بايگانی‌ وب‌نوشت

استانداردی جدید در میان پروتکل های اینترنت؛ HSTS

بابک فخریلو

مکانیسیم امنیتی جدیدی مورد تایید قرار گرفته که تضمین می کند سایت های با قابلیت فعالیت روی HTTPS، مقاومت بیشتری در برابر حملات مختلف از  خود نشان دهند، و تبدیل به یک استاندارد شده، گرچه در حال حاضر حرکت به سوی استفاده از آن بسیار کند است، و صرفا سایت هایی مشهور و بزرگ از آن استفاده می کنند.

HTTP Strict Transport Security (HSTS) به وب سایت ها اجازه می دهد تا صرفا از طریق HTTPS قابل دسترس باشند، و طوری طراح شده تا مانع از حملاتی شود که در آن، فرد هکر کاربران را مجبور به استفاده از اتصال HTTP می کند یا مشکلاتی را در HTTPS به وجود می آورد تا یکپارچگی محتوای بی خطر را مورد تهدید قرار دهد.

IETF، گروهی که موظف به توسعه و ارتقای استاندارد های اینترنت هستند، مشصخه های HSTS را در قالب مستند استاندارد RFC 6797 ، منتشر کرده اند. بخش امنیت وب در IETF، از سال 2010 روی این استاندارد جدید کار می کرده، که در آن زمان پیش نویس این استاندارد، توسط Jeff Hodges از PayPal، Collin Jackson از دانشگاه Carnegie Mellon و Adam Barth از Google، ارائه شد.

HSTS مانع از حملاتی که اصطلاحا mixed content خوانده می شوند، می  گردد. این نوع از حملات زمانی رخ می دهد که script ها یا سایر منابع جای گرفته در یک وب سایت، که روی HTTPS سرویس ارائه می دهد، از یک منبع شخص ثالثی (به عنوان نمونه می توان به اسکریپت های آمار گیری اشاره کرد) و با یک اتصال غیر امن بارگذاری می شوند. بروز چنین رخنه ای می تواند عمدی یا در نتیجه ی بی توجهی در فرآیند توسعه ی آن وب سایت باشد.

وقتی مرورگر منابع را از اتصال های غیر امن بارگذاری می کند، درخواست خود را از طریق HTTP می فرستد، که در این حالت می توان حتی session cookie کاربر را هم ارسال کرد. مهاجم می تواند درخواست ارسالی را به راحتی با  sniff کردن شبکه باز کرده، cookie را از  آن استخراج کند، و حساب کاربری افراد را در وب سایت ها سرقت کند.

مکانیسم HSTS همچنین مانع از حملات نوع man-in-the-middle می شود، که در آن شخص مهاجم می تواند اتصال کاربر به یک وب سایت را مانیتور کند و مرورگر کاربر را وادار کند به جای اتصال HTTPS، از  اتصال HTTP استفاده کند. این تکنیک همچنین با نام SSL Stripping هم شناخته می شود، و ابزارهایی هم برای انجام آن وجود دارد.

وقتی مرورگر با HTTPS به وب سایتی متصل می شد که از HSTS پشتیبانی می کند، یک چیزی مانند شناسه (در متن اصلی با نام policy آمده است) ذخیره می شود که البته طول عمر مشخصی دارد. از آن به بعد، تا زمانی که شناسه منقضی نشده، مرورگر از اتصال نا امن به آن وب سایت خود داری خواهد کرد.

HSTS از طریق Http Response header منتقل می شود، و درون فیلدی به نام Strict-Transport-Security قرار می گیرد. از همان Header می تواند برای بروز رسانی یا تازه سازی شناسه ی امنیتی  ذخیره شده در مروگر استفاده کرد.

این استاندارد یکی از بهترین رخ دادها برای SSL است، چرا که مشکلاتی که 18 سال پیش هنگام طراحی SSL چشم پوشی شده بود را برطرف می کند.

HSTS کاری به هشدار های مشکوک بودن certificate ندارد. اگر مشکلی دیده  شود، مرورگر به سادگی از اتصال امتناع خواهد کرد و به کاربران این فرصت را نمی دهد که مانند خطا های SSL Certificate، آن را ignore کنند.

