۱۳۹۰ شهریور ۱۷, پنجشنبه

هشدارهای امنیتی مرورگرها را جدی بگیریم

امروزه اینترنت به یکی از ارکان اصلی ارتباط بین مردم تبدیل شده است و روزانه بسیاری از ما اطلاعات زیادی را بسته به نیاز میان دوستان و آشنایان یا جامعه پیرامون خود رد و بدل مینمائیم.خیلی از این اطلاعات مانند نتایج جستجو در وب یا خواندن اخبار و رویدادها بصورت یکطرفه از یک سایت برای ما ارسال شده و تعدادی دیگر نیز درخواستهای است از طرف ما برای انتقال، بروز رسانی یا دریافت نوعی خدمات مانند خدمات بانکی یا ثبت نام در یک جای خاص بصورت دو طرفه مابین سرویس گیرنده (client) و سرویس دهنده (server) تبادل میشود. امنیت ارسال و دریافت این اطلاعات بسته به نوع اهمیت داده ها ،  برای ما مهم شده و توجه به آن تبدیل به مسئله ای شده است  که در صورت نداشتن اطلاعات کافی از آن و مطمئن نبودن از داشتن ارتباطی امن در فضای وب، برای کاربر ، آسیب جدی را به داده ها زده و منجر به لو رفتن اطلاعات شخصی افراد میگردد و ذکر این نکته مهم و ضروری است که این موارد بیشتر در زمانی اتفاق میافتند که سرویس دهندگان وب یا مرورگرهای نصب شده بر روی کامپیوتر کاربر این موضوع را به اطلاع وی میرسانند ولی باز هم کاربر بدون توجه به پیغامها و آلارمها،  اقدام به ارسال و لو دادن داده های خود میکند.

chrome error

همانطوریکه می دانید در حالت عادی ، اطلاعاتی که بین  دو کاربر در دنیای مجازی رد و بدل میشود به صورت متن بوده و به گونه ای است که یک کاربر حرفه ای در صورت تمایل براحتی میتواند در وسط راه آنها را دانلود نموده و از آنها در جهت منافع شخصی خود استفاده نمائید، به همین دلیل برای امن کردن فضای ارتباطی و رمز گذاری بر روی این متون، استفاده از پرتکل ssl مورد توجه قرار گرفته و اغلب صاحبان سایتهای حاوی اطلاعات مهم و شخصی که برای داده های خود و مخاطبینشان ارزش قائلند از این سرویس استفاده نموده و فضای ارتباطی را بصورت رمز گذاری شده درمی آورند و  از انتقال صحیح داده ها مطمئن میشوند.

https

عموما نیاز داشتن ارتباطی امن  مبتی بر ssl  در دنیا بر اساس ایجاد دو نوع گواهی دیجتالی برای سرویس دهنده و سرویس گیرنده بوده که  در این میان یک شرکت ثالت  (CA  (Certificate authorities  این کار را برعهده میگیرد تا هویت طرفین را شناسایی نموده، ارتباطات ،نشانی ها، حساب های بانکی و تاریخ انقضای گواهینامه ها را بداند و بر اساس آن ها هویت ها را تعیین نماید.

نحوه تشخیص این نوع سایتهای رمزگذاری شده برای کاربران به اینگونه است که اگر کلمه شروع آدرس سایت بعد از بارگذاری کامل در مروگر https باشد استفاده از این نوع پروتکل جهت تبادل اطلاعات برای صاحب سایت و کاربر محرز میشود.اما نکته ای که برای بسیاری از کاربران هنوز نامشخص و جای سئوال هست اینست که تشخیص صدور گواهینامه های جعلی و یا تشخیص امن بودن فضای ارتباطی  در اختیار کیست و کاربر چگونه از این موضوع مطلع شود .برای اینکار مروگر نصب شده بر روی سیستم شما نقش اساسی را ایفا میکند و با دادن پیغامها و نشان دادن آیکونها صحت گواهینامه ها و یا امن بودن فضا را به اطلاع شما میرساند.یکی از بهترین مرورگرهای که اینکار را به خوبی انجام میدهد مروگر شرکت گوگل بنام کروم است که  این مرورگر با نشان دادن آیکونهای مختلفی قبل از شروع آدرس در آدرس بار خود (یا کلیک بر روی این آیکونها) آنرا به اطلاع کاربر میرساند:

به چند نمونه از این پیامها و آیکونها اشاره میکنیم:


آیکون

معنا

site

این سایت از پروتکل ssl استفاده نمیکند.بسیاری از سایتهابدلیل حساس نبودن اطلاعتشان از این نوع رمزگذاری استفاده نمیکنند.

greenhttps

گوگل کروم یک ارتباط امن را با سایت مورد درخواست شما برقرار کرده است.اگر سایت از Extended Validation SSL (EV-SSL) certificate استفاده کند نام شرکت بعد از آیکون سبز رنگ قرار میگیرد.

yellowhttps

سایت از ssl استفاده میکند اما گوگل کروم محتوای سایت را نا امن تشخیص داده است.دقت کنید در صورت تمایل تبادل اطلاعات مهم با این صفحه ،امکان اینکه ظاهر صفحه توسط افرادی تغییر کند وجود دارد

redhttps

این سایت از ssl استفاده میکند اما گوگل کروم محتوای صفحه را غیر امن تشخیص داده  و گواهینامه سایت دچار مشکل است.در اینحالت امکان اینکه افرادی اطلاعات شما را هک کنند وجود دارد.


