کشف مشکل امنیتی جدید مرورگرها توسط گوگل

مطمئنا باگ خون ریزی قلبی را در خاطرتان دارید، مشکل امنیتی بسیار خطرناکی که شوک بزرگی را به جامعه مجازی وارد کرد. حال به نظر می رسد دچار یک دژاوو خواهیم شد: گوگل یک رخنه پذیری ...

حامد پورحسینی منتشر شده در ۲۳ مهر ۱۳۹۳ | ۱۳:۰۰

در دیجیاتو ثبت‌نام کنید

جهت بهره‌مندی و دسترسی به امکانات ویژه و بخش‌های مختلف در دیجیاتو عضو ویژه دیجیاتو شوید.

عضویت در دیجیاتو

مطمئنا باگ خون ریزی قلبی را در خاطرتان دارید، مشکل امنیتی بسیار خطرناکی که شوک بزرگی را به جامعه مجازی وارد کرد. حال به نظر می رسد دچار یک دژاوو خواهیم شد: گوگل یک رخنه پذیری خطرناک در SSL 3.0 را کشف کرده که به هکرها امکان نفوذ در میان ارتباط ایمن را می دهد و به ترافیک رد و بدل شده دسترسی داشته باشند.

به این نوع حمله به اصطلاح POODLE یا Padding Oracle On Downgraded Legacy Encryption گفته می شود و به نوعی به هکر امکان حمله از نوع مرد میانی و رمزگشایی کوکی های HTTP را میدهد. کوکی ها می توانند بسته به نوع سایت برای اطلاعات شخصی، تنظیمات وب سایت ها و حتی کلمات عبور استفاده شوند.

SSL 3.0 یکی از قدیمی ترین پروتکل هایی است که از ۱۵ سال پیش که ایجاد شد هنوز مورد استفاده اکثر مرورگرها قرار می گیرد و به عنوان ابزار یدکی برای شرایطی که سرویس دهنده نتواند از طریق پروتکل های مدرن به وب سایت اتصال برقرار کند، استفاده می شود. حمله کننده ها می توانند از نفوذ پذیری این پروتکل در جهت دزدی اطلاعات کاربر استفاده و سرور را مجبور به استفاده از آن کنند.

ساده ترین راه برای جلوگیری از این نفوذ پذیری توقف استفاده از پروتکل SSL 3.0 است، در حالی که همین الان جانشین های بسیاری همانند TLS و غیره پا به میدان گذاشته اند، اما به گفته گوگل، هنوز از آن در سطح گسترده ای استفاده می شود. راهی که گوگل پیش روی مرورگرها و سرورها گذاشته استفاده از TLS_FALLBACK-SCSV به عنوان یک مکانیزم دعافی در برابر حمله هکرها و مجبور کردن سرور به استفاده از پروتکل های قدیمی تر است. مرورگر کروم از فوریه امسال استفاده از این روش امنیتی را آعاز کرده و در نسخه های آینده، سوئیچ به پروتکل قدیمی را به کل متوقف می کند.

اگر نگاهی مثبت به قضیه داشته باشیم، به نظر می رسد گوگل نفوذپذیری ای را کشف کرده که هنوز مورد استفاده گسترده قرار نگرفته و این نکته را به ما می گوید که وقت بازنشستگی SSL 3.0 فرا رسیده، چرا که هیچ راه حل دائمی برای برطرف کردن مشکل این پروتکل وجود ندارد. در مطلب آموزشی که این رابطه توسط OpenSSL.org منتشر گشته، گفته شده که "برای دستیابی به یک ارتباط رمزنگاری شده ایمن، لازم است که از استفاده از SSL 3.0 به طور کامل اجتناب شود."

پیشنهاد می کنیم برای کسب اطلاعات دقیق تر و فنی تر کتاب الکترونیکی که وب سایت مربوطه منتشر کرده را حتما مطالعه کنید.

Engadget

حمله سایبری مرورگر

کپی لینک

12 0

دیدگاه‌ها و نظرات خود را بنویسید

برای گفتگو با کاربران ثبت نام کنید یا وارد حساب کاربری خود شوید.

نظرات ثبت شده (12 مورد)

ATA۲۳ مهر ۱۳۹۳

نمیدونم چرا ما ایرانی ها همه چی رو به چشم توطئه میبینیم؟
شما اول ته و توی قضیه رو دربیارید بعد تهمت جاسوسی و ... بزنید

پاسخ
0
smnmasoud۲۳ مهر ۱۳۹۳

ای بابا بازم که زود قضاوت کردید

سلام دوستان

دارید زود اظهارات شرکت گوگل رو قبول میکنید
چطوریه بعد از این همه سال این مسیر نفوذ اونم با اینکه اصلا گسترشی نداشته و حملات هکری دیده نشده حالا کشف شده؟
چطوریه به چشم گوگل اومده ؟ چطوریه .......؟

مخلص کلام

کروم یک پروژه جاسوسی گوگل تحت کنترل دولت انگلستان و آمریکا میباشد
نقطه سرخط

بقیه شو خودتون برید تا آخرش

پاسخ
0
LG Forever۲۳ مهر ۱۳۹۳

چه عجب گوگل بالاخره یه نگاهی به امنیتش انداخت

پاسخ
0
گوسپند۲۳ مهر ۱۳۹۳

گوگل خودش مشکل امنیتیه.

پاسخ
0
GEEEK۲۳ مهر ۱۳۹۳

خیلی تلاش کردم بفهمم چی نوشته ولی سوادم نکشید خدایی :D

پاسخ
0

TROOL۲۳ مهر ۱۳۹۳

خخخخخخخخخخخخخخخخخخ

پاسخ
0
Reza۲۳ مهر ۱۳۹۳

:)

پاسخ
0

bahram۲۳ مهر ۱۳۹۳

گوگل جان دست به کار شو تا یه فاجعه دیگه رخ نداده

پاسخ
0
sam09ft۲۳ مهر ۱۳۹۳

من دیشب دیدم کروم و جاوا و دانلود منجر همه با هم اپدیت دادن گفتم خبریه :D

پاسخ
0
TROOL۲۳ مهر ۱۳۹۳

دم گوگل گرم

پاسخ
0
عــــــامـــــــــر۲۳ مهر ۱۳۹۳

نمیدونم چرا این ssl 3.0 رو بازنشسته نمیکن تا انقد مشکل پیش نیاد ، گزینه های بهتر هم هست اما خب فراگیر نشده اما امنیتش بیشتره

پاسخ
0
عــــــامـــــــــر۲۳ مهر ۱۳۹۳

ایولا به گوگل ، امیدوارم هرچی سریعتر این مشکل حل بشه و بلاهای که خونریزی قلبی سر مردم اورد دوباره تکرار نشه

پاسخ
0