مجله سیمدخت
0

چرا پروتکل HTTPS از نظر امینت کامل نیست

چرا پروتکل HTTPS از نظر امینت کامل نیست
بازدید 91

با توجه به افزایش اهمیت امنیت وبسایت‌ها، آشنایی با تشخیص پروتکل‌های امن انتقال داده مانند HTTPS بسیار حیاتی است. علامت قفل سبز در کنار آدرس وب‌سایت‌ها اغلب به ما احساس امنیت می‌دهد؛ اما یافته‌های جدید نشان می‌دهند که پروتکل امنیتی HTTPS نیز دارای آسیب‌پذیری‌هایی است.

استفاده گسترده از پروتکل امنیتی HTTPS باعث شده تا قفل‌های سبزرنگ را در بسیاری از وب‌سایت‌ها در سراسر جهان مشاهده کنیم. بسیاری از وب‌سایت‌های پربازدید مانند زومیت از پروتکل امنیتی لایه‌ی انتقال یا TLS استفاده می‌کنند. این پروتکل داده‌های مبادله‌شده بین مرورگر و سرور را رمزنگاری می‌کند تا از دسترسی افراد دیگر محافظت شود. اما تحقیقات اخیر از دانشگاه کافوسکاری ونیز و دانشگاه تکنیکال وین نشان می‌دهد که تعداد قابل توجهی از وب‌سایت‌های رمزنگاری‌شده همچنان در معرض خطر قرار دارند.

تحلیل ۱۰،۰۰۰ وب‌سایت اولیه که تحت نظر شرکت تحلیل الکسا قرار داشت، نشان می‌دهد که ۵۵۰ وب‌سایت (۵.۵ درصد) دارای آسیب‌پذیری‌های جدی مرتبط با TLS هستند. این مشکلات ناشی از عملکرد TLS و باگ‌های شناخته شده در این پروتکل و نسخه‌های قبلی آن، یعنی Secure Socket Layer (SSL)، است. با این حال، بدترین بخش این موضوع این است که در این وب‌سایت‌ها همچنان قفل سبزرنگ

نمایان است. ریکاردو فوکاردی، محقق امنیت شبکه و رمزنگاری در دانشگاه کافوسکاری ونیز، می‌گوید: “ما مشکلاتی را کشف کرده‌ایم که حتی مرورگر نیز تشخیص نمی‌دهد. ما به دنبال مشکلاتی در TLS هستیم که تاکنون مورد اشاره قرار نگرفته‌اند.”

این محققان یک تکنیک برای تحلیل TLS توسعه داده‌اند که با بررسی وب‌سایت‌ها می‌تواند مشکلات TLS آن‌ها را گزارش دهد. آن‌ها نفوذپذیری‌های کشف‌شده را در سه دسته طبقه‌بندی کرده‌اند. نتایج کامل این تحقیقات تا اردیبهشت ماه در کنفرانس امنیت و حریم خصوصی IEEE ارائه خواهد شد که در ماه آینده در سان فرانسیسکو برگزار می‌شود.

همانطور که اشاره شد، محققان تقسیم‌بندی آسیب‌پذیری‌ها را به سه دسته انجام دادند. در دسته اول، نقص‌هایی وجود دارد که با خطرهایی همراه هستند، اما مهاجمان به تنهایی نمی‌توانند از آن‌ها بهره‌برداری کنند. اطلاعاتی که از طریق این آسیب‌پذیری‌ها به‌دست می‌آید، بسیار محدود است و مهاجم باید جستجو را تکرار کند تا قطعات را به‌هم بچسباند و به اطلاعات دسترسی پیدا کند. به‌عنوان مثال، این آسیب‌پذیری‌ها ممکن است به مهاجم امکان دسترسی به کوکی‌ها را بدهد، اما دسترسی به کوکی‌ها به‌تنهایی برای دستیابی به اطلاعات حساس مانند رمزعبور، کارا نیست.

