کشف مشکل امنیتی جدید مرورگرها توسط گوگل

مطمئنا باگ خون ریزی قلبی را در خاطرتان دارید، مشکل امنیتی بسیار خطرناکی که شوک بزرگی را به جامعه مجازی وارد کرد. حال به نظر می رسد دچار یک دژاوو خواهیم شد: گوگل یک رخنه پذیری خطرناک در SSL 3.0 را کشف کرده که به هکرها امکان نفوذ در میان ارتباط ایمن را می دهد و به ترافیک رد و بدل شده دسترسی داشته باشند.

به این نوع حمله به اصطلاح POODLE یا Padding Oracle On Downgraded Legacy Encryption گفته می شود و به نوعی به هکر امکان حمله از نوع مرد میانی و رمزگشایی کوکی های HTTP را میدهد. کوکی ها می توانند بسته به نوع سایت برای اطلاعات شخصی، تنظیمات وب سایت ها و حتی کلمات عبور استفاده شوند.

SSL 3.0 یکی از قدیمی ترین پروتکل هایی است که از ۱۵ سال پیش که ایجاد شد هنوز مورد استفاده اکثر مرورگرها قرار می گیرد و به عنوان ابزار یدکی برای شرایطی که سرویس دهنده نتواند از طریق پروتکل های مدرن به وب سایت اتصال برقرار کند، استفاده می شود. حمله کننده ها می توانند از نفوذ پذیری این پروتکل در جهت دزدی اطلاعات کاربر استفاده و سرور را مجبور به استفاده از آن کنند.

موبایلت

ساده ترین راه برای جلوگیری از این نفوذ پذیری توقف استفاده از پروتکل SSL 3.0 است، در حالی که همین الان جانشین های بسیاری همانند TLS و غیره پا به میدان گذاشته اند، اما به گفته گوگل، هنوز از آن در سطح گسترده ای استفاده می شود. راهی که گوگل پیش روی مرورگرها و سرورها گذاشته استفاده از TLS_FALLBACK-SCSV به عنوان یک مکانیزم دعافی در برابر حمله هکرها و مجبور کردن سرور به استفاده از پروتکل های قدیمی تر است. مرورگر کروم از فوریه امسال استفاده از این روش امنیتی را آعاز کرده و در نسخه های آینده، سوئیچ به پروتکل قدیمی را به کل متوقف می کند.

اگر نگاهی مثبت به قضیه داشته باشیم، به نظر می رسد گوگل نفوذپذیری ای را کشف کرده که هنوز مورد استفاده گسترده قرار نگرفته و این نکته را به ما می گوید که وقت بازنشستگی SSL 3.0 فرا رسیده، چرا که هیچ راه حل دائمی برای برطرف کردن مشکل این پروتکل وجود ندارد. در مطلب آموزشی که این رابطه توسط OpenSSL.org منتشر گشته، گفته شده که "برای دستیابی به یک ارتباط رمزنگاری شده ایمن، لازم است که از استفاده از SSL 3.0 به طور کامل اجتناب شود."

پیشنهاد می کنیم برای کسب اطلاعات دقیق تر و فنی تر کتاب الکترونیکی که وب سایت مربوطه منتشر کرده را حتما مطالعه کنید.

ویجیاتو

نظرات ۱۲

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود

رمزتان را گم کرده‌اید؟