امتیاز موضوع:
  • 1 رأی - میانگین امتیازات: 3
  • 1
  • 2
  • 3
  • 4
  • 5
۴ مشکل جدی HTTPS و امنیت SSL در وب
#1
HTTPS با استفاده از SSL یک محیط امن برای کاربر فراهم می کند بنابراین شما می دانید به یک وب سایت معتبر متصل شده اید ، ولی این یک نظریه است و در عمل SSL نوعی آشفتگی بوجود می آورد.
این مطلب به این معنی نیست که HTTPS و رمزنگاری SSL فاقد ارزش است ، زیرا آنها قطعا خیلی بهتر از اتصالات HTTP عمل می کند حتی در بدترین حالت .
تعداد گواهینامه های معتبر دیجیتال
مرورگر شما یک لیست Built-in از گواهینامه های مورد اعتماد دارد .که مرورگرها تنها به این گواهینامه ها اعتماد می کنند .
مرورگر خود را بررسی کنید تا مطمئن شوید گواهی SSL آن از یک مرجع معتبر صادر شده است .
اگر گواهی برای دامنه دیگری و یا از یک مرجع نا معتبر صادر شده باشد شما یک هشدار جدی را در مرورگز خود خواهید دید.
یک مشکل اصلی که در بسیاری از مجورها وجود دارد این است که شما ممکن است یک گواهینامه SSL در دامنه خود داشته اما یک هکر می تواند با بکار بردن ترفند هایی از مجوز دامنه ی شما استفاده کند .
[تصویر:  1.png]گواهینامه های دیجیتال همیشه معتبر نیستند
تصویب گواهی دیجیتال دلیل بر مطمئن بودن نیست
مطالعات نشان داده است که برخی از این مصوبات هنگام صدور گواهی با کمترین تلاش و کوشش به ثبت رسیده اند . گواهی SSL برای نوع آدرس است که هرگز نباید برای برخی از کاربرد ها مانند localhost، که نشان دهنده کامپیوتر های محلی است صادر شود . در سال ۲۰۱۱ EEF بیش از ۲۰۰۰ گواهی معتبر صادر شده برای localhost پیدا کرد .
اگر این گواهی ها با بررسی صحت ان صادر شده است بسیاری از این گواهی نامه ها بدون تایید صحت درستی معتبر به شمار می اید . که در نگاه اول طبیعی به نظر می رسد اما شما بسیار متعجب خواهید شد اگر بدانید که چه اشتباهاتی از این طریق به وجود آمده است .شاید آن گواهی های غیر مجاز صادر شده سایت هایی باشد که از اطلاعات مردم سوء استفاده میکنند .[تصویر:  image281.png]صادر کننده های گواهی دیجیتال ممکن است مجبور به صدور گواهینامه های جعلی شوند
 
