HTTPS روشی امن برای رمزنگاری و حفاظت از اطلاعات مربوط به وب سایتها و پایگاه داده هاست. اکثر سایتهای محبوبی که هر روز بازدید میکنید از این پروتکل امن برای انتقال دادههای خود استفاده میکنند. این پروتکل به صورت یک قفل سبز در کنار آدرس وب سایت خود را نشان میدهد و به کاربر حس امنیت، القا شده و با خیال راحتتری از آن سایت استفاده میکند.
فهرست مطالب
دسته اول (نه چندان خطرناک)
دسته دوم (خطرناک)
دسته سوم (بسیار خطرناک)
این پروتکل که به
TLSیا
Transport Layer Security معروف است وظیفه رمزنگاری دادهها و اطلاعات بین مرورگر کاربر و سرورهای وب را بر عهده دارد. در این میان یافتههای جدیدی از محققان دانشگاه Ca Foscari ونیز ایتالیا و تووین اتریش نشان میدهد که تعداد قابل توجهی از وب سایتهایی که از این پروتکل امن استفاده میکنند هم در معرض خطر نفوذ و شنود اطلاعات هستند.
مهمترین و زیان بارترین ضعف این وب سایتها نمایش قفل سبز در کنار آدرس سایت با وجود این ضعف امنیتی است.
این مشکلات بعضا به دلیل نقض فنی در لایه TLS وب سرور ایجاد میشود. در تجزیه و تحلیلهای اخیر شرکت الکسای آمازون که بر روی ۱۰۰۰۰ وب سایت دارای پروتکل
HTTPS «قفل سبز» انجام شده است محققان دریافتند که حدود ۵٫۵ درصد از این وب سایتها از آسیب پذیریهای مربوط به TLS و مشکلات فنی برخوردار هستند.
این مشکلات به دلیل ترکیبی از نحوه اجرای طرحهای رمزنگاری TLS و عدم رفع اشکالات شناخته شده انجام میشود. اما مهمترین و زیان بارترین ضعف این وب سایتها نمایش قفل سبز در کنار آدرس سایت با وجود این ضعف امنیتی است.
ریکاردو فوچاری محقق امنیت و رمزنگاری شبکه در دانشگاه
Ca Foscari ونیز که در این زمینه همکاری کرده است میگوید:
”ما در این تحقیق فرض میکنیم که مرورگر کاربران به روز است اما ضعفهایی که ما شناسایی کردهایم توسط مرورگر کاربر نمیتواند مشخص شود.“
جمعی از محققان در گردهمایی تخصصی IEEE که درمورد امنیت و حفظ حریم خصوصی کاربران در سانفرانسیسکو برگزار شده بود در مورد تکنیکهای تجزیه و تحلیل HTTPS از جمله لایه حفاظتی TLS بحث و تبادل نظرهایی کردند که نتیجه آن منجر به دستهبندی انواع این آسیب پذیریها شد که در ادامه به بررسی آنها میپردازیم. لطفا در ادامه با اینجانب همراه باشید.
طبق بررسیهای انجام گرفته آسیب پذیریها به سه دسته کلی تقسیم بندی میشوند:
دسته اول (نه چندان خطرناک)
اطلاعات به دست آمده از این نوع آسیب پذیری بسیار اندک است. در این نوع از آسیب پذیری نفوذگر باید چندین بار query را اجرا کند تا به برخی از اطلاعات به صورت جدا از هم دست یابد. همچنین میتواند با دزدیدن کوکی کاربر به برخی از اطلاعات دست یابد اما این تنها کافی نبوده و نمیتواند به اطلاعات جامعتری مثل رمز عبور دست یابد.
دسته دوم (خطرناک)
در این نوع از آسیب پذیری نفوذگر به تمام اطلاعات تبادل شده بین مرورگر و سرور دست مییابد این دسته هم مانند دسته اول به دلیل نقض امنیتی HTTPS منجر شده است.
دسته سوم (بسیار خطرناک)
این نوع از آسیب پذیری که از دو دسته قبل شومتر و خطرناکتر است نه تنها به نفوذگر اجازه دسترسی به اطلاعات منتقل شده را میدهد بلکه این امکان را به او میدهد تا اطلاعات را دستکاری کرده یا مسیر آنها به سمت سرور را عوض کند.
نکته جالب توجه این که پروتکل HTTPS در ابتدا برای رفع و مسدود کردن چنین حملاتی که به «حملات مرد میانی» (Man-in-the-Middle)
معروفند طراحی و ساخته شده بود.
این آسیبها مهماند اما باید بدانیم که زمان و زحمت زیادی را در مقایسه با سایر روشهای نفوذ و هک از هکرها میگیرند. امروزه حریم خصوصی و امنیت در فضای دیجیتال و سایبری اهمیتی دو چندان یافته به همین دلیل است که باید از پروتکلهای مبتنی بر استاندارد HTTPS بهره برد.
کارشناسان و محققان امنیت میگویند مشکلات ریز امنیتی در یک صفحه وب میتواند دیگر صفحات را هم تهدید کند. به طور مثال چنانچه شما صاحب وب سایت Exmple.com باشید و این دامنه از امنیت لایه TLS به خوبی برخوردار باشد اما دامنه mail.Example.com از ضعف امنیتی برخوردار باشد به دلیل ارتباط بین این دو دامنه تمام راههای ارتباطی آنها تضعیف میشود.
این موضوع بسیار مهم است که وب سایت شما به اندازه ضعیفترین لینک شما امنیت دارد.
در فضای امروزی وب، بسیاری از وبسایتها به یکدیگر وابسته هستند و ارتباطات میان وبسایتها و وبسرویسها بسیار زیاد است.
برای درک این موضوع کافی است بدانید در آن جمعیت ۵٫۵ درصدی از ۱۰۰۰۰ وبسایت برتر که آسیبپذیر تشخیص داده شدند، ۲۹۲ وبسایت تحتتأثیر مستقیم باگ TLS و ۵۲۸۲ درمعرض آسیبپذیری ناشی از سایر وبسایتها قرار داشتند. از این تعداد، بیش از ۴۸۰۰ وب سایت در دستهی سوم (خطرناکترین) و ۷۳۳ وب سایت در دسته دوم و ۹۱۲ وب سایت در دستهی اول (کمترین خطر) قرار میگیرند.
این موضوع حاکی از این مسئله است که وب سایت شما به اندازه ضعیفترین لینک شما امنیت دارد. اما همیشه راه حلهای بوده تا از شر خرابکاران نجات یابیم. محققان مشغول ساخت ابزاری هستند که توانایی تشخیص آسیب پذیری TLS را دارد.
نظر شما چیست؟ آیا از پروتکل امنیتی HTTPS برای امنیت دادههای خود استفاده میکنید؟