پایگاه خبری تحلیلی پیام سپاهان

آخرين مطالب

رمزنگاری HTTPS آنقدرها که به نظر می‌رسد امن نیست علمي

رمزنگاری HTTPS آنقدرها که به نظر می‌رسد امن نیست
  بزرگنمايي:

پیام سپاهان - دیجیاتو / متد رمزنگاری HTTPS به افزوده شدن انبوهی از قفل‌های سبز رنگ به صفحات وب و البته محافظت از اطلاعات درون آن‌ها منجر شده است. تمام سایت‌های محبوبی که به صورت روزانه به آن‌ها سر می‌زنید به احتمال زیاد از یک خط دفاعی به نام «امنیت لایه انتقال» یا «TLS» برخوردار هستند که اطلاعات را میان مرورگر شما و وب سروری که با آن در ارتباط هستید رمزنگاری می‌کند تا از برنامه‌های سفرتان، رمزهای عبور و سرچ‌هایتان در گوگل در برابر مهاجمین محافظت شود. اما یافته‌های جدید محققان دانشگاه کا فوسکاری ونیز نشان می‌دهد که شمار غافلگیرکننده‌ای از سایت‌های رمزنگاری شده، این ارتباطات را در معرض حمله هکرها قرار داده‌اند.
با تحلیل 10 هزار سایت HTPPS برتر -براساس رده‌بندی کمپانی آماری الکسا که متعلق به آمازون است- محققان دریافته‌اند که 5.5 درصد از آن‌ها از آسیب‌پذیری‌های TLS رنج می‌برند. این نواقص ناشی از ترکیبی از مشکلاتی است که هنگام تعبیه رمزنگاری TLS در سایت بروز کرده‌اند و ضمنا برخی از باگ‌های از پیش شناسایی شده TLS نیز برطرف نشده‌اند. اما بدترین نکته اینست که علی‌رغم وجود این نواقص و آسیب‌پذیری‌ها، علامت قفل سبز رنگ همچنان کنار آدرس سایت‌ها به نمایش در می‌آمده‌ است.
ریکاردو فوکاردی، محقق امنیت شبکه و رمزنگاری در دانشگاه کا فوسکاری ونیز که هم‌موسس شرکت Cryptosense نیز بوده می‌گوید: «ما در مقاله فرض را بر این گذاشتیم که مرورگر کاملا به روز است، اما چیزهایی یافتیم که مرورگر قادر به شناسایی‌شان نبود. این‌ها نواقصی هستند که برطرف نشده‌اند و حتی مورد توجه هم قرار نگرفته‌اند. ما می‌خواستیم این مشکلات را در سایت‌های مبتنی بر TLS بیابیم که هنوز هیچ اطلاعاتی راجع به نواقص به کاربران نداده‌اند».
محققان که یافته‌های کامل خود را در گردهمایی IEEE در زمینه امنیت و حریم شخصی طی ماه مه آتی منتشر خواهند کرد، تکنیکی برای تحلیل TLS توسعه داده‌اند و ضمنا از ادبیات رمزنگاری از پیش موجود برای شناسایی مشکلات TLS در 10 هزار سایت برتر استفاده کرده‌اند. و براساس یافته‌ها، آسیب‌پذیری‌ها در چند بخش دسته‌بندی شده‌اند.
برخی از نواقص ریسک خاصی به همراه دارند، اما هکر نمی‌تواند به صورت کامل بر آن‌ها متکی باشد. این بدان خاطر است که این نواقص یک کوئری واحد را برای چندین مرتبه به جریان می‌اندازند و اطلاعات به صورت بسیار قطره‌ای قابل استخراج خواهد بود. این باگ‌ها می‌توانند به هکر در رمزگشایی چیزی مانند کوکی نشست کمک کنند، چرا که کوکی‌ها احتمالا همراه با هر کوئری در سایت ارسال شوند، اما در زمینه‌هایی مانند استخراج رمز عبور چندان کارآمد نیستند.
باگ‌های موجود در دسته‌بندی بعدی اما اندکی شیطانی‌تر ظاهر می‌شود. آسیب‌پذیری‌های این دسته‌بندی، کانال‌های رمزنگاری ضعیف‌تری میان مرورگر و وب سرور دارند و به مهاجم اجازه می‌دهد تا تمام ترافیکی که میان این دو در جریان است را رمزگشایی کنند. بدتر از همه نیز، کانال‌هایی را داریم که نه‌تنها به هکرها اجازه می‌دهد تمام ترافیک را رمزگشایی کنند، بلکه امکان دستکاری ترافیک را نیز مهیا می‌سازند. این‌ها در واقع فونداسیونی برای «حملات مرد میانی» به حساب می‌آیند که رمزنگاری HTTPS اصلا برای مقابله با همان‌ها توسعه یافته بود.
نواقصی که محققان یافته‌اند در عمل لزوما آسیب‌پذیری‌هایی حیاتی به حساب نمی‌آیند. این را کن وایت، مهندس امنیت و مدیر پروژه Open Crypto Audit می‌گوید. اکثر این نواقص را می‌توان مورد سوء استفاده قرار داد، اما از آن‌جایی که نیاز تلاش فراوان هستند شاید به مذاق هکرها خوش نیایند. اما وایت در هر صورت تاکید می‌کند که این یافته‌ها بسیار مهم تلقی شده و می‌توانند بخش از یک تلاش بزرگ‌تر برای تمیز کردن وب باشند.


