چرا باید از http به https کوچ کنیم

[iranserver.com]

وب سایت های بدون HTTPS جدید به علت شیوه رمز عبور مشکوک در لیست سیاه قرار گرفتند



جالب است بدانید روزانه صدها درخواست بازبینی لیست سیاه بعد از تمیز کردن وب سایت ها، برای گوگل ارسال می گردد. هنگامی که گوگل در یک وب سایت کد مخربی را تشخیص دهد که سعی در فریب دادن کاربران جهت کشف اطلاعات شخصی و حساس آنها دارد، هشدار محتوای فریبنده گوگل را بکار می برد.


در دو ماه گذشته بدون هیچ دلیل مشخصی، تعداد وب سایت هایی که با هشدار محتوای فریبنده گوگل در لیست سیاه قرار گرفتند افزایش یافته است.این درحالی اتفاق افتاده است که این وب سایت ها کاملا عاری از کد های مخرب هستند و حتی هیچ منبع خارجی روی وب سایت بارگذاری نمی شود.

اخیرا، در برخی موارد مشاهده شده است که تنها بعد از فعال سازی SSL روی وب سایت، گوگل اقدام به برداشتن صفحه هشدار محتوای فریبنده کرده است.



گواهینامه SSL چیست؟
اغلب وب سایت ها از پروتکل آشنای HTTP استفاده می کنند. آن دسته از وب سایت هایی که گواهینامه ی SSL/TSL را تهیه و نصب کرده اند می توانند به جای HTTP از HTTPS استفاده کنند. SSL/TSL یک پروتکل پنهانیست که برای رمزگذاری داده ها هنگامی که در بستر اینترنت بین کامپیوتر ها و سرور ها در انتقال هستند استفاده می شود. این انتقال داده ها شامل دانلود ها، آپلود ها، فرم های ارسال اطلاعات در صفحات وب و مشاهده محتوای یک وب سایت می شود.



این تصور اشتباه است که SSL وب سایت شما را نسبت به حمله هکر ها در امان می دارد ، در واقع کاربرد SSL محافظت از اطلاعات کاربران در وب سایت شماست.



از نظر اغلب بازدیدکنندگان وب سایت ها، SSL چیزی است که در پشت آیکن قفل سبز رنگ گوشه نوار آدرس مرورگر وجود دارد. این آیکن دلالت بر وجود یک ارتباط ایمن بین بازدید کننده و وب سرور دارد و تمام اطلاعاتی که ارسال و دریافت می شود در برابر چشم های کنجکاو محافظت می گردد.



در واقع یک وب سایت بدون SSL اطلاعات را در مقابل دید همگان منتقل می کند. درچنین حالتی برخی افراد سودجو پیدا می شوند که در ترافیک شبکه جاسوسی می کنند و اطلاعات حساس کاربران از قبیل پسورد ها و شماره کارت های اعتباری را می ***ند.
مشکل اینجاست که اکثر کاربران اصلا متوجه عدم استفاده ی وب سایت ها از SSL نمی شوند.
گوگل از HTTP به سوی HTTPS حرکت می کند
همگی می دانیم که گوگل روی SSL به عنوان یکی از بهترین روش های استاندارد در سطح وب تاکید دارد. گوگل نه تنها دست به تشویق و پاداش دادن به وب سایت هایی که از HTTPS استفاده می کنند زده است بلکه، پیوسته در حال مسدود کردن وب سایت های HTTP است و آنها را مجبور به استفاده از HTTPS می کند.

در سال ۲۰۱۴ گوگل این واقعیت را تایید کرد که استفاده از HTTPS به وب سایت ها کمک می کند تا در نتایج موتور جستجوی گوگل در رتبه بالاتری قرار گیرند.


در ژانویه سال ۲۰۱۷، گوگل تغییر جدیدی را معرفی کرد، بطوریکه برای هر وب سایت بدون HTTPS هنگام گرفتن اطلاعات کارت اعتباری و پسورد از کاربران ،برچسب “غیر ایمن” در کروم نقش بسته می شود.

همچنین شرکت گوگل عنوان کرد، این برچسب “غیرایمن” را برای تمام وب سایت های HTTP در کروم اعمال می کند و حتی آن را واضح تر از قبل به کاربران نمایش خواهد داد.

بحث های زیادی درمورد چگونگی ترویج SSL و هشدار دادن به کاربران هنگامی که از وب سایت های HTTP بازدید می کنند وجود دارد.


