

حتما در هنگام وب گردی به علامت سبز رنگ کنار آدرس وب سایت ها که به شکل قفل است برخورده اید. این نماد برای همه ما تداعی کننده ی امنیت است و با دیدن این نماد و احساس امنیت بیشتر و با اطمینان خاطر به وب گردی و یا خرید از وب سایت اقدام می کنیم. اما اخیرا محققان با بررسی ۱۰۰۰۰ وب سایت به نتایجی دست یافتند که نشان می دهد این پروتکل نیز آسیب پذیری هایی را می تواند داشته باشد.
پس از افشا سازی این موضوع که ارتباطات آنلاین در سراسر جهان توسط سازمان های اطلاعاتی قدرتمند جمع آوری می شوند، کارشناسان امنیتی بر آن شدند که اتصالات را به صورت رمزگذاری شده برقرار کنند در نتیجه پروتکل HTTPS معرفی شد.
HTTPS به نوعی پروتکل HTTP اطلاق می شود که توسط اتصالات SSL یا TLS رمزگذاری می شوند. HTTP پروتکل انتقال ابرمتن است برای ارسال اطلاعات بین دو سیستم که معمولا بین یک سرور و کاربر استفاده می شود. HTTPS پروتکل امن انتقال ابرمتن می باشد و ارسال اطلاعات بین کاربر و سرور به صورت رمزنگاری شده انجام می شود. رمز نگاری اطلاعات به منظور انتقال امن اطلاعات ایجاد شد.
اما یافته های اخیر توسط محققان دانشگاه کافوسکاری ونیز در ایتالیا و دانشگاه تکنیکال وین در اتریش نشان می دهد که وب سایت های رمزنگاری شده توسط پروتکل HTTPS همچنان در معرض خطر هستند. تحلیل ۱۰۰۰۰ وب سایت که از پروتکل HTTPS بهره می برند نشان داده است که مشکلاتی ناشی از اجرای TLS موجب ایجاد باگ شده اند در حالی که همچنان قفل سبز رنگ در کنار آدرس بار نمایش داده می شده است. این محقق موفق به دستیابی به تکنیکی برای تحلیل TLS شدند که می تواند با بررسی وب سایت ها مشکلات TLS آنها را گزارش کند.
محققان این آسیب پذیری های ایجاد شده توسط پروتکل امنیتی HTTPS را در سه دسته کلی تقسیم بندی کرده اند:
دسته اول اطلاعاتی را که به دست می دهد بسیار اندک است، مهاجم برای دستیابی به اطلاعات لازم است جستار را چندین مرتبه اجرا کرده با کنار هم قرار دادن قطعات به دست آورد به اطلاعات دست یابد. اما اطلاعاتی که با این روش به دست می آید چندان حائز اهمیت نیستند. مشکلات دسته دوم می تواند به مهاجم امکان دستیابی به اطلاعات و رمزگشایی تمام ترافیک میان سرور و مرورگر را بدهد. دسته سوم مشکلات علاوه بر فراهم کردن امکان دستیابی به اطلاعات و رمزگشایی آنها می تواند به مهاجم امکان تغییر آن را نیز بدهد این دسته مشکلات دقیقا مشکلی است پروتکل HTTPS برای مقابله با آن طراحی شده است. اگر چه این یافته ها نشان می دهند که حتی دستیابی به اطلاعات رمزنگاری شده هم ممکن می باشد ولی همچنان این نکته نباید فراموش شود که در این روش زحمت و زمان زیادی برای نفوذ در مقایسه با سایر روش ها وجود دارد.
یکی از فرضیاتی که پیرو این یافته ها مطرح شده است، تاثیرپذیری سایر صفحات یک وب سایت یا سایر وب سایت ها از صفحه ای است که مشکل امنیتی دارد، آسیب پذیری یک صفحه می تواند از طریق لینک ها و ارتباطات سایر صفحات یا سایر وب سایت ها را نیز تهدید کند.
محققان فوسکاری به دنبال توسعه تکنیکی برای تحلیل وب سایت ها می باشندکه بتواند با بررسی وب سایت ها مشکلات TLS آنها را گزارش کند. نتایج کامل تحقیقات این محققان در بخش امنیت و حریم شخصی سمپوزیم IEEE که ماه بعد در سانفرانسیسکو برگزار میشود، ارائه خواهد شد.