پیام آذری

آخرين مطالب

رمزنگاری HTTPS آنقدرها که به نظر می‌رسد امن نیست علمي

رمزنگاری HTTPS آنقدرها که به نظر می‌رسد امن نیست
  بزرگنمايي:

پیام آذری - دیجیاتو / متد رمزنگاری HTTPS به افزوده شدن انبوهی از قفل‌های سبز رنگ به صفحات وب و البته محافظت از اطلاعات درون آن‌ها منجر شده است. تمام سایت‌های محبوبی که به صورت روزانه به آن‌ها سر می‌زنید به احتمال زیاد از یک خط دفاعی به نام «امنیت لایه انتقال» یا «TLS» برخوردار هستند که اطلاعات را میان مرورگر شما و وب سروری که با آن در ارتباط هستید رمزنگاری می‌کند تا از برنامه‌های سفرتان، رمزهای عبور و سرچ‌هایتان در گوگل در برابر مهاجمین محافظت شود. اما یافته‌های جدید محققان دانشگاه کا فوسکاری ونیز نشان می‌دهد که شمار غافلگیرکننده‌ای از سایت‌های رمزنگاری شده، این ارتباطات را در معرض حمله هکرها قرار داده‌اند.
با تحلیل 10 هزار سایت HTPPS برتر -براساس رده‌بندی کمپانی آماری الکسا که متعلق به آمازون است- محققان دریافته‌اند که 5.5 درصد از آن‌ها از آسیب‌پذیری‌های TLS رنج می‌برند. این نواقص ناشی از ترکیبی از مشکلاتی است که هنگام تعبیه رمزنگاری TLS در سایت بروز کرده‌اند و ضمنا برخی از باگ‌های از پیش شناسایی شده TLS نیز برطرف نشده‌اند. اما بدترین نکته اینست که علی‌رغم وجود این نواقص و آسیب‌پذیری‌ها، علامت قفل سبز رنگ همچنان کنار آدرس سایت‌ها به نمایش در می‌آمده‌ است.
ریکاردو فوکاردی، محقق امنیت شبکه و رمزنگاری در دانشگاه کا فوسکاری ونیز که هم‌موسس شرکت Cryptosense نیز بوده می‌گوید: «ما در مقاله فرض را بر این گذاشتیم که مرورگر کاملا به روز است، اما چیزهایی یافتیم که مرورگر قادر به شناسایی‌شان نبود. این‌ها نواقصی هستند که برطرف نشده‌اند و حتی مورد توجه هم قرار نگرفته‌اند. ما می‌خواستیم این مشکلات را در سایت‌های مبتنی بر TLS بیابیم که هنوز هیچ اطلاعاتی راجع به نواقص به کاربران نداده‌اند».
محققان که یافته‌های کامل خود را در گردهمایی IEEE در زمینه امنیت و حریم شخصی طی ماه مه آتی منتشر خواهند کرد، تکنیکی برای تحلیل TLS توسعه داده‌اند و ضمنا از ادبیات رمزنگاری از پیش موجود برای شناسایی مشکلات TLS در 10 هزار سایت برتر استفاده کرده‌اند. و براساس یافته‌ها، آسیب‌پذیری‌ها در چند بخش دسته‌بندی شده‌اند.
برخی از نواقص ریسک خاصی به همراه دارند، اما هکر نمی‌تواند به صورت کامل بر آن‌ها متکی باشد. این بدان خاطر است که این نواقص یک کوئری واحد را برای چندین مرتبه به جریان می‌اندازند و اطلاعات به صورت بسیار قطره‌ای قابل استخراج خواهد بود. این باگ‌ها می‌توانند به هکر در رمزگشایی چیزی مانند کوکی نشست کمک کنند، چرا که کوکی‌ها احتمالا همراه با هر کوئری در سایت ارسال شوند، اما در زمینه‌هایی مانند استخراج رمز عبور چندان کارآمد نیستند.
باگ‌های موجود در دسته‌بندی بعدی اما اندکی شیطانی‌تر ظاهر می‌شود. آسیب‌پذیری‌های این دسته‌بندی، کانال‌های رمزنگاری ضعیف‌تری میان مرورگر و وب سرور دارند و به مهاجم اجازه می‌دهد تا تمام ترافیکی که میان این دو در جریان است را رمزگشایی کنند. بدتر از همه نیز، کانال‌هایی را داریم که نه‌تنها به هکرها اجازه می‌دهد تمام ترافیک را رمزگشایی کنند، بلکه امکان دستکاری ترافیک را نیز مهیا می‌سازند. این‌ها در واقع فونداسیونی برای «حملات مرد میانی» به حساب می‌آیند که رمزنگاری HTTPS اصلا برای مقابله با همان‌ها توسعه یافته بود.
نواقصی که محققان یافته‌اند در عمل لزوما آسیب‌پذیری‌هایی حیاتی به حساب نمی‌آیند. این را کن وایت، مهندس امنیت و مدیر پروژه Open Crypto Audit می‌گوید. اکثر این نواقص را می‌توان مورد سوء استفاده قرار داد، اما از آن‌جایی که نیاز تلاش فراوان هستند شاید به مذاق هکرها خوش نیایند. اما وایت در هر صورت تاکید می‌کند که این یافته‌ها بسیار مهم تلقی شده و می‌توانند بخش از یک تلاش بزرگ‌تر برای تمیز کردن وب باشند.