**مطالعات نشان می دهد، کاربران نه تنها عدم وجود آیکن “ایمن” را به عنوان یک هشدار تلقی نمی کنند بلکه حتی در مقابل هشدار هایی که به طور بسیار متناوب روی صفحه نمایش داده می شود نیز بی تفاوت هستند. راهکار گوگل برای آگاه کردن کاربران و جلب توجه آنها به ایمن بودن وب سایت ها چیست؟ گوگل قصد دارد به طور کاملا واضح و دقیق وب سایت های HTTP را “غیر ایمن” برچسب بزند. این کار طی مراحل تدریجی و بر اساس معیار های بسیار دقیق انجام خواهد شد.


شاید مثلث هشدار قرمز رنگ به اندازه کافی موثر نبوده است، و گوگل را به این فکر واداشته است تا از برچسب هایی محکم تر در لایه های تشخیص امنیت مرورگر خوداستفاده کند.



بلاک کردن ورودی های HTTP خطرناک



اخیرا مواردی مشاهده شده است که در آن گوگل طی دو روز ، دو بار یک وب سایت پاکسازی شده را تحت بررسی قرار داده اما هر دوبار نتیجه منفی بوده و هشدار محتوای فریبنده از روی وب سایت حذف نشده است.


اما هنگامی که همان وب سایت SSL را فعال کرده و مجددا به گوگل درخواست داده است، گوگل اقدام به حذف هشدار محتوای فریبنده نموده است. جالب است بدانید که صاحبان آن هیچ تغییری در کد و محتوای وب سایت ایجاد نکردند بلکه فقط SSL را به آن اضافه نمودند. با بررسی بیشتر می توان دید که این رفتار در مورد وب سایت های دیگر هم تکرار شده است.



پس از بررسی به این نتیجه می رسیم که این وب سایت ها شامل صفحات ورود یا فیلد های وارد کردن کلمه عبور هستند که بر روی پروتکل HTTPS طراحی نشده اند. این موضوع نشان می دهد که گوگل تعریف خود از فیشینگ و فریب دادن را گسترش می دهد ، بااین تعریف وب سایت هایی که کاربران را مجبور به وارد کردن اطلاعات حساس خود در صفحات HTTP می کنند، فریبکار تلقی شده و به نوعی فیشینگ انجام می دهند.

مشخص نیست گوگل برای تعیین اهدافش دقیقا چه چیز را دنبال می کند، اما می توان این طور فرض کرد که آنها به دنبال فرم هایی هستند که در آنها پسورد کاربران فقط با کد input type=”password” در متن کد سایت از کاربر گرفته می شود و آن صفحه با پروتکل HTTPS سرویس دهی نشده است.

در اینجا یک مثال از بخش مشکلات امنیتی کنسول جستجوی گوگل که پیام های مرتبط با محتوای آسیب زننده را نمایش می دهد میبینید:

همانطور که در تصویر مشاهده می کنید صفحه ورود به پنل مدیریتی ورد پرس و همچنین صفحه password-protected بلاک شده است. هر دو URL با HTTP آغاز می شوند که نشان دهنده ی عدم استفاده از SSL است. هر دو آدرس شامل فرم هایی هستند که در آن اطلاعات ورود از کاربران درخواست می شود.

اغلب این سایت ها قبلا مورد حمله هک قرار گرفته اند، و این هشدار گوگل بعد از اتمام پاکسازی وب سایت همچنان باقی می ماند. تقریبا هیچ سازشی از جانب گوگل در برخورد بااین نوع وب سایت ها وجود ندارد و تنها راه حذف این هشدار فعال سازی SSL است.

گوگل به عنوان بزرگترین موتور جستجو در جهان این قدرت را دارد تا میزان بازدید سایت شما را با هشدار های لیست سیاه خود تا ۹۵ درصد کاهش دهد. با بلاک کردن این گونه وب سایت ها که از HTTP استفاده می کنند، گوگل از کاربران خود محافظت می کند و پیغام روشنی را به مدیران وب سایت ها ابلاغ می کند.

سن دامنه یک عامل مهم است
به نظر می رسد عامل مشترک دیگری بر روی بیشتر وب سایت هایی که با هشدار گوگل مواجه شده اند وجود دارد.

اغلب این وب سایت ها، دومین هایی بودند که به تازگی ثبت شده اند و بنابراین زمان کافی برای ایجاد شهرت و اعتبار نزد گوگل نداشتند. این گزینه می تواند عامل دیگری باشد که گوگل از آن در ارزیابی سطح خطر یک وب سایت خاص استفاده می کند.

