جستجو در محصولات

گالری پروژه های افتر افکت
گالری پروژه های PSD
جستجو در محصولات


تبلیغ بانک ها در صفحات
ربات ساز تلگرام در صفحات
.. سیستم ارسال پیامک ..
وب سرویس رایگان
مرورگرها عليه مشكل امنيتي BEAST

مرورگرها عليه مشكل امنيتي BEAST
Date:1390/7/20

توليد كنندگان مرورگرها به دنبال راه حل­هايي براي حل ضعف پروتكل­هاي امنيتي SSL و TLS هستند.

به گزارش بخش خبر شبكه فن آوري اطلاعات ايران از Certcc، سازندگان مرورگرها در حال تلاش براي پيدا كردن راه­هايي براي محافظت از كاربران در برابر يك ضعف پروتكل­هاي امنيتي هستند كه مي­تواند به يك مهاجم اجازه دهد نشست­هاي اينترنتي محافظت شده را سرقت نمايد.

اين مشكل، كه تا هفته پيش يك مساله تئوري تلقي مي­شد و هفته گذشته يك كد سوء استفاده كننده از آن توسط دو محقق امنيتي در يك كنفرانس امنيتي در آرژانتين عرضه شد، يك آسيب پذيري در پروتكل­هاي رمزگذاري SSL و TLS 1.0 است كه براي امن كردن وب سايت­هايي كه با استفاده از HTTPS كار مي­كنند، مورد استفاده قرار مي­ گيرند.

اين محققان، نرم افزاري به نام BEAST را ايجاد كرده اند كه مي­تواند بخش­هايي از يك جريان داده رمز شده را رمزگشايي كرده و در يك حمله man-in-the-middle مورد استفاده قرار گيرد. BEAST از جاوا اسكريپت اجرا شده در مرورگر استفاده مي­كند و مي­تواند به يك مهاجم اجازه دهد كه ترافيك را شنود نمايد و با سوء استفاده از داده هاي كوكي نشست مورد استفاده براي شناسايي يك مرور كننده وب در يك سايت، خود را به جاي آن مرور كننده جا بزند.

در اينجا پاسخ نمايندگان مرورگرهاي مختلف در اين مورد را مطالعه مي­كنيد:
فايرفاكس
يك مطلب در وبلاگ امنيتي موزيلا بيان مي­كند: «ما در حال حاضر در حال ارزيابي امكان غيرفعال كردن جاوا در تمامي نسخه هاي نصبي فايرفاكس هستيم و در صورت انجام چنين كاري، به زودي به كاربران اطلاع خواهيم داد. فايرفاكس به خودي خود در برابر اين حمله آسيب پذير نيست. در حالي­كه كه اين مرورگر از TLS 1.0 استفاده مي­كند، جزئيات فني اين حمله نياز به قابليت كنترل كامل محتواي ارتباطات منشاء گرفته از مرورگر دارد، كه فايرفاكس اجازه چنين كاري را نمي­دهد. البته مهاجمان ضعف­هايي را در پلاگين­هاي جاوا يافته اند كه مجوز چنين حمله اي را صادر مي­كنند. ما به كاربران توصيه مي­كنيم تا براي رعايت احتياط، جاوا را از Firefox Add-ons Manager غيرفعال نمايند.»
يك مهندس ارشد نرم افزار در PhoneFactor اظهار داشت كه «NoScript نيز مشكل BEAST را حل خواهد كرد به شرطي­كه:
1- سايت همه چيز را به طور امن بر روي HTTPS سرويس دهي نمايد.
2- كاربر بداند كه به هيچ وجه محتوايي مخلوط از امن و ناامن نبايد وجود داشته باشد و از اجراي هرچيزي كه افراد خرابكار به وي پيشنهاد دهد، خودداري نمايد.»
IE
مدير يكي از گروه­هاي محاسبات امن مايكروسافت در ايميلي نوشت:«ما تصور مي­كنيم اين يك مساله كم خطر براي كاربران ما باشد، ولي يك راهنمايي امنيتي براي ارائه راهنمايي و محافظت از كاربران عرضه كرده ايم. در حقيقت IE به پياده سازي اين پروتكل­هاي توسط ويندوز وابسته است، بنابراين راه حل­ها و گردش­هاي كاري ما بر روي سيستم عامل اعمال مي­گردد. ما به دنبال راه­هاي ديگري براي حل اين مساله در محصولات خود و نيز در صنعت هستيم و به محض يافتن چنين راه حلي، راهنمايي امنيتي خود را به روز خواهيم كرد.»
Chrome
يك نماينده گوگل اظهار داشت: «اين شركت در حال آماده سازي و تست يك گردش كاري است. اين يك حمله سخت است كه مهاجم در آن بايد دسترسي پهن باند MITM به قرباني داشته باشد. اين نوعا بدان معناست كه مهاجم و قرباني بايد بر روي يك شبكه بي­سيم قرار داشته باشند. در غير اينصورت، اين مساله بسيار كم خطرتر از مشكلي است كه مي­تواند با مشاهده يك وب سايت توسط كاربر، مورد سوء استفاده قرار گيرد.»
Opera
يك سخنگوي Opera در يك مطلب وبلاگ نوشت: «Opera يك ترميم براي اين مشكل ارائه كرده و تلاش كرد آن را در Opera 11.51 عرضه نمايد، اما متوجه شد كه تغييرات اعمال شده بر روي نحوه اتصال مرورگر به سرورها، براي هزاران سرور در سراسر دنيا غير قابل درك است. اين مساله بايد با همكاري نزديك توليد كنندگان مرورگرها و مديران وب سايت­ها حل گردد. از آنجايي­كه اين مساله نمي­تواند به طور مستقيم در Opera مورد سوء استفاده قرار گيرد، ما تصميم گرفته ايم كه تا زماني كه توافقي همگاني بر سر چگونگي مواجهه با اين مشكل رخ دهد، صبر نماييم.»
Safari
نمايندگان Apple در اين مورد توضيحي نداده اند.
به گزارش Qualys، ارتقا به TLS 1.1 كه در برابر اين حمله آسيب پذير نيست، به تنهايي پاسخگو نخواهد بود، چرا كه تقريبا تمامي ارتباطات SSL از TLS 1.0 استفاده مي­كنند.

شبكه فن‌آوري اطلاعات ايران


Rss Services Print  -(5 Body)  Visitor Count: 748
Add Comments
Name:
Email:  
User Comments:
SecurityCode: Captcha ImageChange Image