تبلیغات
تبلیغات متنی
رسانه حرف تو - مقایسه و اشتراک تجربه خرید
آموزشگاه آرایشگری مردانه شفیع رسالت
تاثیر رنگ لباس بر تعاملات انسانی
محبوبترینها
خرید سوسیس پرکن اصل با گارانتی
تشخیص دیسک و صفحه اصلی از تقلبی (6 راه ساده)
بهترین روش های چاپ جعبه محصولات + ویژگی ها و کاربردها
بهترین روش های چاپ جعبه محصولات + ویژگی ها و کاربردها
ده راهنمایی برای نوازندگان مبتدی یوکللی
بررسی دلایل قانع کننده برای خرید صنایع دستی اصفهان
راه های جلوگیری از جریمه های قبض برق
آشنایی با سایت قو ایران بهترین سایت آگهی و تبلیغات در کشور
بهترین شرکتهای مهندسی در آلمان
صفحه اول
آرشیو مطالب
ورود/عضویت
هواشناسی
قیمت طلا سکه و ارز
قیمت خودرو
مطالب در سایت شما
تبادل لینک
ارتباط با ما
مطالب سایت سرگرمی سبک زندگی سینما و تلویزیون فرهنگ و هنر پزشکی و سلامت اجتماع و خانواده تصویری دین و اندیشه ورزش اقتصادی سیاسی حوادث علم و فناوری سایتهای دانلود گوناگون
مطالب سایت سرگرمی سبک زندگی سینما و تلویزیون فرهنگ و هنر پزشکی و سلامت اجتماع و خانواده تصویری دین و اندیشه ورزش اقتصادی سیاسی حوادث علم و فناوری سایتهای دانلود گوناگون
آمار وبسایت
تعداد کل بازدیدها :
1806728513
اخبار امنیت اطلاعات کشف حفرههای خطرناک در سامانه احراز هویت اینترنتی
واضح آرشیو وب فارسی:فارس: اخبار امنیت اطلاعات
کشف حفرههای خطرناک در سامانه احراز هویت اینترنتی
بهتازگی خطای امنیتی مهمی در هر دو سامانهی احراز هویت OpenID و OAuth کشف شده است که میتواند برای مهاجم امکان سرقت دادههای کاربر را فراهم کند و قربانی را به وبگاههای ناامن هدایت کند.
به گزارش خبرگزاری فارس، در ماه گذشته میلادی مهمترین خبر امنیتی مربوط به آسیبپذیریِ Heartbleed بود که روزها در صدر اخبار قرار گرفته بود و اهمیت آن مربوط به گسترهی استفاده از نرمافزار رمزنگاری OpenSSL بوده است. اینبار، آسیبپذیری مهمی در سامانههای احراز هویت OpenID و OAuth که وبگاههای بزرگی چون گوگل، فیسبوک، LinkedIn، مایکروسافت و غیره از آن استفاده میکنند بار دیگر دنیای امنیت را به لرزه درآورده است. دانشجوی دکترای دانشگاه Nanyang Technological در کشور سنگاپور به نام Wang Jing، به تازگی آسیبپذیری مهمی به نام «Covert Redirect» را در سامانههای احراز هویت مذکور کشف کرده است نحوهی کار این آسیبپذیری به این شکل است که قربانی با کلیک بر یک پیوندِ فیشینگ که از طریق رایانامه دریافت کرده است، یک پنجرهی بالاپر1 در مرورگر خواهد دید که از وی میخواد به منظور احراز هویت اطلاعات کاربری خود را وارد کند، بسته به اینکه پیوند مربوط به چه وبگاهی باشد، کاربر دقیقاً آدرس وبگاهها مانند فیسبوک و گوگل را مشاهده خواهد کرد. به محض تایید اطلاعات کاربر، اطلاعاتی که وی در این پنجره وارد کرده است، به سمت مهاجم ارسال خواهد شد. البته نکته مهم این است که حتی اگر کاربر دکمه تایید اطلاعات را نزند، به سمت وبگاهی که مهاجم میخواهد هدایت میشود که میتواند به صورت بالقوه رایانهی قربانی را آلوده کند. Wang میگوید وی با شرکت فیسبوک تماس گرفته و اطلاعات این آسیبپذیری را گزارش داده است، اما فیسبوک در پاسخ این مشکل را مربوط به سامانهی احراز هویت OAuth 2.0 دانسته و رفع خطاهای امنیتی آن را در کوتاه مدت غیرممکن گزارش داده است. فیسبوک به وی پیشنهاد داده است تا برای تمام نرمافزارهای موجود در سکوی مورد استفاده خود از یک لیست سفید استفاده کند که امکان احراز هویت به نرمافزارهای غیرمجاز از دسترس خارج شود. Wang همچنین این مشکل را به گوگل، LinkedIn، مایکروسافت نیز گزارش داده است و پاسخهای متعددی برای مقابله با این مشکل دریافت کرده است. در تصویر زیر فهرست تمام وبگاهها و سرویسهایی که از OAuth و OpenID برای احراز هویت استفاده میکنند و در مقابل این آسیبپذیری مصون نیستند را مشاهده میکنید:
گوگل که از سامانه OpenID استفاده میکند، در پاسخ عنوان کرده است که در حال پیگیری این مشکل است و سایر وبگاهها نیز با وعده در مورد هشدار به کاربران و یا عدم قبول مسئولیت در مقابل این آسیبپذیری، مشکل را به سامانههای احراز هویت مربوط دانستهاند. اگرچه این آسیبپذیری زمانی خطرناک میشود که کمپین حملات هدفمند به سوءاستفاده از آن بپردازند، اما از آنجایی که هیچ وصلهای برای آن وجود ندارد، بسیار خطرناک خواهد بود و البته کافی است به تعداد کاربرانی که هر روزه از سرویسهای آسیبپذیر استفاده میکنند نیز اشارهای داشته باشیم که روشن شود این آسیبپذیری میتواند دنیای اینترنت را با خطرات جدیِ سرقت اطلاعات مواجه کند. منبع انتهای پیام/آ
93/02/13 - 09:39
این صفحه را در گوگل محبوب کنید
[ارسال شده از: فارس]
[مشاهده در: www.farsnews.com]
[تعداد بازديد از اين مطلب: 95]
-
اقتصادی
پربازدیدترینها