وضعیت سرورها

وبــلاگ

وضعیت سرورها
  • ناامن شدن سایت های HTTP در مرورگرها

    علی اشترخانی شنبه ۱۲ اسفند ۱۳۹۶ امنیت , مقالات , گزارش

    تمامی وب سایت های با پروتکل HTTP به زودی توسط گوگل کروم، نا امن شناسایی می شوند.

    پروتکل HTTP که مخفف Hypertext Transfer Protocol است، یک پروتکل در لایه هفتم OSI یا لایه Application بوده و به عنوان پایه و اساس ارتباطات داده ای در تارنمای جهان گستر وب (World Wide Web) یا همان WWW، شناخته می شود. HTTP یک پروتکل برای تبادل و انتقال Hypertext است. Hypertext یک متن ساخت یافته است که صفحات سایت ها را به هم ارتباط می دهد. به طور کلی از این پروتکل برای مشاهده صفحات وب استفاده می شود که به صورت پیش فرض از شماره پورت TCP 80 استفاده می کند. همچنین از پروتکل HTTPS یا HTTP Secure برای امن سازی ارتباطات وب در شبکه های کامپیوتری استفاده می شود که به صورت پیش فرض از شماره پورت TCP 443 استفاده می کند.

    پروتکل HTTP رمز نگاری نشده است و نسبت به حملاتی از قبیل Man-in-the-Middle و Eavesdropping بسیار آسیب پذیر بوده و به هکرها اجازه دسترسی به اطلاعات کاربری و حیاتی یک سایت را می دهد.

    chrome not secure

     

    اگر هنوز وب سایت شما از پروتکل نا امن HTTP استفاده می کند، زمان آن فرا رسیده که از خواب بیدار شده، یک فنجان قهوه نوشیده و سریعاً نسبت به امن سازی آن، اقدام کنید.

    زیرا اگر هرچه سریع تر نسبت به رفع این مشکل اقدام نکنید، بسیاری از بازدیدکنندگان، اعتماد خود را نسبت به سایت شما از دست می دهند.

    دلیل این موضوع چیست؟ گوگل در حال اجرای برنامه ای است که در آن از ماه جولای ۲۰۱۸ هر وب سایتی که از پروتکل نا امن و بدون رمزنگاری HTTP استفاده نماید، توسط مرورگر گوگل کروم شناسایی و برچسب “نا امن” به آن اختصاص می دهد.

    https website

    پروتکل HTTPS که پروتکل پیشرفته‌ی HTTP است، با ایجاد رمزنگاری بین سرور وب سایت و کامپیوتر شما، مانع مشاهده پیام های ارسالی شما به سایت و یا اطلاعات دریافتی شما از سایت، توسط جاسوسان و هکرها می شود.

    سال گذشته بسیاری از سایت ها از پروتکل HTTP به پروتکل HTTPS، ارتقاء داده شدند که این یک خبر خوب برای کسانی است که به امنیت و حریم شخصی اهمیت می دهند.

    بر اساس آمار منتشر شده از وبلاگ گوگل، بیش از ۶۸% ترافیک عبوری از مرورگر گوگل کروم روی دستگاههای اندرویدی و ویندوز، توسط پروتکل HTTPS محافظت شده اند. این عدد، حتی در سیستم عامل های کروم، IOS و مکینتاش بالاتر بوده و به رقم ۷۸% رسیده است. جالب است بدانید که ۸۱% از ۱۰۰ سایت برتر در رتبه بندی های گوگل به صورت پیش فرض از HTTPS استفاده می کنند.

    این پیشرفت بسیار خوبی است، اما گوگل تصمیم به اعمال سختگیری بیشتر در استفاده از HTTPS گرفته است.

    البته مرورگر گوگل کروم از اوایل سال ۲۰۱۷ اقدام به علامت گذاری با برچسب “نا امن” صفحات HTTP که پسوردها و اطلاعات کارت های بانکی را جمع آوری می کرد، کرده است. بعد از آن، در دو حالت دیگر هم پیغام هشدار “نا امن” نمایش داده می شود: اول زمانی که یک صفحه HTTP در حالت Incognito (حالت خصوصی یا Private) نمایش داده شود و دوم زمانی که کاربران، داده ای را روی یک صفحه HTTP وارد نمایند.

    اما این اقدام آخر گوگل که تصمیم به نشانه گذاری تمام سایت های HTTP با مهر “نا امن” گرفته است، جالب توجه بوده و صاحبان وب سایت هایی که HTTPS نیستند، باید این موضوع را مد نظر داشته باشند که بازدیدکنندگان، چه عکس العملی به این پیغام هشدار نشان می دهند. به نظر من بسیاری از کاربران، از این موضوع، ناراحت و نگران می شوند.

    بیشتر کاربران اینترنت، متوجه تفاوت بین این دو مورد نمی شوند: یک ارتباط امن رمزگذاری شده HTTPS و اینکه آیا یک وب سایت می تواند بررسی کند که به درستی امن شده است یا خیر.