نظرات شما

ارسال دیدگاه

Protected by FormShield

ساير مطالب

تصاویر: کاروانسرایی در اصفهان که «آنتونی کوئین» در آن فیلم بازی کرد

کلاه‌برداری 40 میلیاردی یک طلافروش از مشتریانش

بورس ایران نتیجه انتخابات آمریکا را پیش خور کرده است

سخنان عجیب ترامپ درباره کرونا

ارزش صادرات استان اصفهان در سال 99 از یک میلیارد دلار فراتر رفت

نگهداری کرم ابریشم در خانه

رفع بیش از 90درصد تعهدات ارزی صادرکنندگان اصفهان

با یک برنامه‌ریزی جامع، در نظام آموزشی کشور مشکلات موجود را حل میشود

محدودیت های کرونایی در سمیرم اجرایی شد

نجات مرد 25 ساله از ارتفاعات کوه صفه

حریق در کوه صفه +فیلم

تلاش نماینده ولی فقیه برای حل مشکل آب روستاهای محمدآباد و بهارستان به سرانجام رسید

گفت‌وگو با دن براون و تجربه جدید نویسنده پرحاشیه

کتاب «مهمان تکنولوژی باشید» منتشر شد

آنر بند 6 به زودی با نمایشگر تمام صفحه معرفی می‌شود

کانن دوربینی با قابلیت تعویض لنز برای تلفن همراه می‌سازد

گوگل نیز در راستای حفظ محیط‌زیست گام خواهد برداشت

AMD و خرید «زایلینکس»؛ رقابت سنگین‌وزن‌ها وارد مرحله جدیدی شد

بررسی بازی Ghostrunner از دید سایت‌های معتبر دنیا

از اضطراب کرونا تا ترس از یک چالش

سدهای ضدتحریمی اقتصاد

روش‌های مکانیکی دور زدن تحریم

انتخابات آمریکا و چشم انداز قیمت دلار در ایران

اگر ترامپ بازهم رئیس جمهور شود...

آیا مسیر پاستور از واشنگتن می‌گذرد؟

بایدن یا ترامپ؛ ترجیح جهان چیست؟

روزی تاریخی برای مردم شیلی

وقتی ترامپ کرونا را توطئه رسانه ها می داند

دولت سودان هم به قطار خیانت پیوست

حسن فتحی به حاشیه های مست عشق پاسخ داد + عکس

صوت/ حکایت "نهی از بسیار خوردن" از «گلستان سعدی» با صدای خسرو شکیبایی

«در چنگال کابوس»، تپش زندگی در دوره کروناست

دو خط کتاب/ کسانی که در نور روز زندگی می‌کنند عمق شب را درک می‌کنند؟

شاعرانه/ "ما گشته ایم، نیست، تو هم جستجو مکن" از فاضل نظری

برخی قابلیت‌های گلکسی زد فولد 2 به گلکسی فولد اضافه شد

تخفیف ویژه‌ برای بازی Death Worm

آخرین قیمت انواع لپ تاپ در بازار

بازی Badlanders برروی گوشی‌های هوشمند منتشر شد

با لگو و یونیتی بدون نیاز به کدنویسی بازی بسازید

اسپنسر: روند گسترش سرویس گیم‌پس ادامه خواهد یافت

شارژ بی‌سیم ایرپاور هیچ‌گاه تولید نخواهد شد

تاریخ انتشار بازی FIFA 21 برروی کنسول‌های نسل نهم اعلام شد

اپل دسترسی به مرورگر سرویس استریم بازی استادیا را مسدود کرد

به‌روزرسانی جدید بازی Crying Suns به‌زودی عرضه خواهد شد

چند نکته ضروری و حیاتی درباره ضدعفونی کردن تلفن همراه

برخی از مشخصات اصلی شیائومی می واچ لایت فاش شد

آتش نشان رباتیک استخدام شد

نسل بعدی ایرپاد پرو دستخوش تغییر اساسی خواهد شد

مشخصات جدیدی از بازی Devil May Cry 5 مشخص شد

فیسبوک سرویس گیمینگ ابری خود را با تمرکز بر موبایل معرفی کرد