ثبت بازخورد

لطفا میزان رضایت خود را از دیجیاتو انتخاب کنید.

واقعا راضی‌ام
اصلا راضی نیستم
چطور میتوانیم تجربه بهتری برای شما بسازیم؟

نظر شما با موفقیت ثبت شد.

از اینکه ما را در توسعه بهتر و هدفمند‌تر دیجیاتو همراهی می‌کنید
از شما سپاسگزاریم.

تکنولوژی

کشف مشکل امنیتی جدید مرورگرها توسط گوگل

مطمئنا باگ خون ریزی قلبی را در خاطرتان دارید، مشکل امنیتی بسیار خطرناکی که شوک بزرگی را به جامعه مجازی وارد کرد. حال به نظر می رسد دچار یک دژاوو خواهیم شد: گوگل یک رخنه پذیری ...

حامد پورحسینی
نوشته شده توسط حامد پورحسینی | ۲۳ مهر ۱۳۹۳ | ۱۳:۰۰

مطمئنا باگ خون ریزی قلبی را در خاطرتان دارید، مشکل امنیتی بسیار خطرناکی که شوک بزرگی را به جامعه مجازی وارد کرد. حال به نظر می رسد دچار یک دژاوو خواهیم شد: گوگل یک رخنه پذیری خطرناک در SSL 3.0 را کشف کرده که به هکرها امکان نفوذ در میان ارتباط ایمن را می دهد و به ترافیک رد و بدل شده دسترسی داشته باشند.

به این نوع حمله به اصطلاح POODLE یا Padding Oracle On Downgraded Legacy Encryption گفته می شود و به نوعی به هکر امکان حمله از نوع مرد میانی و رمزگشایی کوکی های HTTP را میدهد. کوکی ها می توانند بسته به نوع سایت برای اطلاعات شخصی، تنظیمات وب سایت ها و حتی کلمات عبور استفاده شوند.

SSL 3.0 یکی از قدیمی ترین پروتکل هایی است که از ۱۵ سال پیش که ایجاد شد هنوز مورد استفاده اکثر مرورگرها قرار می گیرد و به عنوان ابزار یدکی برای شرایطی که سرویس دهنده نتواند از طریق پروتکل های مدرن به وب سایت اتصال برقرار کند، استفاده می شود. حمله کننده ها می توانند از نفوذ پذیری این پروتکل در جهت دزدی اطلاعات کاربر استفاده و سرور را مجبور به استفاده از آن کنند.

ساده ترین راه برای جلوگیری از این نفوذ پذیری توقف استفاده از پروتکل SSL 3.0 است، در حالی که همین الان جانشین های بسیاری همانند TLS و غیره پا به میدان گذاشته اند، اما به گفته گوگل، هنوز از آن در سطح گسترده ای استفاده می شود. راهی که گوگل پیش روی مرورگرها و سرورها گذاشته استفاده از TLS_FALLBACK-SCSV به عنوان یک مکانیزم دعافی در برابر حمله هکرها و مجبور کردن سرور به استفاده از پروتکل های قدیمی تر است. مرورگر کروم از فوریه امسال استفاده از این روش امنیتی را آعاز کرده و در نسخه های آینده، سوئیچ به پروتکل قدیمی را به کل متوقف می کند.

اگر نگاهی مثبت به قضیه داشته باشیم، به نظر می رسد گوگل نفوذپذیری ای را کشف کرده که هنوز مورد استفاده گسترده قرار نگرفته و این نکته را به ما می گوید که وقت بازنشستگی SSL 3.0 فرا رسیده، چرا که هیچ راه حل دائمی برای برطرف کردن مشکل این پروتکل وجود ندارد. در مطلب آموزشی که این رابطه توسط OpenSSL.org منتشر گشته، گفته شده که "برای دستیابی به یک ارتباط رمزنگاری شده ایمن، لازم است که از استفاده از SSL 3.0 به طور کامل اجتناب شود."

پیشنهاد می کنیم برای کسب اطلاعات دقیق تر و فنی تر کتاب الکترونیکی که وب سایت مربوطه منتشر کرده را حتما مطالعه کنید.

دیدگاه‌ها و نظرات خود را بنویسید
مجموع نظرات ثبت شده (12 مورد)
  • ATA
    ATA | ۲۳ مهر ۱۳۹۳

    نمیدونم چرا ما ایرانی ها همه چی رو به چشم توطئه میبینیم؟
    شما اول ته و توی قضیه رو دربیارید بعد تهمت جاسوسی و ... بزنید

  • smnmasoud
    smnmasoud | ۲۳ مهر ۱۳۹۳

    ای بابا بازم که زود قضاوت کردید

    سلام دوستان

    دارید زود اظهارات شرکت گوگل رو قبول میکنید
    چطوریه بعد از این همه سال این مسیر نفوذ اونم با اینکه اصلا گسترشی نداشته و حملات هکری دیده نشده حالا کشف شده؟
    چطوریه به چشم گوگل اومده ؟ چطوریه .......؟

    مخلص کلام

    کروم یک پروژه جاسوسی گوگل تحت کنترل دولت انگلستان و آمریکا میباشد
    نقطه سرخط

    بقیه شو خودتون برید تا آخرش

  • LG Forever
    LG Forever | ۲۳ مهر ۱۳۹۳

    چه عجب گوگل بالاخره یه نگاهی به امنیتش انداخت

  • گوسپند
    گوسپند | ۲۳ مهر ۱۳۹۳

    گوگل خودش مشکل امنیتیه.

  • GEEEK
    GEEEK | ۲۳ مهر ۱۳۹۳

    خیلی تلاش کردم بفهمم چی نوشته ولی سوادم نکشید خدایی :D

    • Reza
      Reza | ۲۳ مهر ۱۳۹۳

      :)

    • TROOL
      TROOL | ۲۳ مهر ۱۳۹۳

      خخخخخخخخخخخخخخخخخخ

نمایش سایر نظرات و دیدگاه‌ها
مطالب پیشنهادی