سیاست و بازاریابی

آخرين مطالب

رمزنگاری HTTPS آنقدرها که به نظر می‌رسد امن نیست نکات خواندني

رمزنگاری HTTPS آنقدرها که به نظر می‌رسد امن نیست
  بزرگنمايي:

سیاست و بازاریابی - دیجیاتو / متد رمزنگاری HTTPS به افزوده شدن انبوهی از قفل‌های سبز رنگ به صفحات وب و البته محافظت از اطلاعات درون آن‌ها منجر شده است. تمام سایت‌های محبوبی که به صورت روزانه به آن‌ها سر می‌زنید به احتمال زیاد از یک خط دفاعی به نام «امنیت لایه انتقال» یا «TLS» برخوردار هستند که اطلاعات را میان مرورگر شما و وب سروری که با آن در ارتباط هستید رمزنگاری می‌کند تا از برنامه‌های سفرتان، رمزهای عبور و سرچ‌هایتان در گوگل در برابر مهاجمین محافظت شود. اما یافته‌های جدید محققان دانشگاه کا فوسکاری ونیز نشان می‌دهد که شمار غافلگیرکننده‌ای از سایت‌های رمزنگاری شده، این ارتباطات را در معرض حمله هکرها قرار داده‌اند.
با تحلیل 10 هزار سایت HTPPS برتر -براساس رده‌بندی کمپانی آماری الکسا که متعلق به آمازون است- محققان دریافته‌اند که 5.5 درصد از آن‌ها از آسیب‌پذیری‌های TLS رنج می‌برند. این نواقص ناشی از ترکیبی از مشکلاتی است که هنگام تعبیه رمزنگاری TLS در سایت بروز کرده‌اند و ضمنا برخی از باگ‌های از پیش شناسایی شده TLS نیز برطرف نشده‌اند. اما بدترین نکته اینست که علی‌رغم وجود این نواقص و آسیب‌پذیری‌ها، علامت قفل سبز رنگ همچنان کنار آدرس سایت‌ها به نمایش در می‌آمده‌ است.
ریکاردو فوکاردی، محقق امنیت شبکه و رمزنگاری در دانشگاه کا فوسکاری ونیز که هم‌موسس شرکت Cryptosense نیز بوده می‌گوید: «ما در مقاله فرض را بر این گذاشتیم که مرورگر کاملا به روز است، اما چیزهایی یافتیم که مرورگر قادر به شناسایی‌شان نبود. این‌ها نواقصی هستند که برطرف نشده‌اند و حتی مورد توجه هم قرار نگرفته‌اند. ما می‌خواستیم این مشکلات را در سایت‌های مبتنی بر TLS بیابیم که هنوز هیچ اطلاعاتی راجع به نواقص به کاربران نداده‌اند».
محققان که یافته‌های کامل خود را در گردهمایی IEEE در زمینه امنیت و حریم شخصی طی ماه مه آتی منتشر خواهند کرد، تکنیکی برای تحلیل TLS توسعه داده‌اند و ضمنا از ادبیات رمزنگاری از پیش موجود برای شناسایی مشکلات TLS در 10 هزار سایت برتر استفاده کرده‌اند. و براساس یافته‌ها، آسیب‌پذیری‌ها در چند بخش دسته‌بندی شده‌اند.
برخی از نواقص ریسک خاصی به همراه دارند، اما هکر نمی‌تواند به صورت کامل بر آن‌ها متکی باشد. این بدان خاطر است که این نواقص یک کوئری واحد را برای چندین مرتبه به جریان می‌اندازند و اطلاعات به صورت بسیار قطره‌ای قابل استخراج خواهد بود. این باگ‌ها می‌توانند به هکر در رمزگشایی چیزی مانند کوکی نشست کمک کنند، چرا که کوکی‌ها احتمالا همراه با هر کوئری در سایت ارسال شوند، اما در زمینه‌هایی مانند استخراج رمز عبور چندان کارآمد نیستند.
باگ‌های موجود در دسته‌بندی بعدی اما اندکی شیطانی‌تر ظاهر می‌شود. آسیب‌پذیری‌های این دسته‌بندی، کانال‌های رمزنگاری ضعیف‌تری میان مرورگر و وب سرور دارند و به مهاجم اجازه می‌دهد تا تمام ترافیکی که میان این دو در جریان است را رمزگشایی کنند. بدتر از همه نیز، کانال‌هایی را داریم که نه‌تنها به هکرها اجازه می‌دهد تمام ترافیک را رمزگشایی کنند، بلکه امکان دستکاری ترافیک را نیز مهیا می‌سازند. این‌ها در واقع فونداسیونی برای «حملات مرد میانی» به حساب می‌آیند که رمزنگاری HTTPS اصلا برای مقابله با همان‌ها توسعه یافته بود.
نواقصی که محققان یافته‌اند در عمل لزوما آسیب‌پذیری‌هایی حیاتی به حساب نمی‌آیند. این را کن وایت، مهندس امنیت و مدیر پروژه Open Crypto Audit می‌گوید. اکثر این نواقص را می‌توان مورد سوء استفاده قرار داد، اما از آن‌جایی که نیاز تلاش فراوان هستند شاید به مذاق هکرها خوش نیایند. اما وایت در هر صورت تاکید می‌کند که این یافته‌ها بسیار مهم تلقی شده و می‌توانند بخش از یک تلاش بزرگ‌تر برای تمیز کردن وب باشند.