    به خاطر داشته باشید، صرف اینکه یک وب سایت از HTTPS استفاده کند، لزوماً به طور ۱۰۰% قابل اعتماد نیست و به طور مشابه، یک وب سایت که از HTTP استفاده می کند، ممکن است در حال کار بر روی اینکه چگونه به بقیه فاکتورهای امنیتی خود یا اطلاعات شخصی شما رسیدگی کند، باشد.

    با این وجود، گوگل بین یک صخره و یک مکان سخت است. تشخیص اینکه یک وب سایت، اطلاعات ارسالی بین سرور خود و کامپیوترها را به درستی رمزگذاری کرده است، با یک علامت و نشانه گذاری توسط گوگل، کاری غیرممکن به نظر می رسد.

    ممکن است که این پیغام هشدار گوگل کروم، عالی نباشد اما یکی از بهترین راهها است. همچنین زمانی که گوگل این پیغام هشدار خاکستری رنگ را که به زودی در نوار آدرس URL به معنی ” نا امن ” نمایش داده می شود را با یک رنگ قرمز در کنار یک مثلث هشدار تغییر دهد، همه چیز برای کاربران و بازدیدکنندگان وب سایت ها آشکار شده و سطوح امنیتی وب سایت ها بهتر تشخیص داده می شود.

    سه سال قبل، موتور جستجوی گوگل، حمایت و طرفداری خود را در نتایج جستجوی خود، نسبت به وب سایت هایی که از پروتکل رمزگذاری شده HTTPS استفاده می کنند، آغاز نمود.

    سایت هایی که محتوای خود را امن می کنند، از رتبه بالاتری نسبت به سایت های ساده و نا امن HTTP در گوگل برخوردار هستند. امنیت برای گوگل از اولویت بالایی برخوردار است و تمامی سرویس های تحت وب گوگل هم به صورت پیش فرض از رمزنگاری قدرتمند HTTPS استفاده می کنند. به عنوان مثال: سرویس Gmail، Drive و حتی جستجو در سایت Google.com.

    بهترین حالت برای یک سایت، ارتقاء امنیت در کنار رتبه بالای آن سایت در جستجوی گوگل است. حال گوگل تصمیم به اجرای برنامه ای گرفته است که از اواخر سال ۲۰۱۶ موضوع آن مطرح شده بود و آن اختصاص برچسب “نا امن” برای سایت های غیر از HTTPS است. از نسخه ۶۸ مرورگر گوگل کروم که توزیع رسمی آن از جولای ۲۰۱۸ آغاز می شود، در صورت بازدید از یک وب سایت HTTP، سریعاً یک پیغام هشدار ” نا امن” در Omnibox مرورگر ظاهر می شود. یک Omnibox شبیه نوار آدرس مرورگر وب قدیمی است که از آن می توان به عنوان یک موتور جستجو هم استفاده کرد.

    گوگل در وبلاگ خود عنوان کرده که اینترفیس جدید کروم به کاربران کمک می کند تا متوجه نا امن بودن تمام سایت های HTTP شده و اینکه در ادامه می توانند وب سایت خود را به پروتکل امن HTTPS ارتقاء دهند.

    به خاطر اینکه کروم حدود ۵۶% از بازار مرورگرهای وب را در دنیا روی تجهیزات موبایل و کامپیوترها در اختیار دارد، تعداد بسیار زیادی از کاربران کروم، از این برچسب name-and-shame گوگل مطلع شده و بازدیدکنندگان و طرفداران بسیاری از سایت ها به دلیل مشکلات امنیتی، دیگر از آن سایت ها استفاده نخواهند کرد.

    در حالیکه بسیاری از سایت ها هنوز از این مشکل امنیتی رنج می برند، تعداد زیادی هم امنیت خود را ارتقاء داده اند. گوگل یک ابزار امنیتی رایگان به نام Lighthouse ارائه داده که به توسعه دهندگان کمک می کند تا امکان تشخیص اینکه کدام یک از منابع وب سایت، هنوز توسط پروتکل HTTP نا امن، بارگذاری می شود را داشته باشند.

    با توضیحاتی که ارائه شد و با وجود اهمیت رمزنگاری صفحات وب، باید هرچه سریعتر نسبت به ارتقاء امنیت وب سایت خود و بهره گیری از پروتکل HTTPS اقدام نمود.

    اگر شما دارای یک فروشگاه اینترنتی هستید، پیشنهاد میکنیم تا همین امروز یک گواهی SSL معتبر از طریق لینک زیر خریداری نمایید تا با دردسر تماس‌های مشتریان در خصوص آیکن خطر در فروشگاهتان مواجه نشوید! نصب گواهی خریداری شده در هاست‌ها و سرورهایی که از ایران سرور تهیه میشود رایگان است.

    خرید گواهینامه های SSL

    1+

    برچسب ها :

با عضویت در خبرنامه شما را از آخرین تجربیات مان و مطالب تخصصی آگاه خواهیم کرد.

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *