یکشنبه ۰۲ دی ۱۴۰۳
۱۳:۲۵ - ۱۴ فروردین ۱۳۹۸ کد خبر: ۹۸۰۱۰۱۶۶۲
فناوری اطلاعات و ارتباطات

پروتکل HTTPS گاهی به‌اندازه کافی امن نیست

پروتکل HTTPS,اخبار دیجیتال,خبرهای دیجیتال,اخبار فناوری اطلاعات
بسیاری از ما با مشاهده‌ی علامت قفل سبز درکنار آدرس وب‌سایت‌ها، احساس امنیت می‌کنیم؛ اما یافته‌های جدید از وجود آسیب‌پذیری‌هایی در پروتکل امنیتی HTTPS حکایت می‌کنند.

استفاده‌ی گسترده از پروتکل امنیتی HTTPS موجب شده قفل‌های سبزرنگ را در بسیاری از وب‌سایت‌ها در سرتاسر جهان شاهد باشیم. بسیاری از وب‌سایت‌های پربازدیدی که روزانه به آن‌ها سر می‌زنید، مانند زومیت، از پروتکلی به‌نام پروتکل امنیتی لایه‌ی انتقال (Transport Layer Security) یا به‌اختصار TLS بهره می‌برند. این پروتکل داده‌های مبادله‌شده میان مرورگر و سِرور را رمزنگاری می‌کند تا از دید افراد دیگر مخفی بماند؛ اما جدیدترین یافته‌های محققان دانشگاه کافوسکاری ونیز در ایتالیا و دانشگاه تکنیکال وین در اتریش نشان داده که تعداد درخورتوجهی از وب‌سایت‌های رمزنگاری‌شده همچنان درمعرض خطر هستند.

 

در تحلیل ۱۰,۰۰۰ وب‌سایت اول بهره‌مند از این پروتکل براساس شرکت تحلیل الکسا که به آمازون تعلق دارد، ۵۵۰ وب‌سایت (۵.۵ درصد) آسیب‌پذیری‌های جدی مربوط‌به TLS داشتند. این مشکلات ناشی از نحوه‌ی اجرای TLS و باگ‌های شناخته‌شده‌ی این پروتکل و نسل قبل آن (Secure Socket Layer (SSL است. باوجوداین، بدترین قسمت ماجرا آن است که در این وب‌سایت‌ها همچنان قفل سبزرنگ نمایان می‌شود.

 

ریکاردو فوکاردی، محقق امنیت شبکه و رمزنگاری در دانشگاه کافوسکاری ونیز می‌گوید:

 

ما چیزهایی یافته‌ایم که مرورگر نیز شناسایی نمی‌کند. ما به‌دنبال مشکلاتی از TLS هستیم که تاکنون به آن‌ها اشاره‌ای نشده‌ است.

 

این محققان تکنیکی برای تحلیل TLS توسعه داده‌اند که می‌تواند با بررسی وب‌سایت‌ها مشکلات TLS آن‌ها را گزارش دهد. محققان نفوذپذیری‌های کشف‌شده را در سه دسته طبقه‌بندی کردند. نتایج کامل تحقیقات این محققان در بخش امنیت و حریم شخصی سمپوزیم IEEE ارائه خواهد شد که ماه بعد در سان‌فرانسیسکو برگزار می‌شود.

 

پروتکل HTTPS,اخبار دیجیتال,خبرهای دیجیتال,اخبار فناوری اطلاعات

همان‌طورکه گفته شد، محققان آسیب‌پذیری‌ها را به سه دسته تقسیم کردند. دسته‌ی اول نقیصه‌هایی هستند که خطرهایی به‌همراه دارند؛ اما به‌تنهایی مهاجمان نمی‌توانند از آن استفاده کنند. اطلاعات به‌دست‌آمده ازطریق این آسیب‌پذیری‌ها بسیار اندک‌ است و مهاجم باید جستار (Query) را چندین‌بار اجرا کند تا قطعات به‌دست‌آمده را کنارهم بگذارد و به اطلاعات دست یابد. برای مثال، این نفوذپذیری‌ها ممکن است به مهاجم امکان دسترسی به کوکی را بدهد؛ اما دسترسی به کوکی به‌تنهایی برای به‌دست‌آوردن اطلاعات مهم، مانند رمز عبور، چندان کارا نیست.