از انجا که بسیاری مراجع صدور کواهی دیجیتال در سرتا سر جهان وجود دارد و هر کدام از انها میتوانند برای هر سایتی گواهی صادر کنند .دولت میتواند مراکز صدور گواهی را وادار به صدور کواهینامه برای سایت های مورد نظر کند .
اتفاقی که جدیدا در فرانسه افتاده است که در ان یک جستجوگر تقلبی گوگل برای google .com از سازمان گواهی دیجیتال ANNSI فرانسه مجوز گرفته است . این اجازه از طرف دولت فرانسه باعث شده هرکسی بتواند به جعل سایت گوگل پرداخته و به سوء استفاده از اطلاعات مردم بپردازد. البته ANNSI مدعی است که این گواهی فقط برای پیدا کردن متخلفین در شبکه های خصوصی است که دولت فرانسه از آن استفاده میکند . اما حتی اگر این حرف ANSSI درست باشد این کار نقض قوانین است .Perfect Forward Secrecy همه جا استفاده نمیشود
بسیاری از سایتها از Perfect Forward Secrecy استفاده نمی کنند ، که این تکنیک رمزگذاری سخت تری روی کرک ها اعمال می کند .
بدون این تکنیک مهاجمان می توانند مقدار زیادی از داده های رمزگذاری شده را با یک کلید مخفی ضبط و رمزگشایی نمایند.و ما می دانیم که NSA و دیگر سازمانهای دولتی در سراسر جهان متقاضی دریافت این اطلاعات هستند اگر آنها موفق به کشف کلید رمزگذاری مجوز وب سایت ها شوند می توانند با استفاده از آنها به تمام اطلاعات هر کسی که به این وب سایت ها متصل شده است دسترسی پیدا کنند .
بلخره اومدم :|
دلتون واسم تنگ شده بود
عخییییی d:
پاسخ
 سپاس شده توسط WiSe
#2
مخفف شده HyperText Transport Protocol است که به زبان ساده یک پروتکل (یک زبان) جهت رد و بدل اطلاعات میان سرور و کاربر است. لغت S است که تفاوت میان HTTP و HTTPS را ایجاد مى کند.لغت S مخفف کلمه Secure به معنى امن است. در موقع ورود به وب سایت ها، به طور معمول عبارت //:http در جلوى آدرس سایت ظاهر مى شود. این بدین معناست که شما در حال بررسى سایت با استفاده از زبان معمول غیر امن هستید.به زبان دیگر یعنى ممکن است شخص سومى (در اینجا شخص هر چیزى معنى مى دهد، مانند برنامه کامپیوترى ، هکر و…) در حال ثبت اطلاعات ارسال رد و بدل شده شما با وب سایتى که در آن حضور دارید، باشد. در صورت پر کردن فرمى در وب سایت، شخصى ممکن است به اطلاعات وارد شده بوسیله شما دسترسى پیدا کند.به این دلیل است که هرگز نباید پشتیبانی شبکه اطلاعات کارت هاى اعتبارى اینترنتى خود را از پروتکل //:http در سایت وارد کنید. اما در صورت شروع شدن نام وب سایت با //:https، این بدین معناست که کامپیوتر شما در حال رد و بدل کردن اطلاعات با سایت با زبانى است که شخص دیگرى قادر به استفاده از آن نیست. در اینجا چند نکته قابل تامل است:۱) در //:https اطلاعات ابتدا به کد تبدیل شده و به سرور ارسال مى گردد. سپس این کد در سرور رمز گشایى شده و به زبان قابل فهم بر مى گردد. این کار مقدارى زمان بر بوده و بنابراین سرعت //:https از سرعت //:http کمتر است.۲) تعداد از شرکت هاى امنیتى مانند Verisign و Goddady این سرویس را ارائه مى دهند که جهت تبدیل اطلاعات سرورى که شما به آن متصل شده اید به این سرور ها مراجعه مى کند.۳) بعد از وارد شدن با پروتکل //:https، اطلاعاتى در رابطه با امنیت اعمال شده در سایت و گروه ارائه دهنده این امنیت نمایش داده مى شود. این اطلاعات معمولا (در اکثر مرورگر ها) بصورت قفلى در پایین صفحه موجود بوده و بعد از کلیک بر روى آن این اطلاعات را مشاهده خواهید کرد.۴) در هنگام ورود به این سایت ها حتماً به اطلاعات امنیتى توجه کنید. ممکن است امنیت در کار نبوده و همه اینها با برنامه نویسى ساده اى براى شما نمایش داده شود.۵) جهت داشتن //:https هزینه اى ماهانه باید پرداخت گردد که بر اسا باعث ایجاد مشکل در پشتیبانی شبکه  نشود. سرعت آن (۲۵۶kb یا ۵۱۲kb ) متفاوت است. هر چه سرعت بیشتر، صاحب سرور باید هزینه بیشترى پرداخت کند.۶) پروتکل //:https معمولاً براى بانک ها، ایجاد حساب کاربرى و ورود کاربرى به پورتال ها – سرویس دهنده ها پیغام الکترونیکى ،.. خرید اینترنتى و فروشگاه هاى اینترنتى، ورود به صفحات با اطلاعات سرى و مهم و غیره استفاده مى شود.۷) سود اصلى HTTPS جلوگیرى از Sniff کردن اطلاعات هست. یعنى براى مقابله با دزدهاى اطلاعاتى که در مسیر قرار مى گیرند. (به طور مثال شما هر اطلاعاتى را که در حالت عادى از HTTP انتقال بدهید یک سازمان واسطه قادر است چه با مجوز و یا بدون مجوز از اطلاعات استفاده کند.)۸) سرور میزبان باید یک Public Key ثبت کند که هزینه اى هم نخواهد داشت.اما اثبات اینکه آیا خود میزبان کسى که ادعا مى کند، هزینه بر است.این کار بوسیله Verisign و غیره انجام مى شود. بدین معنى که با پرداخت هزینه به این سرویس دهنده، کاربران مطمئن مى شوند که سرور همان فردى یا سازمانى است که خواهان وارد کردن اطلاعات خود هستند. پس اکنون به اهمیت موضوع کاملاً پى برده اید؟در صورت نیاز به وارد کردن اطلاعات مهم مانند اطلاعات کارت هاى اعتبارى، ابتدا به ابتداى آدرس اینترنتى صفحه توجه کرده و در صورت شروع شدن با https آنها را وارد کنید. در غیر اینصورت هیچگونه تضمینى وجودندارد!

