۹۱۲ وبسای در دستهی اول (کمترین خطر) قرار میگیرند.
این موضوع بدینمعنا است که وبسایت شما بهاندازهی ضعیفترین لینک آن امنیت دارد. محققان فوسکاری مشغول ساخت ابزاری مبتنی بر تحقیقاتشان هستند که توانایی تشخیص آسیبپذیریهای TLS را دارد.
اخبار شبکه های کامپیوتری، شبکه های کامپیوتری، نصب و راه اندازی شبکه های کامپیوتری، پشتیبانی شبکه های کامپیوتری،پشتیبانی شبکه، شرکت پشتیبانی شبکه، قرارداد پشتیبانی شبکه، خدمات شبکه، راه اندازی شبکه، شرکت نصب و راه اندازی شبکه های کامپیوتری، نصب شبکه، راه اندازی شبکه، پشتیبانی شبکه، فروش سوئیچ سیسکو، سیسکو ریفر، فروش سرور اچ پی، سرور اچ پی dl380، سرور اچ پی dl360، سرور رکمونت اچ پی، سرور HP، راه اندازی سرور اچ پی، فروش سرور HP، بهترین قیمت سرور اچ پی،کمترین قیمت سرور اچ پی، تجهیزات سرور اچ پی، هارد sas، هارد سرور اچ پی، رم سرور اچ پی، پاور سرور اچ پی، سوئیچ 2960 سیسکو،لینک فروش سوئیچ های سیسکو، سوئیچ سیسکو ریفر، قیمت سوئیچ سیسکو، قیمت سوئیچ سیسکو ریفر، قیمت سوئیچ سیسکو نیو،سیسکو، بهترین قیمت سوئیچ سیسکو، سوئیچ شبکه سیسکو، ماژول سیسکو، ماژول استک سیسکو، stack ماژول، sfp ماژول، اکتیو شبکه، پسیوشبکه، زیرساخت شبکه، کابل کشی شبکه، پیمانکار شبکه، فروش تجهیزات شبکه
خدمات شبکه , نصب و راه اندازی شبکه , سرور , پشتیبانی شبکه , راه اندازی شبکه , اجرای شبکه , فروش تجهیزات شبکه , قرارداد پشتیبانی شبکه , راه اندازی اتاق سرور , راه اندازی سرور روم , اجرای زیرساخت شبکه ,