زمان خواندن: 2 دقیقه
امروزه به طور گسترده ای از SSL برای ایمن سازی ارتباطات در صفحات وب استفاده می شود که اطلاعات حساسی را به یک سرور وب ارسال می کنند، مانند اعتبار ورود به سیستم یا اطلاعات مالی. در واقع، برای تجارت الکترونیک ضروری است. چه کسی داده های کارت اعتباری خود را می دهد اگر بداند که توسط هکرها قابل رهگیری است؟
به طور فزاینده ای آشکار شده است که تنها ایمن سازی چنین صفحات ارسالی می تواند ناکافی باشد و اکنون فراخوانی برای ایمن سازی وب سایت ها "پایان تا انتها" وجود دارد که SSL را برای هر صفحه در سایت اعمال می کند. این به عنوان "همیشه در SSL" شناخته می شود.
آیا رویکرد "همیشه در SSL" می تواند یک سایت را امن تر کند؟ کاملا، و همچنین می تواند رتبه بندی موتورهای جستجو را بهبود بخشد.
برخی از آسیبپذیریهایی که با اجرای Always-On SSL قابل پیشگیری هستند عبارتند از Session Hijacking، side-jacking و موارد مشابه، حملات انسان در وسط.
محققان امنیتی یک افزونه مرورگر موزیلا به نام Firesheep اختراع کردند که متأسفانه برای هکرها برای ارتکاب ربودن جلسه بسیار مفید بوده است. مهاجم از Firesheep برای ربودن آسان جلسات کاربر از طریق اتصالات Wi-Fi باز، مانند یک کافه سایبری، استفاده می کند. هنگامی که شخصی تلاش می کند به یک وب سایت شناخته شده متصل شود، از پروتکل های جلسه آن وب سایت برای تصاحب آن استفاده می کند و هکر هویت کاربر را جعل می کند. این می تواند به مهاجم اجازه دهد تا نمایه کاربر از جمله اعتبار ورود به سیستم را تغییر دهد.
Sidejacking حمله ای است که از بازدید مشتریان از صفحات وب HTTP رمزگذاری نشده پس از ورود به سایت استفاده می کند. Sidejacking زمانی امکانپذیر است که وبسایت فقط از SSL برای ایجاد کوکی جلسه استفاده میکند و سپس به HTTP/پورت 80 باز میگردد. این امکان را به هکرها میدهد تا کوکیهایی را که برای حفظ اطلاعات خاص کاربر مانند اعتبار ورود به سیستم بدون محافظت از رمزگذاری SSL استفاده میشوند، رهگیری کنند. .
کوکیها میتوانند حاوی یک نشانگر برای ایمن بودن یا نبودن آن باشند. سرقت کوکیهایی که علامت «امن» ندارند میتواند منجر به سرقت هویت و کلاهبرداری مالی شود.
یکی دیگر از ابزارهای امنیتی مورد استفاده هکرها برای به خطر انداختن جلسات به نام "SSL Strip". این در ابتدا برای نشان دادن اینکه چگونه یک مهاجم ممکن است کاربران را با حذف SSL از جلسه کاربر فریب دهد ایجاد شد. مهاجم دستگاه خود را آماده می کند تا به عنوان یک روتر در یک "حمله مرد در وسط" در شبکه محلی با توانایی نظارت بر تمام ترافیک و تغییر پورت های مقصد و بسته های فوروارد عمل کند. مهاجم جدولهای مسیریابی را تغییر میدهد و با گفتن اینکه دستگاه او روتر/دروازه محلی است، ماشین قربانی را جعل میکند.
نوار SSL که بر روی دستگاه مهاجم اجرا میشود، میتواند ارتباطات قربانی را طوری هدایت کند که گویی روتر شبکه است. اگر کاربر توجه داشته باشد، ممکن است متوجه شود که آدرس URL از "https" به "http" تغییر می کند.
این دقیقاً همان سناریویی است که با اطمینان از ایمن بودن داده های جلسه در برابر هکرها، از آن جلوگیری می کند. این امکان وجود دارد زیرا اولین مرحله در اتصالات، دست دادن SSL کمترین امنیت را دارد. SSL Strip از این انتقال از http به https با پرش به داخل حتی قبل از برقراری اتصال SSL سوء استفاده می کند.
گوگل به اهمیت تمام صفحاتی که از SSL استفاده می کنند پی برده است. آنها اکنون به صفحات ایمن شده با SSL با رتبه بندی بالاتر پاداش می دهند. بسیاری از وب سایت های پرمخاطب، مانند مایکروسافت و فیس بوک، همیشه در SSL را به عنوان بهترین راه برای محافظت از سایت های خود و کاربران خود پذیرفته اند.