البته حتی اگر سایتی از HSTS پشتیبانی بکند، امکان بروز حمله، در صورتی که مرورگر برای بار اول سایت را بارگذاری می کند، وجود دارد، چرا که ممکن است مرورگر شناسه ی امنیتی را ذخیره نکرده باشد. در آن هنگام، مهاجم می تواند مانع از دسترسی مرورگر به نسخه ی  HTTPS سایت شود و آن را مجبور به استفاده از HTTP کند.

برای حل این مشکل، مرورگرهایی مانند Chrome و Firefox فهرستی پیش تهیه شده را از سایت های محبوبی که از HSTS پشتیبانی می کنند، دارند.

مطابق آنچه SSL Pulse می گوید، حدود 1700 سایت  از 180000 سایت که روی HTTPS کار می کنند، از HSTS هم پشتیبانی می کنند. SSL Pulse پروژه ای است، که مسئول مانیتور کردن پیاده سازی های HTTPS در وب سایت ها می باشد.

به نظر می رسد بزرگ ترین مشکل در برابر HSTS این است که باید در این زمینه آموزش داد، و همه باید نسبت به وجود آن اگاه باشند.

سایت های محبوبی که از HSTS پشتیبانی می کنند، در حاضر شامل سایت هایی چونPayPal ، Twitter و سرویس های مختلف Google می شود. Facebook گرچه اتصال دائم از طریق HTTPS را فعال کرده، اما هنوز از استاندارد جدید پشتیبانی نمی کند.

برگرفته از :

HTTP Strict Transport Security Becomes Internet Standard

Advertisements

نزدیک به 300000 IP کاربران ایرانی در معرض خطر جدی قرار دارند

Fox-IT گزارش میدهد نزدیک به 300 هزار IP آدرس منحصر بفرد کاربران  ایرانی که  گواهینامه آنها توسط  شرکت امنیتی هلندی DigiNotar صادر شده بود توسط سرویس های گوگل بصورت موقت هرزه قلمداد شده اند.اعتبار این گواهینامه های هرزه که توسط این شرکت (DigiNotar ) در 10 جولای صادر شده بود.در تاریخ 29 اگوست  فاقد اعتبارشناخته شده اند که با توجه به این ارقام حدود 99 درصد( آی پی)  کاربران ایرانی دچار مشکل شده  است یا خواهد شد.لیست IP های که مجاز به استفاده از سرویس ایمیل گوگل هستند به گوگل داده شده است.گوگل کفته است که با مورد استفاده قرار گرفت اطلاعات ذخیر شده در کوکی ها هکرها توانسته اند به صندوق پستی گوگل و سایر سرویس گوگل کاربران ایرانی گوگل نفوذ کنند.

Read the rest of this entry

افزونه های رایگان Firefox که از جاسوسی Firesheep جلوگیری می کنند

بابک فخریلو

هر کاربری که با اتصال رمز نشده به شبکه های wire-less وصل می شود، باید از خطرات وارد شدن (sign-in) به یک وب سرویس آگاه باشد.

امن ترین روش وارد کردن رمز عبور و حساب کاربری، زمانی است که آدرس صفحه با «https://» شروع می شود، و یک آیکون قفل در بالا یا پایین پنجره ی مرورگر نمایان می شود. در غیر این صورت، کسی که قصد جاسوسی در شبکه را دارد می تواند فعالیت های شما را بدون آگاهی خودتان، تحت نظر داشته باشد. توجه داشته باشید که آیکون قفل ممکن است حتی با وجود این که آدرس صفحه با «https:» شروع می شود، یک علامت تعجب کنار خود داشته باشد. این یعنی قسمتی از محتوای این صفحه قابل تایید نیست.

وب سرویس های محبوبی چون Facebook، Twitter و WordPress هنوز هم صفحه ی ورود کاربر (sign-in) را کد (encrypt) نمی کنند.و حالا در این میان، آخرین نسخه از افزونه ی Firesheep مرورگر Firefox، بدست آوردن اطلاعات sign-in را ساده تر از قبل می کند. طراح این افزونه مدعی است که  انگیزه او از این کار، انتشار بد افزار به واسطه ی نقص وب سرویس ها بوده، تا از داده های sign-in کاربر حفاظت کند. در مقاله ی سایت TechCrunch نگاه دقیق تری به این موضوع شده است.

