پیام ویژه

آخرين مطالب

رمزنگاری HTTPS آنقدرها که به نظر می‌رسد امن نیست خواندنی ها

رمزنگاری HTTPS آنقدرها که به نظر می‌رسد امن نیست
  بزرگنمايي:

پیام ویژه - دیجیاتو / متد رمزنگاری HTTPS به افزوده شدن انبوهی از قفل‌های سبز رنگ به صفحات وب و البته محافظت از اطلاعات درون آن‌ها منجر شده است. تمام سایت‌های محبوبی که به صورت روزانه به آن‌ها سر می‌زنید به احتمال زیاد از یک خط دفاعی به نام «امنیت لایه انتقال» یا «TLS» برخوردار هستند که اطلاعات را میان مرورگر شما و وب سروری که با آن در ارتباط هستید رمزنگاری می‌کند تا از برنامه‌های سفرتان، رمزهای عبور و سرچ‌هایتان در گوگل در برابر مهاجمین محافظت شود. اما یافته‌های جدید محققان دانشگاه کا فوسکاری ونیز نشان می‌دهد که شمار غافلگیرکننده‌ای از سایت‌های رمزنگاری شده، این ارتباطات را در معرض حمله هکرها قرار داده‌اند.
با تحلیل 10 هزار سایت HTPPS برتر -براساس رده‌بندی کمپانی آماری الکسا که متعلق به آمازون است- محققان دریافته‌اند که 5.5 درصد از آن‌ها از آسیب‌پذیری‌های TLS رنج می‌برند. این نواقص ناشی از ترکیبی از مشکلاتی است که هنگام تعبیه رمزنگاری TLS در سایت بروز کرده‌اند و ضمنا برخی از باگ‌های از پیش شناسایی شده TLS نیز برطرف نشده‌اند. اما بدترین نکته اینست که علی‌رغم وجود این نواقص و آسیب‌پذیری‌ها، علامت قفل سبز رنگ همچنان کنار آدرس سایت‌ها به نمایش در می‌آمده‌ است.
ریکاردو فوکاردی، محقق امنیت شبکه و رمزنگاری در دانشگاه کا فوسکاری ونیز که هم‌موسس شرکت Cryptosense نیز بوده می‌گوید: «ما در مقاله فرض را بر این گذاشتیم که مرورگر کاملا به روز است، اما چیزهایی یافتیم که مرورگر قادر به شناسایی‌شان نبود. این‌ها نواقصی هستند که برطرف نشده‌اند و حتی مورد توجه هم قرار نگرفته‌اند. ما می‌خواستیم این مشکلات را در سایت‌های مبتنی بر TLS بیابیم که هنوز هیچ اطلاعاتی راجع به نواقص به کاربران نداده‌اند».
محققان که یافته‌های کامل خود را در گردهمایی IEEE در زمینه امنیت و حریم شخصی طی ماه مه آتی منتشر خواهند کرد، تکنیکی برای تحلیل TLS توسعه داده‌اند و ضمنا از ادبیات رمزنگاری از پیش موجود برای شناسایی مشکلات TLS در 10 هزار سایت برتر استفاده کرده‌اند. و براساس یافته‌ها، آسیب‌پذیری‌ها در چند بخش دسته‌بندی شده‌اند.
برخی از نواقص ریسک خاصی به همراه دارند، اما هکر نمی‌تواند به صورت کامل بر آن‌ها متکی باشد. این بدان خاطر است که این نواقص یک کوئری واحد را برای چندین مرتبه به جریان می‌اندازند و اطلاعات به صورت بسیار قطره‌ای قابل استخراج خواهد بود. این باگ‌ها می‌توانند به هکر در رمزگشایی چیزی مانند کوکی نشست کمک کنند، چرا که کوکی‌ها احتمالا همراه با هر کوئری در سایت ارسال شوند، اما در زمینه‌هایی مانند استخراج رمز عبور چندان کارآمد نیستند.
باگ‌های موجود در دسته‌بندی بعدی اما اندکی شیطانی‌تر ظاهر می‌شود. آسیب‌پذیری‌های این دسته‌بندی، کانال‌های رمزنگاری ضعیف‌تری میان مرورگر و وب سرور دارند و به مهاجم اجازه می‌دهد تا تمام ترافیکی که میان این دو در جریان است را رمزگشایی کنند. بدتر از همه نیز، کانال‌هایی را داریم که نه‌تنها به هکرها اجازه می‌دهد تمام ترافیک را رمزگشایی کنند، بلکه امکان دستکاری ترافیک را نیز مهیا می‌سازند. این‌ها در واقع فونداسیونی برای «حملات مرد میانی» به حساب می‌آیند که رمزنگاری HTTPS اصلا برای مقابله با همان‌ها توسعه یافته بود.
نواقصی که محققان یافته‌اند در عمل لزوما آسیب‌پذیری‌هایی حیاتی به حساب نمی‌آیند. این را کن وایت، مهندس امنیت و مدیر پروژه Open Crypto Audit می‌گوید. اکثر این نواقص را می‌توان مورد سوء استفاده قرار داد، اما از آن‌جایی که نیاز تلاش فراوان هستند شاید به مذاق هکرها خوش نیایند. اما وایت در هر صورت تاکید می‌کند که این یافته‌ها بسیار مهم تلقی شده و می‌توانند بخش از یک تلاش بزرگ‌تر برای تمیز کردن وب باشند.