نظرات شما

ارسال دیدگاه

Protected by FormShield

ساير مطالب

مصوبه تعیین تکلیف تجهیزات استخراج رمزارز اصلاح شد

احتمال ساخت دانگل برای استریم ایکس‌کلاد روی تلویزیون

اولین نشانه‌ها از هدست واقعیت افزوده اپل و استفاده از پنل‌های microLED سونی

شارژر MagSafe اپل نشانه‌ای برای معرفی آیفون‌های بدون پورت شارژ

یکی از قابلیت‌های Xperia 5 II در کالبدشکافی مشخص شد

ایسر از Spin 513 به عنوان اولین کروم بوک تبدیل شدنی رونمایی کرد

مقایسه گلکسی نوت 20 با گلکسی S20 FE

استقبال از ربات‌های پیتزاپز در دوران همه‌گیری کرونا

سامسونگ گلکسی S21 و 5 دانستنی جدید که این هفته درباره آن شنیدیم

برگزاری دوره آموزشی مجازی قوانین و مقررات راهنمایی و رانندگی

شوخی جالب کاربران توییتر با قابلیت جدید

DLC داستانی Gears 5 در سال جاری میلادی منتشر می‌شود

میت 40 پرو هواوی صدرنشین تست AI Benchmark شد

تریلر هنگام عرضه‌ Sekiro: Shadows Die Twice Game of the Year Edition منتشر شد

شرکت اوپو یک سیستم ناوبری جدید طراحی کرد

پیش‌بینی حیرت‌آور آلزایمر توسط هوش مصنوعی

تصاویر زمینه آیفون 12 و آیفون 12 پرو برای دانلود در دسترس قرار گرفت

حق اختراع هواوی برای گوشی تاشو 5G با طراحی شبیه به گلکسی Z Flip

چرا اثری از ایران در نسخه جدید Prince of Persia نیست؟

گلکسی F12 در راه کشور هند رویت شد

رنگ بندی خانواده S21 سامسونگ منتشر شد

سامسونگ گلکسی A02s در Geekbench دیده شد

تصویری از بسته‌بندی ایکس باکس سری اس منتشر شد

لپ‌تاپ گیمینگ لنوو با پردازنده سری 4000 رایزن معرفی شد

فیسبوک در آستانه متهم شدن به نقض قوانین ضد انحصاری

کایرین 9000 هواوی یکی از قدرتمندترین پردازنده‌های جهان است

آموزش غیرفعال کردن بیکسبی در گوشی‌های سامسونگ

اجرای عملیات به زراعی فضاهای سبز شهری در منطقه 2

بازدید مشاور شهردار تهران از طرح خادم منتظر در منطقه 19

آغاز «چهارشنبه های معلولان» در منطقه 7

آغاز دوره های آموزش مجازی بوستان ترافیک

اجرای 800 کیلومتر خطوط انتقال و شبکه گاز در استان کرمان

پالایش نفت هند به بالاترین رقم در 6 ماه اخیر رسید

قدردانی از پیام آورن نظم و امنیت در قلب پایتخت

ثبت نام یکهزار و 245 نفر در طرح ملی توسعه مشاغل خانگی هرمزگان

سرپرست اداره کل تعاون ،کار و رفاه اجتماعی خراسان رضوی : خدمت به خانواده شهداء و ایثارگران را وظیفه اصلی و افتخار می دانم

مدیرکل تعاون، کار و رفاه اجتماعی مازندران خواستار شد: افزایش سهم‌بری مازندران از اعتبارات مشاغل خانگی

مدیر کل تعاون، کار و رفاه اجتماعی مازندران: تشدید بازرسی‌‌ها از معادن مازندران در ایام کرونا ادامه دارد

13هزار البرزی از آموزش های مهارتی و فنی وحرفه ای برخوردار شدند

86 روستای اردبیل تا پایان امسال گازرسانی می‌شود

مایکروسافت سومین برند باارزش دنیا شد

اپلیکیشنی که سکته مغزی را ردیابی می‌کند

نگاهی به قابلیت جذاب AI Gesture در گوشی میت 40 پرو

پیش خرید بازی XCOM 2 Collection آغاز شد

احتمال کمبود موبایل در ماه‌های آینده

ایتالیا جلوی توافق هواوی را گرفت

ناکامی دوباره دولت آمریکا برای حذف وی‌چت

آموزش دریبلی تحقیر کننده در بازی فیفا 21

تاریخ حضور مدیران فیس‌بوک و توییتر در مجلس سنا مشخص شد

مصوبه تعیین تکلیف تجهیزات استخراج رمز ارز موجود اصلاح شد

سیاست و بازاریابی

سیاست و بازاریابی