اما دو افزونه ی رایگان برای Firefox وجود دارد که از جاسوسی Firesheep برای کسب اطلاعات sign-in شما جلوگیری می کند: Blacksheep و HTTPS Everywhere .

Blacksheep در اینجا هنگامی که یک Firesheep قصد دزدیدن داده ها را دارد، آنرا یافته و گزارش می دهد.

نقدی که  در مورد Blacksheep می شود، این است که فقط به مقابله به Firesheep می پردازد و برای تلاش های SideJacking * دیگر، کاری انجام نمی دهد. HTTPS Everywhere هم تمام ارتباط ها با سایت را کد می کند، گرچه برخی از محتوایی که توسط سایت تحویل داده می شود رمز نشده باقی می ماند.

امن کردن یک اتصال رمز نشده با استفاده از شبکه ی خصوصی مجازی

بهترین راه برای این که مانع از این شوید تا داده های شما از یک شبکه ی بی سیم رمز نشده عبور نکنند، استفاده نکردن از چنین شبکه ای است. اما راه حل دوم شما، استفاده از یک  اتصال شبکه ی خصوصی مجازی(VPN) است.

گرچه این نوع از اتصال ها سرعت را کند می کند، اما کمی  بیشتر صبر کردن برای باز شدن یک صفحه، هزینه ی کمی است که برای امنیت بیشتر پرداخت می کنید.

پانویس:

SideJacking چیست ؟

نوعی خراب کاری که در آن یک Web session به یک سرویس remote را با استفاده از اطلاعات محرمانه ی ای که کاربر/قربانی را به آن  سرور مشخص تعریف می سازد ، سرقت می کند. این نوع از خرابکاری بیشتر در سایت هایی که برای اعتبار سنجی از نام کاربری و رمز استفاده می کنند اجرا می شود. سایت های ارائه دهنده ی Web mail و یا شبکه های اجتماعی از این دست هستند. SideJacking تنها روی سایت هایی کار می کند که از cookie ها بدون SSL استفاده می کنند، بنابراین هر سایتی که از SSL استفاده می کند، می تواند از این حمله در امان باشد.

برگرفته از:

http://news.cnet.com/8301-1009_3-20022306-83.html?tag=nl.e757

http://www.webopedia.com/TERM/S/SideJacking.html

تنظیم دسترسی پیش فرض به Gmail با Https

برگرفته از وبلاگ رسمی Gmail

در سال 2008 ، گزینه ای را در اختیار کاربران قرار دادیم که همواره از پروتکل https برای کار با Gmail استفاده کنند.بدین شکل ایمیل شما زمانی که میان مرورگر و سرور ما در حال جابجایی است ، رمز می شود.استفاده از https باعث می شود تا افراد دیگر قادر به تجسس داده ها نشوند.ابتدا انتخاب این پروتکل را به عهده شما گذاشتیم ، چرا که  یک جنبه منفی در آن وجود دارد ، و آن هم کند شدن ایمیل شما به هنگام استفاده از https است ، چرا که داده های رمز شده به سرعت داده های رمز نشده منتقل نمی شوند.در چند ماه گذشته ما تحقیقاتی را انجام دادیم و به این نتیجه رسیدیم که فعال کردن  https برای هر کاربر ، کار درستی خواهد بود.

در حال حاضر این طور تنظیم شده که هر کاربری در حالت https با ایمیل خود کار کند.اگر پیش از این ایمیل خود را طوری تنظیم کرده اید که از این پروتکل استفاده کند ، نیازی به ایجاد تغییر اضافه نیست.اگر به امنیت شبکه خود اطمینان دارید و
نمی خواهید از https پیش فرض استفاده کنید، هر زمان که خواستید می توانید با انتخاب «Don’t always use https» از منوی تنظیمات ، آن را غیرفعال کنید.با این حال Gmail همواره اطلاعات ورود (login) شما را رمز می کند تا از گذرواژه تان حفاظت کند.

برای این که با گام های حفاظت از حساب کاربری و رایانه خود آگاه شوید به لینک زیر مراجعه کنید :

google.com/help/security.