وبلاگ

محققان می گویند رمزگذاری HTTPS به اندازه ای که به نظر می رسد ایمن نیست


روش رمزگذاری HTTPS تعداد زیادی قفل سبز به صفحات وب اضافه می کند و البته از اطلاعات داخل آنها محافظت می کند. تمام سایت های مشهوری که روزانه از آنها بازدید می کنید احتمالاً دارای یک خط امنیتی به نام “Transfer Layer Security” یا “TLS” هستند که اطلاعات را بین مرورگر شما و وب سروری که به آن متصل می شوید رمزگذاری می کند. از مسیرها ، گذرواژه ها و منابع Google خود در برابر مهاجمان محافظت کنید. اما یافته های جدید محققان دانشگاه کافسکاری در ونیز نشان می دهد که تعداد شگفت آور سایت های رمزگذاری شده این پیوندها را در معرض هکرها قرار داده است.

با تجزیه و تحلیل 10 هزار سایت برتر HTPPS – بر اساس آمار Alexa Alexa Alexa آمازون – محققان دریافتند که 5.5٪ از آنها از آسیب پذیری TLS رنج می برند. این کمبودها به دلیل ترکیبی از مشکلات هنگام نصب رمزگذاری TLS در سایت است و همچنین برخی از خطاهای TLS که از قبل مشخص شده اند برطرف نشده اند. اما بدترین قسمت این است که با وجود این نقص ها و آسیب پذیری ها ، علامت قفل سبز همچنان در کنار آدرس سایت ظاهر می شود.

ریكاردو فوكاردی ، محقق امنیت شبکه و رمزنگاری در دانشگاه Ca Fuscari در ونیز كه از بنیانگذاران Cryptosense است نیز گفت: “در مقاله ، ما فرض می كردیم كه مرورگر كاملاً به روز است ، اما مواردی را یافتیم كه مرورگر نمی توانست آنها را پیدا كند.” اینها کمبودهایی است که برطرف نشده و حتی برطرف نشده است. “ما می خواستیم این موارد را در سایتهای مبتنی بر TLS پیدا کنیم که هنوز اطلاعات خطا در اختیار کاربران قرار نداده اند.”

تبلیغات استخدام

سئو وردپرس

محققان ، كه یافته های كامل خود را در اجلاس امنیت و محرمانه بودن IEEE در ماه آینده ارائه خواهند داد ، روشی را برای تجزیه و تحلیل TLS و همچنین استفاده از ادبیات رمزنگاری موجود برای شناسایی مشكلات TLS در 10 هزار سایت برتر ایجاد كرده اند. و براساس یافته ها ، آسیب پذیری ها در چندین بخش طبقه بندی می شوند.

برخی از نقص ها خطرات خاصی را به همراه دارد ، اما هکر نمی تواند به طور کامل به آنها اعتماد کند. به این دلیل که این کاستی ها چندین بار یک پرس و جو را هدایت می کنند و می توان اطلاعات را با قطره های بسیار کم استخراج کرد. این خطاها می توانند به هکر کمک کنند چیزی مانند کوکی جلسه را رمزگشایی کند ، زیرا کوکی ها با هر درخواست برای سایت ارسال می شوند ، اما در زمینه هایی مانند بازیابی رمز عبور بسیار کارآمد نیستند.

اشتباهات در دسته بعدی کمی شوم تر به نظر می رسند. آسیب پذیری های این گروه دارای کانال های رمزگذاری ضعیف تری بین مرورگر و وب سرور هستند ، که به مهاجم اجازه می دهد تا کل ترافیک بین آنها را رمزگشایی کند. بدتر از همه ، ما کانال هایی داریم که نه تنها به هکرها اجازه می دهد تا تمام ترافیک را رمزگشایی کنند ، بلکه اجازه دستکاری در ترافیک را نیز می دهند. در واقع ، اینها مبنایی برای “حملات افراد متوسط” است که در ابتدا رمزگذاری HTTPS برای خنثی کردن طراحی شده است.

کاستی های شناسایی شده توسط محققان لزوماً آسیب پذیری های اساسی در عمل نیستند. این چیزی است که کن وایت ، مهندس امنیت و مدیر پروژه در Open Crypto Audit ، می گوید. از بیشتر این اشکالات می توان بهره برداری کرد ، اما ممکن است هکرها آنها را دوست نداشته باشند زیرا به تلاش زیادی نیاز دارند. در هر صورت ، وایت تأکید می کند که این یافته ها بسیار مهم تلقی می شوند و می توانند بخشی از تلاش گسترده تر برای پاکسازی شبکه باشند.


منبع: digikala affiliate

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا
بستن