يدعي الباحثون أنه حتى HTTPS Encryption ليس كافيًا لمنع بياناتك من السرقة

Share:

يدعي الباحثون أنه حتى HTTPS Encryption ليس كافيًا لمنع بياناتك من السرقة


كيف تتأكد من أن اتصالك آمن؟ سوف يجيب معظم الناس على أنه إذا رأوا علامة القفل الأخضر في شريط عنوان المتصفح ، فإن ذلك سيضمن أمانهم عبر الإنترنت. عادةً ما تعني اللوحة الخضراء أن موقع الويب الذي تقوم بالوصول إليه هو بروتوكول Hypertext Transfer Protocol Secure (HTTPS) ، الذي يؤمن بياناتك ويحميك من محاولات القرصنة. اكتسب HTTPS مصداقية كبيرة على مر السنين حتى أن جميع مواقع الويب المنشأة تقريبًا تستخدمها الآن لتشفير البيانات بين الخادم والمستعرض.


ومع ذلك ، يبدو أن HTTPS وحده لا يكفي لتأمين الاتصال ، حيث اكتشف العديد من الباحثين في النمسا وإيطاليا أنه من بين أفضل 10 آلاف موقع إلكتروني يستخدم HTTPS ، ما يقرب من 5.5٪ لا يزالون عرضة للهجمات المتعلقة بأمان طبقة النقل (TLS) ).

إذا لم تكن على علم بـ TLS (FKA SSL) ، فسيتم استخدامه لتشفير بروتوكول الاتصال في HTTPS. يعتقد الباحثون أن العيوب المكتشفة ترجع إلى التنفيذ الخاطئ لأنظمة تشفير TLS وبعض البراعم لا يتم تصحيحها.


يكاد يكون من المستحيل اكتشاف هذه العيوب من السطح ، ويبدو أن كل شيء طبيعي. لا تزال تظهر علامة القفل الأخضر في شريط العناوين. تم اكتشافها من قبل الباحثين باستخدام أساليب تحليل TLS. استند اختيار أفضل 10 آلاف موقع على تصنيف Alexa.

على الرغم من أن معظم هذه العيوب لا تسمح للمتسلل بالبحث العميق في المعلومات الهامة مثل كلمات المرور وما إلى ذلك ويتم توفير الوصول إلى المعلومات المحدودة فقط ، فإن بعضها شديد الخطورة بحيث يمكن للمهاجمين استخدامها لفك تشفير حركة مرور الويب بالكامل تقريبًا بين الخادم والمتصفح. بالإضافة إلى ذلك ، هناك أيضًا ثغرات أمنية جيدة التجهيز لاستخدامها في فك تشفير البيانات المارة وتعديلها. ومن المفارقات أن هذه الهجمات كانت السبب في طرح HTTPS في المقام الأول.


دعنا نتحدث عن الأرقام. وفقًا للباحثين ، هناك ما يقرب من 91000 نطاق مرتبط بمواقع الويب التي تم اختبارها والتي يبلغ عددها 10،000 موقع ، مما قد يؤدي إلى زيادة عدد مواقع الويب المتأثرة بسبب عيوب HTTPS هذه. علاوة على ذلك ، تم العثور على 898 من المواقع الإلكترونية المختبرة معرضة تمامًا للتعرض للخطر ، في حين أن 977 موقعًا ، رغم أنها مؤمنة بشكل أفضل من المواقع المذكورة سابقًا ، لا تزال قابلة للاختراق إلى حد ما.

يُنصح بمراجعة ورقة البحث الكاملة ، بمجرد صدورها في مايو (بعد ندوة IEEE الأربعين حول الأمن والخصوصية).

ليست هناك تعليقات