نظرات شما

ارسال دیدگاه

Protected by FormShield

ساير مطالب

سرازیر شدن فاضلاب ها به دریاچه اوان نگران کننده است

تقدیر از برگزیدگان اولین دوره انتخاب کتاب برتر تنوع زیستی

اعظم طالقانی, بانویی از نسل انقلاب

لزوم توجه به سلامت روانی و معنوی زنان در بحران کرونا

افتتاح جشنواره "دختران امروز_خانواده_گذر از کرونا"

داغ شدن بازار انتخابات در آمریکا

رئیس‌جمهور: بی‌احترامی به پیامبر ضداخلاق است/از مقام معظم رهبری تشکر می‌کنم

وزیر ارشاد دولت دهم: نباید مناقشات به این سطح برسد که آرزوی اعدام یک مسئول در نظام اسلامی شود/ نباید مناظره های آمریکا الگوی ما باشد/ نیازی به فحاشی، هتاکی، تحقیر و تمسخر نیست

عضو مجلس خبرگان رهبری: در شرایطی که یک داروی ساده را هم نمی توانیم پیدا کنیم، وقت دعوا نیست/ مجلس بهتر است روی مشکلات کشور تمرکز کند نه دعواهای سیاسی/ باید مرز ادب را رعایت کنیم

نمکی درباره واکسن کرونا: اوایل سال آینده خبر خوش می‌دهیم

415 بیمار کرونا در 24 ساعت گذشته جان باختند

«مطالبات برانکو از پرسپولیس تسویه شد»

طرح معیشت ملی از جیب بازنشستگان تامین اجتماعی!

واکنش ظریف به خبر تبادل 2 جاسوس بازداشتی با آمریکا

ماسک هم به اندازه‌ی روسری مهم است

کافرند یا نه!؟

روحانی: نفس‌های آخر تحریم‌های آمریکاست

چرا ممکن است نظرسنجی‌ها درباره انتخابات 2020 غلط از آب در آید؟

یادداشت فرخ نگهدار به یاد هرمز انصاری

نامه‌ی تاجگردون به نمایندگان درباره فساد خیریه‌ها

قالیباف از چه کسی کرونا گرفت؟

وزیر دفاع: دشمنان در حال رصد ما هستند

در دیدار رئیسی با سفیر سوریه چه گذشت؟

برنده کیست؟

مسئولان به بازار بورس سروسامان بدهند

طرح الزام دولت به پرداخت یارانه تامین کالاهای اساسی تصویب شد

جیب‌بری حرفه‌ای از یک دختر جوان

پویش استغفار جمعی برای مبارزه با کرونا در یزد

انعام تلخ!

علت ناکامی در مقابله با کرونا از زبان وزیر بهداشت

واکنش سازمان انتقال خون به پلاسمافروشی بهبودیافتگان کرونا

رئیس جمهور: حرف ستاد ملی کرونا باید زبان واحد داشته باشد

توضیح وزیر بهداشت به تست واکسن کرونا بر روی ایرانیان

25 نفر از متهمان معاملات فردایی ارز و سکه دستگیر شدند

خبر خوش رئیس‌جمهور به کادر درمان

واکسن آنفلوآنزا در برابر کرونا محافظت ایجاد خواهد کرد؟

آغاز مرحله دوم حمایت از پیام رسان‌های داخلی

فرار قبرکن با سکه های عتیقه

راه اندازی گشت های مشترک تاکسیرانی با پلیس راهور

سهم تهران از فوتی‌های روزانه کرونا چقدر است؟

مرگبارترین بزرگراه‌های پایتخت اعلام شد

فراخوان وزارت ارشاد اسلامی برای تولید و نشر محتوا با موضوع هفته وحدت

کارنامه آزمون های ارشد و دکتری دانشگاه آزاد منتشر شد

ماجرای مرموز جان باختن پسر جوان

دختران گمشده جمعه‌بازار یاسوج پیدا شدند

خبرهای تازه وزیر بهداشت درباره واکسن ایرانی کرونا

گلایه رئیس شورای شهر تهران از ستاد ملی کرونا

تعرض دندانپزشک قلابی به 13زن

رکورد هفتگیِ مبتلایان به کرونا در جهان شکسته شد

محدودیت های کرونایی تا چه میزان اجرا می شود؟