نظرات شما

ارسال دیدگاه

Protected by FormShield

ساير مطالب

پیام رهبر انقلاب خطاب به جوانان فرانسه

بخش آی‌سی‌یو بیمارستان مهاباد پر شد

تمام چاه‌های کشاورزی خلخال امسال دارای کنترل هوشمند می‌شوند

سرپرست فرمانداری: بانک‌های تکاب از ازدحام مراجعان جلوگیری کنند

مسوولان مهابادی آغاز هفته وحدت را تبریک گفتند

10 تن شکر احتکار شده در مشگین‌شهر کشف شد

ارتقای کیفیت تولیدات داخلی موجب کاهش کالای قاچاق می‌شود

رعایت‌نکردن فاصله اجتماعی در شوط نگران‌کننده است

جلسات  اداری در استان اردبیل برای 2 هفته غیر حضوری شد

منظر شهر اردبیل زیبا نیست؛ غفلت از مولفه‌های اجتماعی در شهرسازی

عصبانیت کارگردان شهرزاد جهانی شد/ عطسه رضا رشیدپور در شبکه سه/ بازگشت مشکوک مهران مدیری/ رامبد جوان در ایران/

اهتمامی جدی برای دولت الکترونیک با ایجاد 303 دفتر در آذربایجان‌غربی

دردسر بزرگ استقلال پس از قرارداد با محمد نادری!!

جلسات اداری استان اردبیل غیرحضوری برگزار می‌شود/ تخصیص اعتبار برای خرید دستگاه اکسیژن‌ساز

امید استقلالی‌ها به جانشین کریمی

جشن تولد 37 سالگی به سبک «احسان خواجه امیری»/ عکس

جدول پخش مدرسه تلویزیونی پنجشنبه 8 آبان در تمام مقاطع تحصیلی

بررسی عواملی که مانع بیابان‌زایی در شمال شرق کشور شد

جلیل محبی آمار کرونا را به تدفین شجریان ربط داد

می‌خواهید با رودخانه کرج چه کار کنید؟

5 کشته و زخمی در تصادف جاده اردبیل ـ رضی

حسن‌نژاد: تغییر فرماندار 2 شهرستان مازندران

سعیدعباسی مدیرعامل آلومینیوم اراک شد

5درمان خانگی برای بهبود لب‌های ترک خورده

برنامه ریزی برای اجرای زراعت چوب در سطح 1100 هکتار در آذربایجان شرقی

امیرعبداللهیان: سفیر جدید ایران در یمن فصل نوینی از روابط سازنده ⁧‫دو کشور را رقم می‌زند

حسین‌پور: دولت از ظرفیت دورکاری حداکثری کارمندان استفاده کند

شکل‌گیری زنجیره تولید کلید رفع بیکاری چهارمحال و بختیاری ‌است

چند دلیل برای نخریدن آیفون 12 و 12 پرو

دسترسی به اینستاگرام و یوتیوب فقط از مایکروسافت اج امکان‌پذیر می‌شود

محدودیت‌های جدید کرونایی اعلام می‌شود

آشوریان ارومیه اهانت به ساحت پیامبر اکرم(ص) را محکوم کردند

مدیرعامل باشگاه آلومینیوم اراک انتخاب شد

عراقچی باکو را به مقصد مسکو ترک کرد

آذربایجان‌شرقی میزبان نخبگان سه گانه کشور می‌شود

دیدار و گفت‌وگوی عراقچی با رییس جمهور آذربایجان/ معاون سیاسی وزیر امور خارجه ایران باکو را به مقصد مسکو ترک کرد

برترین هنرمندان قرن 21 معرفی شدند/ 8 هنرمند ایرانی در کنار آرتیست‌های نامدار جهان

مرگ دردناک 5 عضو خانواده سردشتی در راه رسیدن به بریتانیا

فروش موبایل‌های آنلاک نشده در انگلستان ممنوع

کالبدشکافی هواوی میت 40 پرو را ببینید

Demon’s Souls Remake فاقد محتوای جدید خواهد بود

نمایش گیم‌پلی Far Cry 6 در مراسم معرفی کارت‌های RX 6000

شارژ بیسیم معکوس آیفون چه شد؟

تصمیم اپل برای جلوگیری از ترک خوردن نمایشگر آیفون تاشو

همکاری اپل و مایکروسافت در فروشگاه بدون کارکنان کره‌‌ای

تریلر زمان عرضه پلی استیشن 5 سونی پخش شد

اعزام تیپ 321 نیروی زمینی ارتش ایران به خداآفرین

فرمانده پدافند هوایی ارتش: کوچکترین تحرکی از دید سامانه‌های پدافندی دور نمی‌ماند

کشف انبار احتکار شکر در مشگین‌شهر

ضرورت تخصیص اعتبار ویژه برای پروژهای عمرانی حوزه درمانی آذربایجان غربی