رفتن به محتوای اصلی
021-91011091 info@athena.ir

۷۵ درصد سایت‌ها در مقابل حمله BEAST SSL آسیب پذیر هستند

Want create site? Find Free WordPress Themes and plugins.

طبق بررسی جدید Trustworthy Internet Movementدر طرح PulseSSL 75 درصد سایت‌ها در مقابل حمله BEAST SSL آسیب پذیر هستند
 
شرکت Trustworthy Internet Movement پیرو طرحی جدید با نام PulseSSL، کیفیت و ایمنی سایت‌های برتر در سراسر اینترنت بررسی کرد که طی آن ۷۵ درصد این سایت‌ها در مقابل حمله BEAST SSL آسیب پذیر شناخته شده و تنها ۱۰ درصد از سایت های بررسی شده امن برآورد شدند. به گزارش روابط عمومی پاد، طرح PulseSSL، مولفه های زیادی که در سایت هایی که در آنها SSL پیاده‌سازی شده را برای تعیین میزان امنیت آن سایت مورد بررسی قرار می دهد. این طرح بررسی می‌کند که هر سایت از کدام پروتکل‌های TSL و SSL پشتیبانی می‌کند و آیا در مقابل حمله BEAST و دیگر حملات آسیب پذیر هست یا خیر؟
 
اطلاعاتی که به وسیله این طرح جمع آوری شد نشانگر این است که اکثریت قریب به اتفاق از نزدیک به ۲۰۰ هزار سایت بررسی شده در این طرح، نیاز به کمک جدی برای رفع مشکلات مربوط به پیاده سازی SSL داشتند. آمار نگران کننده دیگری که به وسیله این طرح جمع آوری شد، نشان دهنده این است که تعداد ۱۴۸ هزار مورد از سایت های بررسی شده در مقابل حمله BEAST آسیب پذیر هستند.
 
حمله BEAST توسط دو محقق به نام های Juliano Rizzo و Thai Duong ایجاد شده که سال پیش افشا شد. این حمله از chosen-plaintext استفاده می کند که علیه پیاده سازی AES در پروتکل TLS 1.0 انجام می شود و برای حمله کننده امکان استفاده از ابزاری خاص برای سرقت و رمزگشایی کوکی های HTTPS را فراهم می کند. سپس حمله کننده می تواند درخواست های SSL توسط قربانی به سایت های تجارت الکترونیکی و یا اینترنت بانک را برباید.
حمله BEAST بسیار پیچیده است، اما نگرانی جدی و واقعیت این است که سه چهارم از سایت هایی که در این طرح مورد بررسی قرار گرفتند، هنوز هم در معرض انواع حملات دردسرساز هستند. این سایتها می توانستند تنها با کاهش انتشار TSL 1.0 میزان حملات را کاهش دهند و برای این کار لازم بود که تنظیمات سرورهایشان به طوری باشد که در طی ارسال درخواست های TSL 1.0 و SSL 3.0 تنها از حروف رمزی RC4 استفاده کنند.
 
نگرانی بزرگ دیگر درباره اطلاعات به دست آمده از گزارش SSL Pulse این است که یک سوم از سایت هایی که از پروتکل SSL 2.0 پشتیبانی می کنند ناامن تلقی می شوند. متخصصان توصیه می کنند که به دلیل ضعف موجود در SSL 2.0 از این ورژن استفاده نشود. Trustworthy Internet Movement در سال اخیر شکل گرفت که توسط Philippe Courtot مدیرعامل شرکت Qualys حمایت می شود و نیروهای متخصصی در زمینه SSL مانند Ivan Ristic ازQualys، Moxie Marlinspike از Whisper Systems و Twitter و Adam Langley از Google عضو این مجموعه هستند.
 
Ristic در یک پست از سایت مجموعه Trustworthy Internet Movement می گوید داده های جمع آوری شده توسطاین تحقیق قطعی نیست و این نشانه خوبی است از آنچه در سایت های امن SSL اتفاق می افتد. Ristic بیان می کند: “نتایج آزمون های انجام شده در زمینه SSL که برای خلاصه کردن نتایج به دست آمده از کیفیت پیکربندی SSLانجام شده است، نشانگر این است که نزدیک به ۵۰ درصد (۹۹۹۰۳ سایت) رتبه A دریافت کرده اند که نتیجه خوبی است. این در حالی است که گزارش قبلی حاکی از این بود که ۳۳ درصد از سایت ها به خوبی پیکربندی شده اند. این بدین معنی است که سایت های محبوب تر امن تر شده اند. متاسفانه، بسیاری از سایت هایی که رتبه A دریافت کرده اند هنوز از ارتباطات ناامن استفاده می کنند (۸۵۲۲ سایت یا ۸٫۵ درصد از سایت های با پیکربندی خوب) و یا تعداد ۷۲۳۵۷ یا ۷۲٫۴ درصد درصد از این سایت ها در مقابل حمله BEAST آسیب پذیر هستند. این آمارنشان می دهد که تنها تعداد ۱۹۰۲۴ سایت (۹٫۵۹ درصد از کل سایت ها) در این سطح از تجزیه و تحلیل واقعا امن هستند.”

Did you find apk for android? You can find new Free Android Games and apps.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

کد امنیتی *

برگشت به بالا