نیمایي سایټونه ، او د دوی شمیر په دوامداره توګه وده کوي. پروتوکول د ټرافیکي مداخلې خطر کموي، مګر د داسې بریدونو هڅه نه کوي. موږ به د دوی د ځینو په اړه وغږیږو - POODLE، BEAST، DROWN او نور - او زموږ په موادو کې د ساتنې میتودونه.
/فلکر/ / CC BY-SA
پوډل
د لومړي ځل لپاره د برید په اړه په 2014 کې پیژندل شوی. په SSL 3.0 پروتوکول کې یو زیان د معلوماتو امنیت متخصص بوډو مولر او د ګوګل همکارانو لخوا کشف شو.
د دې جوهر په لاندې ډول دی: هیکر پیرودونکي مجبوروي چې د SSL 3.0 له لارې وصل شي ، د پیوستون ماتولو تقلید کوي. بیا دا په کوډ شوي کې لټون کوي - د ترافیک حالت ځانګړي ټاګ پیغامونه. د جعلي غوښتنو لړۍ په کارولو سره ، برید کونکی د دې وړتیا لري چې د ګټو ډیټا مینځپانګې بیا تنظیم کړي ، لکه کوکیز.
SSL 3.0 یو پخوانی پروتوکول دی. مګر د هغه د خوندیتوب پوښتنه لاهم اړونده ده. پیرودونکي دا د سرورونو سره د مطابقت مسلو څخه مخنیوي لپاره کاروي. د ځینو معلوماتو له مخې، د 7 زرو خورا مشهور سایټونو نږدې 100٪ . هم په POODLE کې بدلونونه چې ډیر عصري TLS 1.0 او TLS 1.1 په نښه کوي. سږ کال نوي زومبي پوډل او ګولډنډډل بریدونه چې د TLS 1.2 محافظت څخه تیریږي (دوی لاهم د CBC کوډ کولو سره تړاو لري).
څنګه د ځان دفاع وکړو. د اصلي POODLE په حالت کې، تاسو اړتیا لرئ چې د SSL 3.0 ملاتړ غیر فعال کړئ. په هرصورت، پدې حالت کې د مطابقت ستونزو خطر شتون لري. یو بدیل حل ممکن د TLS_FALLBACK_SCSV میکانیزم وي - دا ډاډ ورکوي چې د SSL 3.0 له لارې د معلوماتو تبادله به یوازې د زړو سیسټمونو سره ترسره شي. برید کوونکي به نور نشي کولی د پروتوکول ښکته کول پیل کړي. د زومبي POODLE او GOLDENDOODLE په وړاندې د ساتنې یوه لاره د TLS 1.2-based غوښتنلیکونو کې د CBC ملاتړ غیر فعال کول دي. اصلي حل به TLS 1.3 ته لیږد وي - د پروتوکول نوې نسخه د CBC کوډ نه کاروي. پرځای یې، ډیر دوامدار AES او ChaCha20 کارول کیږي.
ښکلی
په SSL او TLS 1.0 باندې یو له لومړنیو بریدونو څخه، په 2011 کې کشف شو. لکه POODLE, BEAST د CBC کوډ کولو ځانګړتیاوې. برید کونکي د پیرودونکي ماشین کې جاوا سکریپټ اجنټ یا جاوا اپلیټ نصبوي، کوم چې د TLS یا SSL په اړه د معلوماتو لیږدولو په وخت کې پیغامونه بدلوي. څرنګه چې برید کوونکي د "ډمي" پاکټونو مینځپانګې پیژني، دوی کولی شي د ابتدايي ویکتور د کوډ کولو لپاره وکاروي او سرور ته نور پیغامونه ولولي، لکه د تصدیق کوکیز.
تر نن ورځې پورې، د BEAST زیانونه پاتې دي : پراکسي سرورونه او غوښتنلیکونه د محلي انټرنیټ دروازې د ساتنې لپاره.