مشکلات در دو دسته دیگر جدی‌تر هستند. دسته دوم می‌تواند منجر به دسترسی مهاجم به تمام اطلاعات و رمزگشایی ترافیک میان مرورگر و سرور شود. بدترین حالت، دسته سوم است که به مهاجم اجازه می‌دهد نه‌تنها ترافیک را رمزگشایی کند، بلکه آن را نیز تغییر دهد. نکته تلخ این است که پروتکل HTTPS از ابتدا برای مقابله با این نوع حملات طراحی شده است، که به آن “حملات مرد میانی” معروف است.

این آسیب‌پذیری‌ها به‌طور عملی شاید به‌اندازه‌ای بحرانی نباشند؛ زیرا بسیاری از آن‌ها نیاز به زمان و زحمت بیشتری نسبت به روش‌ها و آسیب‌پذیری‌های دیگر دارند. اما مشکلات امنیتی TLS همچنان به‌عنوان موضوعی مهم در نظر گرفته می‌شود. در حال حاضر، امنیت و حریم شخصی در فضای مجازی اهمیت چندبرابری پیدا کرده‌اند و باید از امنیت کامل پروتکل‌های پرکاربرد و اساسی اطمینان حاصل شود.

محققان می‌گویند یکی از فرضیات آن‌ها در این زمینه این است که مشکلات امنیتی کوچک TLS در یک صفحه وب می‌تواند بسیاری از صفحات دیگر را نیز تهدید کند. به عنوان مثال، فرض کنید صفحه اصلی Example.com بدون مشکل و با TLS باشد، اما mail.example.com دارای آسیب‌پذیری‌های TLS باشد. با توجه به ارتباط بین این دو، تمام ارتباطات مطمئن میان این دو نیز تضعیف می‌شود. به این ترتیب، یک آسیب‌پذیری کوچک به‌واسطه لینک‌ها و ارتباطات تقویت می‌شود.

در فضای وب امروز، بسیاری از وب‌سایت‌ها به یکدیگر وابسته هستند و ارتباطات بین وب‌سایت‌ها و سرویس‌های وب بسیار فراوان است. برای درک این موضوع، کافی است بدانید که از مجموع جمعیت ۵.۵ درصدی از ۱۰,۰۰۰ وب‌سایت برتر که آسیب‌پذیر تشخیص داده شدند، ۲۹۲ وب‌سایت تحت تأثیر مستقیم باگ TLS و ۵,۲۸۲ وب‌سایت در معرض آسیب‌پذیری‌های ناشی از سایر وب‌سایت‌ها قرار داشتند. از این تعداد، بیش از ۴,۸۰۰ وب‌سایت در دسته سوم (خطرناک‌ترین)، ۷۳۳ وب‌سایت در دسته دوم و ۹۱۲ وب‌سایت در دسته اول (کمترین خطر) قرار می‌گیرند.

این به این معناست که امنیت وب‌سایت شما به اندازه ضعیف‌ترین لینک آن است. محققان در حال ساخت ابزاری بر اساس تحقیقات خود هستند که قادر به تشخیص آسیب‌پذیری‌های TLS است.

نظرات کاربران

  •  چنانچه دیدگاهی توهین آمیز باشد و متوجه نویسندگان و سایر کاربران باشد تایید نخواهد شد.
  •  چنانچه دیدگاه شما جنبه ی تبلیغاتی داشته باشد تایید نخواهد شد.
  •  چنانچه از لینک سایر وبسایت ها و یا وبسایت خود در دیدگاه استفاده کرده باشید تایید نخواهد شد.
  •  چنانچه در دیدگاه خود از شماره تماس، ایمیل و آیدی تلگرام استفاده کرده باشید تایید نخواهد شد.
  • چنانچه دیدگاهی بی ارتباط با موضوع آموزش مطرح شود تایید نخواهد شد.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *