معظم مواقع الإنترنت HTTPS التي يبلغ عددها 200،000 أعلى إنترنت هي حركة إنترنت غير آمنة وجديرة بالثقة تقول

يستند التقرير على بيانات من مشروع TIM جديد يسمى SSL Pulse ، والذي تستخدم تقنية المسح التلقائي التي طورتها شركة الأمان Qualys ، لتحليل قوة تطبيقات HTTPS على مواقع الويب المدرجة في المليون الأعلى المنشورة بواسطة شركة Web analytics Alexa.

يتحقق SSL Pulse من البروتوكولات المدعومة من قبل مواقع الويب التي تدعم HTTPS (SSL 2.0 و SSL 3.0 و TLS 1.0 و TLS 1.1 ، إلخ) ، وطول المفتاح المستخدم لتأمين الاتصالات (512 بت ، 1024 بت ، 2048 بت ، إلخ. .) وقوة الأصفار المدعومة (256 بت ، 128 بت أو أقل).

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]

يتم استخدام خوارزمية لتفسير نتائج الفحص وتعيين تسجل بين 0 و 100 لكل تهيئة HTTPS. ثم تُترجم النتيجة إلى درجة ، مع كون A هو الأعلى (أكثر من 80 نقطة).

حصل نصف المواقع التي يبلغ عددها تقريبًا 200،000 في أفضل مليون من مواقع Alexa التي تدعم HTTPS على A للحصول على جودة تكويناتها. وهذا يعني أنهم يستخدمون مزيجًا من البروتوكولات الحديثة والشفرات القوية والمفاتيح الطويلة.

على الرغم من ذلك ، فإن 10٪ فقط من المواقع الممسوحة ضوئيًا تعتبر آمنة حقًا. تم العثور على خمسة وسبعين في المئة - حوالي 148000 - عرضة للهجوم المعروف باسم BEAST ، والتي يمكن استخدامها لفك رموز التوثيق وملفات تعريف الارتباط من طلبات HTTPS.

وقد أظهرت هجوم BEAST من قبل الباحثين الأمن جوليانو ريزو و التايلاندية Duong في مؤتمر الأمن ekoparty في بوينس آيرس ، الأرجنتين ، في سبتمبر 2011. وهو تنفيذ عملي لهجوم نظري قديم ويؤثر على ciphers SSL / TLS ، مثل AES أو Triple-DES.

تم إصلاح الهجوم في الإصدار 1.1 من بروتوكول أمان طبقة النقل (TLS) ، ولكن يستمر الكثير من الخوادم في دعم البروتوكولات القديمة والضعيفة ، مثل SSL 3.0 ، لأسباب التوافق مع الإصدارات السابقة. هذه الخوادم عرضة لما يُعرف باسم هجمات SSL التقديرية التي يمكن أن يتم خداعها لاستخدام الإصدارات الضعيفة من SSL / TLS حتى عندما يدعم العملاء المستهدفون الإصدارات الآمنة.

أسهل طريقة للتخفيف من هجوم BEAST على جانب الخادم لتحديد أولوية تشفير RC4 لاتصالات HTTPS ، قال إيفان ريستيك ، مدير الهندسة في Qualys ، عبر البريد الإلكتروني. RC4 هو تشفير دفق وليس عرضة لهذا الهجوم.

بالإضافة إلى دعم بروتوكولات متعددة ، تدعم العديد من الخوادم التي تدعم تقنية HTTPS أيضًا شفرات متعددة لضمان التوافق مع مجموعة متنوعة من العملاء. يمكن استخدام إعداد خاص على الخادم لتحديد الترتيب الذي يجب أن تستخدم فيه الأصفار ولترتيب أولويات RC4.

"أعتقد أن معظم المسؤولين ليسوا على دراية بالحاجة إلى تنفيذ هذه المهمة ،" قال Ristic.

تم بالفعل بناء الحماية ضد هجوم BEAST في متصفحات جديدة. ومع ذلك ، هناك الكثير من الناس ، لا سيما في بيئات العمل ، الذين يستخدمون المتصفحات القديمة مثل Internet Explorer 6 ، التي لا تزال معرضة للخطر.

لقد أظهر مسح SSL Pulse أيضًا أن أكثر من 13٪ من مواقع الويب التي تدعم تقنية HTTPS والتي تبلغ 200.000 دعم إعادة التفاوض غير الآمنة لاتصالات SSL. يمكن أن يؤدي هذا إلى هجمات رجل في الوسط التي تهدد الاتصالات المحمية بطبقة المقابس الآمنة بين المستخدمين والمخدمات الضعيفة.

"بالنسبة إلى موقعك العادي على الويب - والذي لن يكون له أي قيمة ذات قيمة كبيرة - فربما يكون الخطر صغيرة جدا ، "Ristic قال. "ومع ذلك ، بالنسبة للمواقع التي بها عدد كبير جدًا من المستخدمين يمكن استغلالهم بطريقة ما أو مواقع عالية القيمة (مثل المؤسسات المالية) ، فإن المخاطر تكون كبيرة جدًا."

إن إصلاح ثغرة إعادة التفاوض غير الآمنة أمر سهل إلى حد ما ولا يتطلب سوى تطبيق التصحيح.

تخطط TIM لإجراء مسح جديد لنبضات SSL وتحديث الإحصائيات على أساس شهري من أجل تتبع التقدم الذي تحققه مواقع الويب باستخدام SSL الخاصة بها عمليات التنفيذ.

هذا جزء من مشروع TIM أكبر سيركز على مشكلات تنفيذ SSL والحوكمة. كما أعلنت المنظمة عن إنشاء فريق عمل SSL على الإنترنت يوم الخميس ، لتطوير واقتراح حلول للمشكلات المعروفة في هذه المجالات الرئيسية.

يشمل أعضاء فريق العمل مايكل باريت ، كبير مسؤولي أمن المعلومات في PayPal ؛ طاهر الجمل ، أحد مبدعي بروتوكول SSL ؛ آدم لانغلي ، مهندس برامج Google المسؤول عن SSL في Chrome وعلى خوادم الواجهة الأمامية للشركة ؛ Moxie Marlinspike ، مبتكر مشروع Convergence ، الذي يقدم طريقة بديلة للتحقق من صحة شهادة SSL ؛ Ivan Ristic ، مبتكر مختبرات Qualys SSL و Ryan Hurst ، كبير مسؤولي التقنية في هيئة الشهادة GlobalSign.