څنګه د ځان دفاع وکړو. برید کوونکی اړتیا لري چې د معلوماتو ډیکریټ کولو لپاره منظم غوښتنې واستوي. په VMware کې د SSLSessionCacheTimeout موده له پنځو دقیقو (ډیفالټ وړاندیز) څخه 30 ثانیو ته راکم کړئ. دا طریقه به د برید کونکو لپاره د خپلو پلانونو پلي کول خورا ستونزمن کړي، که څه هم دا به په فعالیت باندې یو څه منفي اغیزه ولري. سربیره پردې ، تاسو اړتیا لرئ پوه شئ چې د BEAST زیان منونکي ممکن ډیر ژر پخپله د تیر شی شي - له 2020 راهیسې ، ترټولو لوی براوزرونه د TLS 1.0 او 1.1 لپاره ملاتړ. په هر حالت کې، د ټولو براوزر کاروونکو 1,5٪ څخه لږ د دې پروتوکولونو سره کار کوي.
ډوب
دا یو کراس پروتوکول برید دی چې د 2-bit RSA کلیدونو سره د SSLv40 پلي کولو کې بګونه کاروي. برید کوونکی د هدف په سلګونو TLS ارتباطاتو ته غوږ نیسي او د ورته شخصي کیلي په کارولو سره SSLv2 سرور ته ځانګړي پاکټونه لیږي. کارول ، یو هیکر کولی شي د شاوخوا زرو پیرودونکو TLS غونډو څخه یوه یې کوډ کړي.
DROWN لومړی ځل په 2016 کې وپیژندل شو - بیا دا معلومه شوه په نړۍ کې. نن ورځ دا خپل تړاو له لاسه نه ورکوي. د 150 زره خورا مشهور سایټونو څخه، 2٪ لاهم دي SSLv2 او زیان منونکي کوډ کولو میکانیزمونه.
څنګه د ځان دفاع وکړو. دا اړینه ده چې د کریپټوګرافیک کتابتونونو د پراختیا کونکو لخوا وړاندیز شوي پیچونه نصب کړئ چې د SSLv2 ملاتړ غیر فعالوي. د مثال په توګه، دوه داسې پیچونه د OpenSSL لپاره وړاندې شوي (په 2016 کې 1.0.1s او 1.0.2g). همدارنګه، د زیان منونکي پروتوکول غیر فعال کولو لپاره تازه معلومات او لارښوونې په کې خپاره شوي , , .
"یوه سرچینه ممکن د ډوبیدو لپاره زیان منونکي وي که چیرې د هغې کیلي د SSLv2 سره د دریمې ډلې سرور لخوا کارول کیږي ، لکه د میل سرور ،" د پراختیا څانګې مشر یادونه کوي. سرګي بیلکین. - دا حالت واقع کیږي که چیرې ډیری سرورونه یو عام SSL سند کاروي. پدې حالت کې، تاسو اړتیا لرئ چې په ټولو ماشینونو کې د SSLv2 ملاتړ غیر فعال کړئ."
تاسو کولی شئ وګورئ چې ایا ستاسو سیسټم د ځانګړي کارولو سره تازه کولو ته اړتیا لري - دا د معلوماتو امنیت متخصصینو لخوا رامینځته شوی چې DROWN کشف کړی. تاسو کولی شئ د دې ډول برید پروړاندې د محافظت اړوند سپارښتنو په اړه نور ولولئ .
زړه تنګ شوی
په سافټویر کې یو له لویو زیانونو څخه دی . دا په 2014 کې د OpenSSL کتابتون کې کشف شو. د بګ اعلان په وخت کې، د زیان منونکو ویب پاڼو شمیر - دا په شبکه کې د خوندي سرچینو نږدې 17٪ ده.
برید د کوچني زړه بیټ TLS توسیع ماډل له لارې پلي کیږي. د TLS پروتوکول اړتیا لري چې معلومات په دوامداره توګه لیږدول شي. د اوږدې مودې ځنډیدو په صورت کې، یو وقفه واقع کیږي او اړیکه باید بیا جوړه شي. د ستونزې سره د مقابلې لپاره ، سرورونه او پیرودونکي په مصنوعي ډول چینل "شور" کوي ()، د تصادفي اوږدوالي یوه کڅوړه لیږدول. که دا د ټول پاکټ څخه لوی و، نو د OpenSSL زیانمنونکي نسخې د تخصیص شوي بفر هاخوا حافظه لوستل. دا ساحه کیدای شي هر ډول ډاټا ولري، په شمول د شخصي کوډ کولو کیلي او د نورو اړیکو په اړه معلومات.