 

از میان ۱۰,۰۰۰ وب‌سایت برتر، ۵۵۰ وب‌سایت دچار آسیب‌پذیری TLS اند

 

مشکلات در دو دسته‌ی دیگر بسیار جدی‌تر هستند. دسته‌ی دوم می‌تواند به دسترسی مهاجم به تمام اطلاعات و رمزگشایی تمام ترافیک میان مرورگر و سِرور منجر شود. بدتر از همه، وضعیت دسته‌ی سوم است که به مهاجم نه‌تنها اجازه‌ی رمزگشایی تمام ترافیک، بلکه اجازه‌ی تغییر آن را نیز می‌دهد. نکته‌ی طعنه‌آمیز اینجا است که پروتکل HTTPS از ابتدا برای مقابله با این‌ نوع حملات طراحی شده که به «حملات مرد میانی» (Man-in-the-Middle) موسوم‌اند.

 

این آسیب‌پذیری‌ها در عمل شاید چندان هم بحرانی نباشند؛ زیرا بسیاری از آن‌ها زحمت و زمان بیشتری درمقایسه‌با سایر روش‌ها و نفوذپذیری‌ها می‌طلبند؛ اما مشکلات امنیتی TLS همچنان موضوع مهمی است. امروزه، امنیت و حریم شخصی در فضای مجازی اهمیتی دوچندان پیدا کرده و باید از امنیت کامل پروتکل‌های پرکاربرد و پایه‌ای مطمئن شد.

 

محققان می‌گویند یکی از فرضیات آنان دراین‌زمینه آن است که مشکلات ریزامنیتی TLS در صفحه‌ی وب می‌تواند بسیاری از صفحات دیگر را نیز تهدید کند. برای مثال، فرض کنید صفحه‌ی اصلی Example.com بدون مشکل و TLS داشته باشد؛ اما mail.example.com آسیب‌پذیری‌های TLS داشته باشد. باتوجه‌به ارتباط این دو، تمامی ارتباطات مطمئن این دو هم تضعیف می‌شود؛ بدین‌ترتیب، آسیب‌پذیری کوچکی به‌واسطه‌ی لینک‌ها و ارتباط‌ها تقویت می‌شود.

 

نفوذپذیری‌ها به مهاجمان اجازه‌ی رمزگشایی تمام داده‌ها و حتی تغییر آن‌ها را می‌دهد  

 

در فضای امروزی وب، بسیاری از وب‌سایت‌ها به یکدیگر وابسته هستند و ارتباطات میان وب‌سایت‌ها و وب‌سرویس‌ها بسیار زیاد است. برای درک این موضوع کافی است بدانید در آن جمعیت ۵.۵ درصدی از ۱۰,۰۰۰ وب‌سایت برتر که آسیب‌پذیر تشخیص داده شدند، ۲۹۲ وب‌سایت تحت‌تأثیر مستقیم باگ TLS و ۵,۲۸۲ درمعرض آسیب‌پذیری ناشی‌ از سایر ‌وب‌سایت‌ها قرار داشتند. از این تعداد، بیش از ۴,۸۰۰ وب‌سایت در دسته‌ی سوم (خطرناک‌ترین) و ۷۳۳ وب‌سایت در دسته‌ی دوم و ۹۱۲ وب‌سای در دسته‌ی اول (کمترین خطر) قرار می‌گیرند.

 

این موضوع بدین‌معنا است که وب‌سایت شما به‌اندازه‌ی ضعیف‌ترین لینک آن امنیت دارد. محققان فوسکاری مشغول ساخت ابزاری مبتنی بر تحقیقاتشان هستند که توانایی تشخیص آسیب‌پذیری‌های TLS را دارد.

 

پروتکل HTTPS,اخبار دیجیتال,خبرهای دیجیتال,اخبار فناوری اطلاعات

باتوجه‌به گستردگی استفاده‌ی TLS و SSL در سرتاسر وب و تبدیل‌شدن آن به استانداردی امنیتی، هرگونه آسیب‌پذیری آن باید جدی تلقی شود. علاوه‌برآن، بسیاری از گواهینامه‌های TLS و SSL به‌همراه بیمه‌ی ضدهک فروخته می‌شوند؛ بیمه‌ای که از چندده‌هزار یورو آغاز می‌شود و به یک میلیون یورو هم می‌رسد. این آسیب‌پذیری‌ها به‌دلیل پرونده‌های حقوقی احتمالی و ادعاهای دریافت بیمه می‌تواند زنگِ‌خطری برای صادرکنندگان (Issuer) این گواهینامه‌ها تلقی شود.

