وقت القراءة: 2 دقائق
يستخدم SSL على نطاق واسع اليوم لتأمين الاتصال على صفحات الويب التي ترسل معلومات حساسة إلى خادم ويب ، مثل بيانات اعتماد تسجيل الدخول أو البيانات المالية. في الواقع ، إنه ضروري للتجارة الإلكترونية. من الذي سيعطي بيانات بطاقة الائتمان الخاصة بهم إذا علموا أنه يمكن اعتراضها من قبل المتسللين؟
لقد أصبح من الواضح بشكل متزايد أن تأمين صفحات التقديم فقط يمكن أن يكون غير كاف وهناك الآن دعوة لمواقع الويب لتأمينها "End to End" ، مع تطبيق SSL على كل صفحة على الموقع. يُعرف هذا باسم "Always on SSL".
هل يمكن لنهج "Always on SSL" أن يجعل الموقع أكثر أمانًا؟ إطلاقا، ويمكنه تحسين تصنيفات محرك البحث أيضًا.
تتضمن بعض الثغرات الأمنية التي يمكن منعها من خلال تطبيق Always-On SSL اختطاف الجلسات ، والسرقة الجانبية ، وبالمثل ، هجمات رجل في الوسط.
ابتكر باحثو الأمن وظيفة إضافية لمتصفح Mozilla تسمى Firesheep والتي كانت للأسف مفيدة جدًا للمتسللين لارتكاب اختطاف الجلسة. يستخدم المهاجم Firesheep لاختطاف جلسات المستخدم بسهولة عبر اتصالات Wi-Fi المفتوحة ، مثل مقهى الإنترنت. عندما يحاول شخص ما الاتصال بموقع ويب معروف ، فإنه يستخدم بروتوكولات جلسة هذا الموقع لتولي المسؤولية والقراصنة ينتحل شخصية المستخدم. قد يسمح هذا للمهاجم بتغيير ملف تعريف المستخدم بما في ذلك بيانات اعتماد تسجيل الدخول.
Sidejacking هو هجوم يستفيد من زيارة المستهلكين لصفحات ويب HTTP غير مشفرة بعد أن يقوموا بتسجيل الدخول إلى الموقع. يكون الاختراق الجانبي ممكنًا عندما يستخدم موقع الويب طبقة المقابس الآمنة (SSL) فقط لإنشاء ملف تعريف ارتباط الجلسة ، ثم يعود مرة أخرى إلى HTTP / المنفذ 80. وهو يسمح للمتسللين باعتراض ملفات تعريف الارتباط المستخدمة للاحتفاظ بمعلومات خاصة بالمستخدم مثل بيانات اعتماد تسجيل الدخول عند إرسالها دون حماية تشفير SSL .
يمكن أن تحتوي ملفات تعريف الارتباط على مؤشر حول ما إذا كان ينبغي أن تكون آمنة أم لا. يمكن أن تؤدي سرقة ملفات تعريف الارتباط التي لم يتم وضع علامة "آمنة" عليها إلى سرقة الهوية و الاحتيال المالي.
أداة أمان أخرى يستخدمها المتسللون لكسر الجلسات تسمى "قطاع SSL". تم إنشاؤه في الأصل لتوضيح كيف يمكن للمهاجمين خداع المستخدمين عن طريق "تجريد" طبقة المقابس الآمنة من جلسة المستخدم. يقوم المهاجم بإعداد أجهزته للعمل كجهاز توجيه في "هجوم رجل في المنتصف" على الشبكة المحلية مع القدرة على مراقبة كل حركة المرور وتغيير منافذ الوجهة وإعادة توجيه الحزم. سيقوم المهاجم بتغيير جداول التوجيه و arp-spoof لجهاز الضحية بإخباره أن الجهاز الخاص به هو جهاز التوجيه / البوابة المحلية.
عند تشغيل شريط SSL على جهاز المهاجم ، يكون قادرًا على توجيه اتصالات الضحية كما لو كان جهاز توجيه الشبكة. إذا كان المستخدم ينتبه ، فقد يلاحظ أن عنوان url يتغير من "https" إلى "http".
هذا هو بالضبط نوع السيناريو الذي سيمنعه ، مما يضمن حماية بيانات الجلسة من المتسللين. من الممكن أن تكون مصافحة SSL هي الأقل أمانًا لأن الخطوة الأولى في التوصيلات. يستغل SSL Strip هذا الانتقال من http إلى https من خلال القفز حتى قبل إنشاء اتصال SSL.
لقد أدركت Google أهمية جميع الصفحات التي تستخدم SSL. إنهم الآن يكافئون الصفحات المؤمنة باستخدام SSL مع تصنيفات أعلى للصفحات. تبنت العديد من مواقع الويب البارزة ، مثل Microsoft و Facebook ، ميزة Always on SSL كأفضل طريقة لحماية مواقعها ومستخدميها.
اختبر أمان بريدك الإلكتروني احصل على بطاقة نقاط الأمان الفورية الخاصة بك مجانًا المصدر: https://blog.comodo.com/e-commerce/time-always-ssl/