برخی وب سایت ها حتی یک ماه هم از راه اندازی آنها نگذشته است، هیچ نرم افزار مخربی هم در آنها به کار گرفته نشده است اما در لیست سیاه گوگل قرار می گیرند تا زمانی که SSL را فعال کنند.

رتبه بندی گوگل و تشخیص نرم افزار های مخرب

یکی از عامل های متعددی که گوگل در رتبه بندی وب سایت ها از آن استفاده می کند، مدت زمانیست که از ثبت و راه اندازی وب سایت می گذرد. وب سایت های دارای رکوردهای WHOIS چندین ساله سطح قدرت و اعتبار زیادی بدست می آوردند.

خوب است بدانید موتورهای پویش گوگل به ما کمک می کنند تا کمتر در معرض خطر وب سایت های مخرب قرار گیریم. حملات فیشینگ معمولا در مورد دومین های تازه ثبت شده اتفاق می افتد تا زمانی که این دومین ها بلاک شوند. وب سایت های جدید به زمان نیاز دارند تا در موتور جستجوی گوگل شهرت و اعتبار خود را افزایش دهند.

در مورد وب سایت های قدیمی تر که هرگز حوادث امنیتی نداشتند، کمتر اتفاق می افتد که ارزیابی مثبت کاذبی از آنها انجام شده باشد، در حالیکه در گوگل همچین اعتمادی به یک وب سایت جدید وجود ندارد. گوگل به محض اینکه صفحه ای را ببیند که در آن از کاربران اطلاعات مهم گرفته می شود و به HTTPS مجهز نیست بلافاصله، اقدامی محتاطانه ای را در مورد آن دومین اعمال می کند.

استفاده از پروتکل HTTP نشانه ای از لیست سیاه است


گوگل به آهستگی سایت هایی که از HTTP استفاده می کنند و اطلاعات حساس کاربران را منتقل می کنند، مسدود می کند. او این کار را با برچسب زدن این سایت ها به عنوان سایت های بالقوه فیشینگ آغاز می کند به خصوص در مورد سایت هایی که شهرت زیادی ندارند.

تا زمانیکه گوگل استفاده از SSL را به عنوان عاملی برای بررسی هشدار های لیست سیاه تایید نکرده است این روش کار ادامه پیدا می کند. گوگل در نهایت می تواند تجربه مرور اینترنت کاربران خود را تا بیشترین حد ممکن ایمن نگه دارد، و با مسدود کردن سایت هایی که در انتقال از کلمات عبور و شماره کارت اعتباری محافظت نمی کنند به طور موثر به مدیران سایت ها آموزش دهد.


مدیریت کلمات عبور یکی از بزرگترین نگرانی های امنیتی است. هر روزه نمونه هایی از عدم مدیریت درست پسورد ها اتفاق می افتد، بنابراین قابل درک است که گوگل در حال آزمایش قدرت خود در تغییر جریان و ایمن نگه داشتن کاربران باشد.

نتیجه گیری
اگر شما در فیلد های ورودی وب سایت خود اطلاعات حساسی را دریافت می کنید، ایمن نگه داشتن این ارتباط از اهمیت بالایی برخوردار است.

فعال سازی SSL روی وب سایتتان یک تصمیم عاقلانه است. خوشبختانه با وجود هاستهای متعددی که کاربران را به راه اندازی SSL با ثبت آسان تشویق می کنند، این کار در سال های اخیر با روش بسیار ساده تری قابل انجام است. شرکت Let’s Encrypt حدود یک سال پیش از مرحله beta بیرون آمد و هم اکنون به بیش از ۴۰ میلیون دومین فعال دست یافته است.

اگر یک وب سایت جدید نسبتا کوچک دارید و میخواهید مطمئن شوید که گوگل سایت شما را به دلیل فرم پذیرش اطلاعات در لیست سیاه جای نمی دهد حتما SSL را روی وب سایت خود فعال کنید.


منبع :

https://goo.gl/68smdf

[ealireza]

بجز دردسر و بدبختی این کوچ هیچ چیزی به همراه نداره

فعال شدن https روی سرور = باز شدن درگاه جدید برای هکر های محترم

به قدری باگ در سیستم عامل ها برای این پروتوکل وجود داره که نگو و نپرس.
و باید بصورت دستی تنظیم و فیکس شوند.
درک نمیکنم چرا مرور گر ها و شرکت های بزرگ دارن زور میکنن

[nima000]

سلام
مثل همیشه عالی بود ...ممنون بابت توضیحات اتون

[m_dg_farari]

