محبوبترینها
قیمت انواع دستگاه تصفیه آب خانگی در ایران
نمایش جنگ دینامیت شو در تهران [از بیوگرافی میلاد صالح پور تا خرید بلیط]
9 روش جرم گیری ماشین لباسشویی سامسونگ برای از بین بردن بوی بد
ساندویچ پانل: بهترین گزینه برای ساخت و ساز سریع
خرید بیمه، استعلام و مقایسه انواع بیمه درمان ✅?
پروازهای مشهد به دبی چه زمانی ارزان میشوند؟
تجربه غذاهای فرانسوی در قلب پاریس بهترین رستورانها و کافهها
دلایل زنگ زدن فلزات و روش های جلوگیری از آن
خرید بلیط چارتر هواپیمایی ماهان _ ماهان گشت
سیگنال در ترید چیست؟ بررسی انواع سیگنال در ترید
بهترین هدیه تولد برای متولدین زمستان: هدیههای کاربردی برای روزهای سرد
صفحه اول
آرشیو مطالب
ورود/عضویت
هواشناسی
قیمت طلا سکه و ارز
قیمت خودرو
مطالب در سایت شما
تبادل لینک
ارتباط با ما
مطالب سایت سرگرمی سبک زندگی سینما و تلویزیون فرهنگ و هنر پزشکی و سلامت اجتماع و خانواده تصویری دین و اندیشه ورزش اقتصادی سیاسی حوادث علم و فناوری سایتهای دانلود گوناگون
مطالب سایت سرگرمی سبک زندگی سینما و تلویزیون فرهنگ و هنر پزشکی و سلامت اجتماع و خانواده تصویری دین و اندیشه ورزش اقتصادی سیاسی حوادث علم و فناوری سایتهای دانلود گوناگون
آمار وبسایت
تعداد کل بازدیدها :
1830954029
ابزاری برای تشخیص آن لاین آسیب پذیری در مرورگرها و وب سایت ها
واضح آرشیو وب فارسی:افتانا: در پی بروز باگی جدید در پروتکل رمزنگاری SSL متخصصان امنیت شبکه شرکت دانش بنیان بیان، ابزاری برای تشخیص آنلاین این آسیب پذیری در مرورگرها و وب سایت ها ارائه دادند.
در پی بروز باگی جدید در پروتکل رمزنگاری SSL متخصصان امنیت شبکه شرکت دانش بنیان بیان، ابزاری برای تشخیص آنلاین این آسیب پذیری در مرورگرها و وب سایت ها ارائه دادند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، یک پروتکل رمزنگاری است که برای برقراری یک ارتباطات امن بین یک سرویس دهنده و یک سرویس گیرنده طراحی شده است. در اینترنت بسیاری از وب سایتها از این پروتکل و البته جایگزین آن یعنی پروتکل TLS برای دریافت دادههای حساس کاربر مانند، کلمه عبور، اطلاعات بانکی کاربر استفاده میکنند. استفاده از این پروتکلها تضمین کننده این است که یک نفوذگر نباید بتواند اطلاعات رمز شده را در طول مسیر رمزگشایی (تغییر و …) کند.
SSL یک پروتکل قدیمی میباشد نسخهی سوم آن مربوط به ۱۵ سال پیش میباشد اما همچنان در مرورگرها از آن پشتیبانی میشود. بیشتر وبسایت ها از نسخههای TLS استفاده میکنند اما در صورت عدم پشتیبانی مرورگر کاربر از TLS سعی میکنند از نسخههای قدیمیتر، مانند SSLv۳ برای برقراری ارتباط استفاده کنند.
آسیبپذیری چیست؟
در هنگام
نفوذگر با بهرهبرداری از این آسیبپذیری میتواند اطلاعات حساس کاربر را برباید و در نهایت وارد حساب کاربر شود.
اولین اتصال به سرویسدهنده (وب سرور)، سرویسگیرنده (مرورگر کاربر) سعی میکند از طریق بالاترین نسخهای که پشتیبانی میکند (مثلاً TLS ۱.۲) ارتباط را ایجاد کند. اگر وب سرور نیز قابلیت پشتیبانی از این نسخه را داشته باشد ارتباط برقرار میشود در غیر این صورت اگر مثلاً وب سرور از نسخهی TLS ۱.۰ استفاده کند، مرورگر کاربر نیز به نسخهی پایینتر یعنی TLS ۱.۰ سوییچ میکند. به این رویکرد downgrade گفته میشود میتواند توسط یک نفوذگر داخل شبکهی کاربر نیز اتفاق بیافتد.