 

 

  • 17
  • 4
۵۰%
همه چیز درباره
نظر شما چیست؟
انتشار یافته: ۰
در انتظار بررسی:۰
غیر قابل انتشار: ۰
جدیدترین
قدیمی ترین
مشاهده کامنت های بیشتر
هیثم بن طارق آل سعید بیوگرافی هیثم بن طارق آل سعید؛ حاکم عمان

تاریخ تولد: ۱۱ اکتبر ۱۹۵۵ 

محل تولد: مسقط، مسقط و عمان

محل زندگی: مسقط

حرفه: سلطان و نخست وزیر کشور عمان

سلطنت: ۱۱ ژانویه ۲۰۲۰

پیشین: قابوس بن سعید

ادامه
بزرگمهر بختگان زندگینامه بزرگمهر بختگان حکیم بزرگ ساسانی

تاریخ تولد: ۱۸ دی ماه د ۵۱۱ سال پیش از میلاد

محل تولد: خروسان

لقب: بزرگمهر

حرفه: حکیم و وزیر

دوران زندگی: دوران ساسانیان، پادشاهی خسرو انوشیروان

ادامه
صبا آذرپیک بیوگرافی صبا آذرپیک روزنامه نگار سیاسی و ماجرای دستگیری وی

تاریخ تولد: ۱۳۶۰

ملیت: ایرانی

نام مستعار: صبا آذرپیک

حرفه: روزنامه نگار و خبرنگار گروه سیاسی روزنامه اعتماد

آغاز فعالیت: سال ۱۳۸۰ تاکنون

ادامه
یاشار سلطانی بیوگرافی روزنامه نگار سیاسی؛ یاشار سلطانی و حواشی وی

ملیت: ایرانی

حرفه: روزنامه نگار فرهنگی - سیاسی، مدیر مسئول وبگاه معماری نیوز

وبگاه: yasharsoltani.com

شغل های دولتی: کاندید انتخابات شورای شهر تهران سال ۱۳۹۶

حزب سیاسی: اصلاح طلب

ادامه
زندگینامه امام زاده صالح زندگینامه امامزاده صالح تهران و محل دفن ایشان

نام پدر: اما موسی کاظم (ع)

محل دفن: تهران، شهرستان شمیرانات، شهر تجریش

تاریخ تاسیس بارگاه: قرن پنجم هجری قمری

روز بزرگداشت: ۵ ذیقعده

خویشاوندان : فرزند موسی کاظم و برادر علی بن موسی الرضا و برادر فاطمه معصومه

ادامه
شاه نعمت الله ولی زندگینامه شاه نعمت الله ولی؛ عارف نامدار و شاعر پرآوازه

تاریخ تولد: ۷۳۰ تا ۷۳۱ هجری قمری

محل تولد: کوهبنان یا حلب سوریه

حرفه: شاعر و عارف ایرانی

دیگر نام ها: شاه نعمت‌الله، شاه نعمت‌الله ولی، رئیس‌السلسله

آثار: رساله‌های شاه نعمت‌الله ولی، شرح لمعات

درگذشت: ۸۳۲ تا ۸۳۴ هجری قمری

ادامه
نیلوفر اردلان بیوگرافی نیلوفر اردلان؛ سرمربی فوتسال و فوتبال بانوان ایران

تاریخ تولد: ۸ خرداد ۱۳۶۴

محل تولد: تهران 

حرفه: بازیکن سابق فوتبال و فوتسال، سرمربی تیم ملی فوتبال و فوتسال بانوان

سال های فعالیت: ۱۳۸۵ تاکنون

قد: ۱ متر و ۷۲ سانتی متر

تحصیلات: فوق لیسانس مدیریت ورزشی

ادامه
حمیدرضا آذرنگ بیوگرافی حمیدرضا آذرنگ؛ بازیگر سینما و تلویزیون ایران

تاریخ تولد: تهران

محل تولد: ۲ خرداد ۱۳۵۱ 

حرفه: بازیگر، نویسنده، کارگردان و صداپیشه

تحصیلات: روان‌شناسی بالینی از دانشگاه آزاد رودهن 

همسر: ساناز بیان

ادامه
محمدعلی جمال زاده بیوگرافی محمدعلی جمال زاده؛ پدر داستان های کوتاه فارسی

تاریخ تولد: ۲۳ دی ۱۲۷۰

محل تولد: اصفهان، ایران

حرفه: نویسنده و مترجم

سال های فعالیت: ۱۳۰۰ تا ۱۳۴۴

درگذشت: ۲۴ دی ۱۳۷۶

آرامگاه: قبرستان پتی ساکونه ژنو

ادامه
ویژه سرپوش