بجز دردسر و بدبختی این کوچ هیچ چیزی به همراه نداره

فعال شدن https روی سرور = باز شدن درگاه جدید برای هکر های محترم

به قدری باگ در سیستم عامل ها برای این پروتوکل وجود داره که نگو و نپرس.
و باید بصورت دستی تنظیم و فیکس شوند.
درک نمیکنم چرا مرور گر ها و شرکت های بزرگ دارن زور میکنن

ممنون میشم کمی منطقتون رو با استدلال توضیح بدید.
لطف کنید چند تا از باگهای شناخته شده رو اعلام کنید. باگهایی که مربوط به پروتوکل اس اس ال هست... چون قطعا شرکت هایی مثل گوگل ، اپل ، مایکروسافت ، سیسکو ، ایست و ... یه دلیلی داره که پیشنهاد میکنن هیچ اطلاعاتی که ذره ای حائز اهمیت هست رو بر روی پروتوکل http رد و بدل نکنید...

[saeed.mihan]

بجز دردسر و بدبختی این کوچ هیچ چیزی به همراه نداره

فعال شدن https روی سرور = باز شدن درگاه جدید برای هکر های محترم

به قدری باگ در سیستم عامل ها برای این پروتوکل وجود داره که نگو و نپرس.
و باید بصورت دستی تنظیم و فیکس شوند.
درک نمیکنم چرا مرور گر ها و شرکت های بزرگ دارن زور میکنن

غیرمنطقی هست، وقتی تمام بانک ها از این پروتکل استفاده میکنند، هرچند که منکر این نمی توان شد که الگوریتم های مختلف برای رمزنگاری وجود دارد
مثل وای فای که wep با یک نرم افزار ساده هک می شود wpa2 نه

[starting]

سلام
البته تا زمانی که شما در سایتتون از فیلدی که تایپ پسورد داره استفاده نکنید
مرورگر ارور نا امنی نمیده و نیازی هم به استفاده از آن نیست
منظورم سایتهای بدون کاربر و مشابه

[M.Abooali]

توصیه به SSL خوب بود. اما شما موضوع بی ربط دیگری را با ویرایش به این توصیه خوب خودتان چسبانده اید که دلیلش رو متوجه نشدم:

در دو ماه گذشته بدون هیچ دلیل مشخصی، ت

گوگل خودش مدت هاست اعلام کرده است که از آوریل نسبت به مقابله با سایت هایی که از sha1 استفاده می کنند برای رمزنگاری مقابله خواهد کرد. اتفاقا این امر شامل سایت های دارای ssl می باشد! که صادر کننده گواهینامه های آنها از sha1 استفاده کرده باشند.

https://security.googleblog.com/2017...collision.html

اما شما در ابتدا مطلب برعکسش کردید و این را به اشتباه بهانه ای کردید برای مهاجرت به SSL. البته باز تاکید می کنم SSL عالیست و باید مورد استفاده قرار بگیرد.

فعال شدن https روی سرور = باز شدن درگاه جدید برای هکر های محترم

به قدری باگ در سیستم عامل ها برای این پروتوکل وجود داره که نگو و نپرس.
و باید بصورت دستی تنظیم و فیکس شوند.
درک نمیکنم چرا مرور گر ها و شرکت های بزرگ دارن زور میکنن

این که شما زمان کانفیگ TLSیا SSL2 و... را می بندید، (احتمالا به خاطر توصیه CSF) اصلا ارتباطی با باگ یا نا امن بودن SSL ندارد. موضوع بر سر سایبر سکیورتی و مانیتورینگ ترافیک است نه انکرایپشن. اگر نه هم TLS هم SSL هر دو کریپتوگرافیکال بر اساس X.509 هستند و تفاوتی از این حیث بین آنها وجود ندارد.

بحث ماینتورینگ ترافیک هم یک بحث رده بالاست که بیشتر توش موضوع " رهگیری پذیری بودن" اهمیت دارد، بحث نفوذ یا شکستن SSL نیست. مثلا همین SHA1 که اخیرا اینقدر منفور گوگل شده است سالهاست بحث شکست پذیریش وجود دارد اما تهدیدی برای سایبر سکیورتی نبود، اما امروزه هست. اگر نه با همان متد SHA2 هم شکست پذیر است اما خوب فعلا SHA2 تهدید برای سایبر سکیوریتی نیست! (با توجه به زمان و هزینه بالاتری که نیاز هست برای شکستش).

بنابراین اصلا اینطور تعبیر نکیند که SSL یک حفره امنیتی برای شما یا خطر محسوب میشود!

البته برخی دیگر از دوستان هم گویا کلا بی خبر بودند از جریانات SSL2 یا TLS و...