در اینجا نفوذگر مرورگر کاربر را وادار میکند تا از طریق SSLv۳ اتصال را برقرار نماید. در SSLv۳ برای رمزنگاری از روشهای RC۴ و یا یک روش رمز بلوکی در حالت CBC استفاده میشود. در ساختار رمز بلوکی در حالت CBC این پروتکل مشکلی وجود دارد که باعث میشود نفوذگر بتواند با آزمون خطا، با تعداد درخواست های اندکی، قسمتی از درخواست رمز شده بین مرورگر و وب سرور را حدس بزند. این داده حدس زده شده میتواند کوکی کاربر باشد که نفوذگر میتواند با استفاده از آن وارد حساب کاربر شود.
اصل مبنای تئوری این آسیب پذیری توسط Serge Vaudenay در سال ۲۰۰۱ مطرح شده بود، اما او فکر میکرده است که امکان استفاده عملی از این آسیب پذیری وجود ندارد و نهایتا این آسیبپذیری توسط مهندسان گوگل اعلام شد و Poodle نام گرفت.
چه کسانی تحت تأثیر این آسیبپذیری قرار میگیرد؟
کاربران هر وبسایت (سرویس دهنده) که از SSLv۳ پشتیبانی کند (در تنظیمات وب سرور غیر فعال نکرده باشد)، آسیبپذیر میباشند. در واقع حتی اگر وب سایت از نسخههای TLS استفاده کند به دلیل قابلیت
بهترین راه حل برای این آسیبپذیریی عدم استفاده از SSLv۳ توسطوب سرور و کاربر می باشد.
downgrade (بازگشت به نسخهی قبلی) آسیبپذیر میباشد زیرا نفوذگر داخل شبکه میتواند مرورگر کاربر را وادار کند تا از طریق SSLv۳ اتصال برقرار کند.
کاربر چگونه تحت تأثیر این آسیبپذیری قرار میگیرد؟
نفوذگر (داخل شبکه کاربر) با بهرهبرداری از این آسیبپذیری میتواند اطلاعات حساس کاربر مانند (کوکی که هویت کاربر است) را برباید و در نهایت وارد حساب کاربر شود.
راه حل پیشنهادی چیست؟
بهترین راه حل برای این آسیبپذیریی عدم استفاده از SSLv۳ توسط سرویسدهنده (وب سرور) و سرویسگیرنده (کاربر) میباشد. البته اگر سرویس دهندهای تنها از SSLv۳ استفاده کند، غیرفعال کردن آن در سمت کاربر (سرویس گیرنده) میتواند باعث عدم دسترسی به سرویسدهنده شود.
مدیران سایتها چه کاری باید انجام دهند؟
بهترین راه حل برای گردانندگان سایتها (یا وب مسترها) برای جلوگیری از این آسیب پذیری غیر فعال کردن SSLv۳ در تنظیمات web-server است. البته این باعث میشود که مرورگر IE۶ (که البته دیگر پشتیبانی هم نمیشود و سهم کمی در مرورگرها دارد) امکان اتصال به https سایت را نداشته باشد، اما اگر امنیت و راحتی کاربران مهم است (به دلیل وجود مشکلات امنیتی و کارکردی متعدد در IE۶) بهتر است این مرورگر (حداقل برای اتصال امن با https) نادیده گرفته شود.
علاقمندان میتوانند برای آگاهی از نحوه غیر فعال کردن SSL ۳.۰ در مرورگرها و سرورهای مختلف و دسترسی به ابزار تشخیص آنلاین باگ جدید در مرورگرها و سرورها به نشانی اینترنتی amn.bayan.ir مراجعه کنند.
مرجع : خبرگزاری ايسنا
تاریخ انتشار : پنجشنبه ۱ آبان ۱۳۹۳ ساعت ۰۹:۰۰
این صفحه را در گوگل محبوب کنید
[ارسال شده از: افتانا]
[مشاهده در: www.aftana.ir]
[تعداد بازديد از اين مطلب: 50]
-
گوناگون
پربازدیدترینها