  • پیغامهای مشکل SSL

هنگامیکه گواهینامه دچار مشکل شود پیغامهای زیر از طریق گوگل کروم داده می شود:

پیغام

معنا

This is probably not the site you are looking for!

اینحالت زمانی رخ میدهد که آدرس سایتURL  با آدرس واقعی سایت در گواهینامه یکی نباشد اطلاعات بیشتر

The site's security certificate is not trusted!

این پیغام نشاندهنده اینست که گواهینامه ارائه شده توسط CAتهیه نشده است و ممکن است توسط کسی یا شرکتی نامعتبر ایجاد شده باشد. اطلاعات بیشتر

The site's security certificate has expired!
or
The server's security certificate is not yet valid!

این پیغام نشاندهنده باطل شدن گواهینامه سایت بدلیل انقضای تاریخ می باشد و کروک این سایت را امن نمیداند.

The server's security certificate is revoked!

در اینحالت شرکت اصلی صادر کننده ، این گواهینامه را نامعتبر تشخیص میدهد پس کروم نمیتواند امنیت این سایت را تشخیص دهد.

  • مشخصات سایت

سایتهای دارنده ssl با نشان دادن گواهینامه های خود به مرورگر ، خود را معرفی کرده و مرورگر نیز هویت واقعی آنها را تشخیص میدهد. در این میان هر سایتی میتواند خود را به جای سایتی دیگر جا بزند که در اینحال مرورگر هویت واقعی سایتها را عیان میکند و گواهینامه های جعلی نیز بر این موضوع دلالت دارد.

آیکون

معنا

chrome_green_lock

صحت گواهینامه سایت  مورد تایید است.

chrome_orange_site

این سایت دارنده گواهینامه نیست (برای سایتهای که باhttp شروع میشوند اغلب نمایش داده میشود)

chrome_red_lock

تشخیص مرورگر کروم این است که  گواهینامه این سایت مشکل دارد . در این حالت شما باید برای ارسال و دریافت اطلاعات دقت کنید

  • ارتباط شما با سایت

مرورگر کروم به شما در تشخیص رمزگزاربودن ارتبط سایتها کمک میکند .اگر ارتباط شما رمزگزاری نشده باشد افراد یا شرکتهای ثالث می توانند براحتی به اطلاعات شما دسترسی پیدا کنند.

آیکون

معنا

chrome_green_lock

گوگل کروم ارتباط رمز دار امنی را با سایتی که شما مشاهده میکنید برقرار کرده است

chrome_orange_site

ارتباط شما با سایت رمزگذاری نشده است( این برای سایتهای که از http استفاده میکنند طبیعی است)

chrome_gray_lock

ارتباط شما با سایت مشاهده شده رمزگذاری شده است اما اطلاعات حاوی صفحه پیچیده و غیر قابل شناسایی می باشد. در اینحال امکان انتقال داده های شما به یک نفر یا سایت دیگر ممکن می باشد

chrome_red_lock

ارتباط شما با سایت مشاهده شده رمزگذاری شده است اما در این صفحه از اسکریپتهای پیچیده استفاده شده است.در صورت انتقال اطلاعات شخصی و مهم امکان ارسال اطلاعات به کس دیگری وجود دارد. اگر شما از طریق وایرلس به اینترنت وصل شده باشیدانتقال اطلاعات امن دارای ریسک بیشتری از زمانی است که از طریق سیم وصل شده باشید.

  • تاریخچه بازدید ار این سایت

    آیکون

    معنا

    site_history

    شما قبلا از  این سایت دیدن داشته اید، بنابراین تغییرات داده شده توسط شما میتواند امن باشد

    chrome_orange_site

    شما تا به حال از این سایت بازدید نداشته اید. این زمانی درست است که یا واقعا برای اولین بار باشد که شما از این سایت دیدن کرده اید یا اطلاعات بافر شما در داخل مرورگر به هر دلیلی  پاک شده و  از همه بدتر زمانی این آیکون نشان داده میشود  که افرادی غیر از سرویس دهندگان اصلی و صاحبان سایت به جای سایت اصلی این سایت را به شما عرضه میکنند پس در این حالت نیز دقت لازم است.



    --