زیانمنتیا د 1.0.1 او 1.0.1f په شمول د کتابتون په ټولو نسخو کې شتون درلود، په بیله بیا په یو شمیر عملیاتي سیسټمونو کې - اوبنټو تر 12.04.4 پورې، CentOS له 6.5 څخه زاړه، OpenBSD 5.3 او نور. یو بشپړ لیست شتون لري . که څه هم د دې زیان په وړاندې پیچونه د هغې له کشف وروسته سمدستي خوشې شوي، ستونزه تر نن ورځې پورې تړاو لري. بیرته په 2017 کې د زړه د خونریزي لپاره حساس.
څنګه د ځان دفاع وکړو. دا اړینه ده تر 1.0.1g یا لوړ نسخه پورې. تاسو کولی شئ د DOPENSSL_NO_HEARTBEATS اختیار په کارولو سره د زړه ضربان غوښتنې په لاسي ډول غیر فعال کړئ. د تازه کولو وروسته، د معلوماتو امنیت متخصصین د SSL سندونه بیا خپرول. بدیل ته اړتیا ده که چیرې د کوډ کولو کیلي معلومات د هیکرانو په لاس کې پای ته ورسیږي.
د سند بدیل
یو منظم شوی نوډ د مشروع SSL سند سره د کارونکي او سرور ترمینځ نصب شوی ، په فعاله توګه ترافیک مداخله کوي. دا نوډ د یو معتبر سند په وړاندې کولو سره یو مشروع سرور نقالی کوي، او دا ممکنه ده چې د MITM برید ترسره شي.
د د موزیلا، ګوګل او یو شمیر پوهنتونونو ټیمونه، په شبکه کې نږدې 11٪ خوندي اړیکې پټې شوي. دا د کاروونکو په کمپیوټرونو کې د شکمن روټ سندونو نصبولو پایله ده.
څنګه د ځان دفاع وکړو. د باور وړ خدماتو څخه کار واخلئ . تاسو کولی شئ د خدماتو په کارولو سره د سندونو "کیفیت" چیک کړئ (CT). د کلاوډ چمتو کونکي هم کولی شي د غوږونو په موندلو کې مرسته وکړي؛ ځینې لوی شرکتونه دمخه د TLS اتصالاتو څارنې لپاره ځانګړي وسیلې وړاندې کوي.
د ساتنې بله طریقه به یو نوی وي ACME، کوم چې د SSL سندونو رسید اتومات کوي. په ورته وخت کې، دا به د سایټ مالکیت تصدیق کولو لپاره اضافي میکانیزمونه اضافه کړي. د دې په اړه نور .
/فلکر/ / CC BY
د HTTPS لپاره امکانات
د یو شمیر زیانونو سره سره، د معلوماتي ټکنالوجۍ شرکتونه او د معلوماتو امنیت متخصصین د پروتوکول په راتلونکي باوري دي. د HTTPS فعال تطبیق لپاره د WWW جوړونکی ټیم برنرز لی. د هغه په وینا، د وخت په تیریدو سره به TLS ډیر خوندي شي، کوم چې به د اړیکو امنیت د پام وړ ښه کړي. برنرز لی حتی دا وړاندیز وکړ د پیژندنې تصدیق لپاره د پیرودونکي سندونه. دوی به د برید کونکو څخه د سرور محافظت ښه کولو کې مرسته وکړي.
دا هم پالن شوی چې د ماشین زده کړې په کارولو سره د SSL/TLS ټیکنالوژۍ رامینځته کړي - سمارټ الګوریتمونه به د ناوړه ترافیک فلټر کولو مسؤل وي. د HTTPS اړیکو سره، مدیران د کوډ شوي پیغامونو مینځپانګې موندلو لپاره هیڅ لاره نلري، په شمول د مالویر څخه غوښتنې کشف کول. لا دمخه نن ورځ، عصبي شبکې د 90٪ دقت سره د احتمالي خطرناکو کڅوړو فلټر کولو وړتیا لري. (().
موندنو
په HTTPS باندې ډیری بریدونه پخپله د پروتوکول سره د ستونزو سره تړاو نلري، مګر د زاړه کوډ کولو میکانیزمونو مالتړ لپاره. د معلوماتي ټکنالوجۍ صنعت په تدریجي ډول د تیرو نسل پروتوکولونو پریښودلو پیل کوي او د زیان منونکو لټونونو لپاره نوي وسیلې وړاندیز کوي. په راتلونکي کې، دا وسایل به په زیاتیدونکي توګه هوښیار شي.
د موضوع په اړه اضافي لینکونه:
سرچینه: www.habr.com