شرکت دِل در تحقیقات خود دریافت که برخی از حملات سایبری برای پنهان کردن بدافزار و عدم تشخیص آن توسط فایروال از پروتکل امنیتی HTTPS استفاده می‌کنند.
به گزارش تسنیم، شرکت دِل در تحقیقاتی دریافته که در برخی از حملات سایبری برای پنهان کردن بدافزار و عدم تشخیص آن توسط فایروال از پروتکل امنیتی HTTPS استفاده می‌شود.
این شرکت در ارزیابی ترافیک زیرساخت SonicWALL دریافته که تعداد ارتباطات وِبی HTTPS از 182 بیلیون ترافیک در ژانویه 2014 به 437 بیلیون ترافیک در مارس 2015 رسیده است که افزایش چشمگیری را نشان می‌دهد.
این بدان معناست که اکثر ارتباطات وبی از طریق HTTPS صورت گرفته و در یکسال حدود 60 درصد رشد یافته است.
اگرچه این آمار تنها مربوط به داده‌های یک شرکت است اما واضح است که تایید SSL/TLS توسط بسیاری از شرکت‌های بزرگ نشان می‌دهد که رمزگذاری ترافیک عبوری تقریبا جزء الزامات پیش فرض اغلب سایت‌ها شده است.
متاسفانه مجرمان سایبری نیز از این ایده استفاده کرده‌اند و برای راه‌اندازی بسیاری از حملات خود از این شیوه بهره می‌برند.
شرکت Dell نیز به رخداد اخیر فوربِس اشاره میکند که در آن هکرهای چینی بدافزاری را بر روی یک صفحه خبری میزبانی می‌کنند تا برخی از بازدیدکنندگان این صفحه را با سوء استفاده از یک آسیب‌پذیری اصلاح نشده فلش هدف حمله قرار دهند.
مدیر اجرایی دل اظهار داشت که مدیریت تهدیداتی که از ترافیک HTTPS و ترافیک رمزگذاری شده استفاده می‌کنند دشوار و پیچیده است.
همانطور که رمزگذاری می‌تواند از اطلاعات شخصی و مالی حساس افراد محافظت کند، متاسفانه می‌تواند توسط هکرها به کار گرفته شود تا از بدافزارها حفاظت نماید.
همه اطلاع دارند که تهدیدات واقعی هستند و پیامدهای آن می‌تواند وخیم باشد. نمی‌توان در برخی از موارد عدم آگاهی را مقصر دانست.
هک شدن‌ها و حملات همچنان به وقوع می‌پیوندند نه به دلیل عدم به کار بردن اقدامات امنیتی در سازمان‌ها بلکه به این دلیل که همیشه راه‌ها و آسیب‌پذیری‌هایی وجود دارند که برای ما ناشناخته است.
پاسخ


موضوعات مرتبط با این موضوع...
موضوع نویسنده پاسخ بازدید آخرین ارسال
  موارد مهم در تامین امنیت بر روی یک شبکه tabesh 0 57 09-08-2015، 11:17 PM
آخرین ارسال: tabesh
  هک و امنیت "کمی در باره هک" مهدی علینقیان 1 186 09-08-2015، 10:17 PM
آخرین ارسال: tabesh

پرش به انجمن:


کاربرانِ درحال بازدید از این موضوع: 1 مهمان