ከአሌክሳ ከፍተኛ ድረ-ገጾች (ማዕከላዊ ክበብ) አንዱ፣ በኤችቲቲፒኤስ ደህንነቱ የተጠበቀ፣ ከንዑስ ጎራዎች (ግራጫ) እና ጥገኛዎች (ነጭ) ጋር፣ ከነሱም መካከል ተጋላጭ የሆኑ (የተደመሰሰ ጥላ)
በአሁኑ ጊዜ የኤችቲቲፒኤስ ደህንነቱ የተጠበቀ የግንኙነት አዶ የማንኛውም ከባድ ጣቢያ መደበኛ እና አስፈላጊ ባህሪ ሆኗል። ከሆነ ይጎድላል፣ ሁሉም ማለት ይቻላል የቅርብ አሳሾች ያንን ማስጠንቀቂያ ያሳያሉ እና ሚስጥራዊ መረጃን ወደ እሱ እንዲያስተላልፉ አይመክሩ.
ነገር ግን በአድራሻ አሞሌው ውስጥ "መቆለፊያ" መኖሩ ሁልጊዜ ጥበቃን አያረጋግጥም. ከደረጃው፣ አሌክሳ እንደሚያሳየው ብዙዎቹ በSSL/TLS ፕሮቶኮሎች ውስጥ፣ አብዛኛውን ጊዜ በንዑስ ጎራዎች ወይም በጥገኞች በኩል ለወሳኝ ተጋላጭነት የተጋለጡ ናቸው። የጥናቱ አዘጋጆች እንደሚሉት፣ የዘመናዊ ድር አፕሊኬሽኖች ውስብስብነት የጥቃቱን ገጽታ በእጅጉ ይጨምራል።
የምርምር ውጤቶች
ጥናቱ የተካሄደው በቬኒስ ካ ፎስካሪ (ጣሊያን) ዩኒቨርሲቲ እና በቪየና ቴክኒካል ዩኒቨርሲቲ ባለሙያዎች ነው. ከግንቦት 40 እስከ 20 ቀን 22 በሳን ፍራንሲስኮ በሚካሄደው በ2019ኛው የIEEE ሲምፖዚየም በደህንነት እና ግላዊነት ላይ ዝርዝር ዘገባ ያቀርባሉ።
ከፍተኛዎቹ 10 Alexa ዝርዝር HTTPS ጣቢያዎች እና 000 ተዛማጅ አስተናጋጆች ተፈትነዋል። በ90 አስተናጋጆች ላይ፣ ማለትም ከጠቅላላው 816% የሚጠጋ ተጋላጭነት ያላቸው ምስጠራ ውቅሮች ተገኝተዋል።
- 4818 ለ MITM የተጋለጠ
- 733 ለሙሉ TLS ዲክሪፕት ተጋላጭ ናቸው።
- 912 ለከፊል TLS ዲክሪፕት ተጋላጭ ናቸው።
898 ድረ-ገጾች ለጠለፋ ሙሉ በሙሉ ክፍት ናቸው፣ ማለትም የሶስተኛ ወገን ስክሪፕቶችን መከተብ ይፈቅዳሉ፣ እና 977 ድረ-ገጾች አጥቂ ሊገናኝባቸው ከሚችላቸው በደንብ ካልተጠበቁ ገፆች ይዘቶችን ይጭናሉ።
ተመራማሪዎቹ ከ 898 "ሙሉ በሙሉ የተበላሹ" ሀብቶች መካከል የመስመር ላይ መደብሮች, የፋይናንስ አገልግሎቶች እና ሌሎች ትላልቅ ጣቢያዎች እንደሚገኙ አጽንኦት ሰጥተዋል. ከ 660 ድረ-ገጾች ውስጥ 898 ቱ ውጫዊ ስክሪፕቶችን ከተጋላጭ አስተናጋጆች አውርደዋል፡ ይህ ዋናው የአደጋ ምንጭ ነው። እንደ ደራሲዎቹ ገለጻ የዘመናዊ የድር መተግበሪያዎች ውስብስብነት የጥቃቱን ገጽታ በእጅጉ ይጨምራል።
ሌሎች ችግሮችም ተገኝተዋል፡ 10% የሚሆኑ የፈቀዳ ቅጾች የመረጃን ደህንነቱ የተጠበቀ ማስተላለፍ ላይ ችግር አለባቸው፣ይህም የይለፍ ቃሎችን ለመልቀቅ ያሰጋል፣ 412 ድረ-ገጾች ኩኪዎችን ለመጥለፍ እና የክፍለ-ጊዜ ጠለፋ ይፈቅዳሉ፣ እና 543 ጣቢያዎች በኩኪ ታማኝነት ላይ (በንዑስ ጎራዎች) ጥቃት ይደርስባቸዋል። .