آزمایش رایگان را شروع کنید کارت امتیازی امنیتی فوری خود را به صورت رایگان دریافت کنید
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoAiStream. Web3 Data Intelligence دانش تقویت شده دسترسی به اینجا.
- ضرب کردن آینده با آدرین اشلی. دسترسی به اینجا.
- خرید و فروش سهام در شرکت های PRE-IPO با PREIPO®. دسترسی به اینجا.
- منبع: https://blog.comodo.com/e-commerce/time-always-ssl/
- : دارد
- :است
- :نه
- 80
- a
- توانایی
- قادر
- عمل
- اضافه کردن در
- نشانی
- مزیت - فایده - سود - منفعت
- پس از
- معرفی
- اجازه دادن
- اجازه می دهد تا
- همیشه
- an
- و
- ظاهر
- با استفاده از
- روش
- هستند
- AS
- At
- حمله
- حمله
- تلاشها
- توجه
- به عقب
- BE
- زیرا
- شدن
- بوده
- قبل از
- بهترین
- بلاگ
- مرورگر
- تاجر
- by
- صدا
- نام
- CAN
- کارت
- تغییر دادن
- تبادل
- کلیک
- مرتکب شدن
- ارتباط
- ارتباطات
- اخبار کومودو
- سازش
- مفهوم
- اتصال
- ارتباط
- اتصالات
- مصرف کنندگان
- شامل
- بیسکویت ها
- میتوانست
- ایجاد شده
- مجوزها و اعتبارات
- اعتبار
- کارت اعتباری
- سایبر
- داده ها
- نشان دادن
- مقصد
- تجارت الکترونیک
- به آسانی
- در آغوش
- رمزگذاری
- موتور
- حصول اطمینان از
- ضروری است
- ایجاد
- تاسیس
- حتی
- واقعه
- هر
- کاملا
- سوء استفاده
- فیس بوک
- مالی
- کلاهبرداری مالی
- نام خانوادگی
- برای
- به جلو
- تقلب
- رایگان
- از جانب
- دریافت کنید
- دادن
- هکر
- هکرها
- آیا
- زیاد
- بالاتر
- ربودن
- خود را
- چگونه
- HTTP
- HTTPS
- هویت
- if
- اجرای
- اهمیت
- بهبود
- in
- شامل
- از جمله
- به طور فزاینده
- شاخص
- اطلاعات
- فوری
- اینترنت
- امنیت اینترنت
- به
- اختراع
- IT
- JPG
- شناخته شده
- رهبری
- کمترین
- محلی
- سیستم وارد
- ورود
- دستگاه
- ساخت
- بسیاری
- علامت گذاری شده
- حداکثر عرض
- ممکن است..
- مایکروسافت
- متوسط
- قدرت
- مانیتور
- بیش
- موزیلا
- شبکه
- اخبار
- اطلاع..
- اکنون
- of
- on
- فقط
- باز کن
- or
- در اصل
- روی
- بسته
- با ما
- پرداخت
- افلاطون
- هوش داده افلاطون
- PlatoData
- ممکن
- آماده می کند
- جلوگیری از
- مشخصات
- محافظت از
- حفاظت
- پروتکل
- به رسمیت شناخته شده
- محققان
- نگه داشتن
- پاداش
- مسیر
- روتر
- مسیریابی
- در حال اجرا
- سناریو
- کارت امتیازی
- جستجو
- موتور جستجو
- امن
- امن
- امنیت
- تیم امنیت لاتاری
- ارسال
- حساس
- جلسه
- جلسات
- باید
- به طور مشابه
- سایت
- سایت
- راه حل
- کسی
- خاص
- SSL
- گام
- ارسال
- چنین
- گرفتن
- طول می کشد
- که
- La
- سرقت
- شان
- سپس
- آنجا.
- آنها
- این
- زمان
- به
- امروز
- هم
- ابزار
- ترافیک
- انتقال
- نوع
- متاسفانه
- URL
- استفاده
- کاربر
- کاربران
- استفاده
- با استفاده از
- بسیار
- آسیب پذیری ها
- بود
- مسیر..
- وب
- وب سرور
- سایت اینترنتی
- بود
- چه زمانی
- چه
- WHO
- وای فای
- به طور گسترده ای
- اراده
- با
- بدون
- خواهد بود
- می داد
- شما
- زفیرنت