واضح آرشیو وب فارسی:همکاران سیستم: گوگل پروتكل SSL را در سايت خود تغيير ميدهد
يك پژوهشگر امنيتي به دنبال بهرهبرداري از روش امنيتي جديد در حال انجام مذاكرات با شركت گوگل است تا از فناوري جديد وي بهرهبرداري كند.
به گفته "مايك پري" (Mike Perry)، در حالي كه يك سايت اينترنتي بهظاهر ايمن در يك شبكه بيسيم Wi-Fi ناامن به هكرها امكان دهد تا كليه ارتباطات كاربر را قطع كنند، روش جديد وي جلوي اين اقدام را ميگيرد و اگر گوگل از اين فناوري استفاده كند، ديگر سرويسهاي اينترنتي نظير Facebook، Yahoo Mail و Hotmail ناامن و آسيبپذير خواهند ماند.
وي كه هماكنون به عنوان يكي از مهندسان و توسعهدهندگان محصولات در شركت Riverbed Technology فعاليت ميكند، ادعا ميكند كه يك سال قبل در مورد يك حفره معمولي كه به دنبال پشتيباني سايتها از پروتكل SSL ايجاد ميشود، صحبت كرده بود. پروتكل SSL براي محافظت اطلاعات كاربران در اينترنت تعيين شده است تا هنگام گشت و گذار در سايتهاي مختلف، مشكلي براي اطلاعات كاربران به وجود نيايد.
اجراي پروتكل SSL در سايتهاي اينترنتي دو مشكل عمده دارد. نخست اينكه، برخي سايتهاي اينترنتي از پروتكل SSL پس از صفحه Login و ورود شناسه كاربري و رمز عبور كاربران استفاده نميكنند. اين مسئله باعث ميشود تا فايلهاي كوكي كاربران از طريق شخص ديگري در شبكه سرقت شود. زماني كه "مايك پري" در سال گذشته از وجود اين مشكلات خبر داده بود، "رابرت گراهام"(Robert Graham) از شركت Errata Security نيز به آنها اشاره كرده بود.
بخش كوكيها در يك سايت اينترنتي كه به درست بودن شناسه كاربري و رمز عبور كمك ميكند، دو حالت كلي دارد: "امن و غيرامن". ميزان آسيبپذيري كه "مايك پري" از آن سخن گفته است، مربوط به برخي سايتهاي اينترنتي ميشود كه قصد استفاده از پروتكل SSL را دارند، اما كوكيهاي خود را در حالت "امن" قرار نميدهند. اين اتفاق امكان دسترسي هكرها را به شبكههاي محلي فراهم ميكند تا به وسيله آن به كوكيها دسترسي پيدا كنند و به اين وسيله، به عنوان يك كاربر معمولي وارد سايت شوند و به حساب بانكي، پست الكترونيكي و ديگر خدمات مربوط به كاربر دسترسي پيدا كنند. به گفته "پري" اين مشكل براي سايتهايي كه از پروتكل http استفاده ميكنند نيز وجود خواهد داشت.
تاكنون هيچ مشكلي در زمينه به كارگيري از پروتكل SSL در سايت گوگل گزارش نشده است. اما از زمان انتشار اخبار جديد از سوي اين شركت در ماه گذشته مبني بر ورود كاربران به سرويس پستالكترونيكي Gmail به صورت پيشفرض روي سرور و عدم نياز به تايپ https://mail.google.com، "پري" احتمال بروز اين مشكل را براي گوگل هم ميدهد.
"پِري" در ايميلي كه ارسال كرده بود نوشته است: "تقريباً هيچ سايتي به غير از گوگل حاضر به سرمايهگذاري براي افزايش امنيت كاربران نيست و همچنان كه سال گذشته اين موضوع را ناديده گرفتند، به اين رفتار خود ادامه ميدهند."
يکشنبه 3 شهريور 1387
این صفحه را در گوگل محبوب کنید
[ارسال شده از: همکاران سیستم]
[تعداد بازديد از اين مطلب: 162]