ችግሩ በቅርብ ዓመታት ውስጥ በኤስኤስኤል / ቲኤልኤስ ፕሮቶኮሎች እና ሶፍትዌሮች ውስጥ ነው። POODLE (CVE-2014-3566)፣ BEAST (CVE-2011-3389)፣ ወንጀል (CVE-2012-4929)፣ BREACH (CVE-2013-3587) እና የልብ ደም መፍሰስ (CVE-2014-0160)። እነሱን ለመከላከል፣ የቆዩ ተጋላጭ ስሪቶችን ላለመጠቀም በአገልጋዩ እና በደንበኛው በኩል ብዙ ቅንጅቶች ያስፈልጋሉ። ግን ይህ ቀላል ያልሆነ ሂደት ነው ፣ ምክንያቱም እንደዚህ ያሉ መቼቶች ለመረዳት በጣም ከባድ ከሆኑ ሰፊ የምስጢር እና ፕሮቶኮሎች ስብስብ መምረጥን ያካትታሉ። የትኞቹ የሲፈር ስብስቦች እና ፕሮቶኮሎች እንደ “ደህንነታቸው የተጠበቀ” እንደሆኑ ሁልጊዜ ግልጽ አይደለም።
የሚመከሩ ቅንብሮች
የሚመከሩ የኤችቲቲፒኤስ ቅንጅቶች ዝርዝር በይፋ የጸደቀ እና የተስማማ ማንም የለም። ስለዚህ፣ በሚፈለገው የጥበቃ ደረጃ ላይ በመመስረት በርካታ የማዋቀሪያ አማራጮችን ይሰጣል። ለምሳሌ፣ ለ nginx 1.14.0 አገልጋይ የሚመከሩ ቅንብሮች እዚህ አሉ።
ዘመናዊ ሁነታ
በጣም የቆዩ የሚደገፉ ደንበኞች፡- Firefox 27፣ Chrome 30፣ IE 11 በዊንዶውስ 7፣ Edge፣ Opera 17፣ Safari 9፣ አንድሮይድ 5.0 እና ጃቫ 8
server {
listen 80 default_server;
listen [::]:80 default_server;
# Redirect all HTTP requests to HTTPS with a 301 Moved Permanently response.
return 301 https://$host$request_uri;
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
# certs sent to the client in SERVER HELLO are concatenated in ssl_certificate
ssl_certificate /path/to/signed_cert_plus_intermediates;
ssl_certificate_key /path/to/private_key;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;
# modern configuration. tweak to your needs.
ssl_protocols TLSv1.2;
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256';
ssl_prefer_server_ciphers on;
# HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months)
add_header Strict-Transport-Security max-age=15768000;
# OCSP Stapling ---
# fetch OCSP records from URL in ssl_certificate and cache them
ssl_stapling on;
ssl_stapling_verify on;
## verify chain of trust of OCSP response using Root CA and Intermediate certs
ssl_trusted_certificate /path/to/root_CA_cert_plus_intermediates;
resolver <IP DNS resolver>;
....
}መካከለኛ ድጋፍ
በጣም የቆዩ የሚደገፉ ደንበኞች፡- Firefox 1፣ Chrome 1፣ IE 7፣ Opera 5፣ Safari 1፣ Windows XP IE8፣ አንድሮይድ 2.3፣ Java 7
server {
listen 80 default_server;
listen [::]:80 default_server;
# Redirect all HTTP requests to HTTPS with a 301 Moved Permanently response.
return 301 https://$host$request_uri;
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
# certs sent to the client in SERVER HELLO are concatenated in ssl_certificate
ssl_certificate /path/to/signed_cert_plus_intermediates;
ssl_certificate_key /path/to/private_key;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;
# Diffie-Hellman parameter for DHE ciphersuites, recommended 2048 bits
ssl_dhparam /path/to/dhparam.pem;
# intermediate configuration. tweak to your needs.
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS';
ssl_prefer_server_ciphers on;
# HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months)
add_header Strict-Transport-Security max-age=15768000;
# OCSP Stapling ---
# fetch OCSP records from URL in ssl_certificate and cache them
ssl_stapling on;
ssl_stapling_verify on;
## verify chain of trust of OCSP response using Root CA and Intermediate certs
ssl_trusted_certificate /path/to/root_CA_cert_plus_intermediates;
resolver <IP DNS resolver>;
....
}የድሮ ድጋፍ
በጣም የቆዩ የሚደገፉ ደንበኞች፡- ዊንዶውስ ኤክስፒ IE6 ፣ Java 6
server {
listen 80 default_server;
listen [::]:80 default_server;
# Redirect all HTTP requests to HTTPS with a 301 Moved Permanently response.
return 301 https://$host$request_uri;
}
server {
listen 443 ssl http2;
listen [::]:443 ssl http2;
# certs sent to the client in SERVER HELLO are concatenated in ssl_certificate
ssl_certificate /path/to/signed_cert_plus_intermediates;
ssl_certificate_key /path/to/private_key;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets off;
# Diffie-Hellman parameter for DHE ciphersuites, recommended 2048 bits
ssl_dhparam /path/to/dhparam.pem;
# old configuration. tweak to your needs.
ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers 'ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:ECDHE-RSA-DES-CBC3-SHA:ECDHE-ECDSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:DES-CBC3-SHA:HIGH:SEED:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!RSAPSK:!aDH:!aECDH:!EDH-DSS-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!SRP';
ssl_prefer_server_ciphers on;
# HSTS (ngx_http_headers_module is required) (15768000 seconds = 6 months)
add_header Strict-Transport-Security max-age=15768000;
# OCSP Stapling ---
# fetch OCSP records from URL in ssl_certificate and cache them
ssl_stapling on;
ssl_stapling_verify on;
## verify chain of trust of OCSP response using Root CA and Intermediate certs
ssl_trusted_certificate /path/to/root_CA_cert_plus_intermediates;
resolver <IP DNS resolver>;
....
}ሁልጊዜም ሙሉውን የሲፈር ስብስብ እና የቅርብ ጊዜውን የOpenSSL ስሪት እንዲጠቀሙ ይመከራል። በአገልጋይ ቅንጅቶች ውስጥ ያለው የምስጢር ስብስብ በደንበኛው መቼት ላይ በመመስረት ጥቅም ላይ የሚውሉበትን ቅድሚያ ይገልጻል።
የኤችቲቲፒኤስ የምስክር ወረቀት መጫን ብቻ በቂ እንዳልሆነ ጥናቶች ያሳያሉ። "እ.ኤ.አ. በ2005 እንዳደረግነው ኩኪዎችን የማንይዝ እና 'ጨዋው TLS' የተለመደ ነገር ቢሆንም፣ እነዚህ መሰረታዊ ነገሮች በሚያስደንቅ ሁኔታ በጣም ተወዳጅ የሆኑ ብዙ ጣቢያዎችን ለመጠበቅ በቂ አይደሉም። የሥራው ደራሲዎች. በአገልጋዩ እና በደንበኛው መካከል ያለውን ሰርጥ በአስተማማኝ ሁኔታ ለመጠበቅ ከራስዎ ንዑስ ጎራዎች እና የሶስተኛ ወገን አስተናጋጆች የጣቢያው ይዘት ከቀረበበት መሠረተ ልማት በጥንቃቄ መከታተል ያስፈልግዎታል። ምናልባት በመረጃ ደህንነት ላይ ከተሰማሩ የሶስተኛ ወገን ኩባንያ ኦዲት ማዘዝ ምክንያታዊ ሊሆን ይችላል።
ምንጭ: hab.com