استقبال ضعیف از پروتکل HPKP

|
۰ دیدگاه
oie_zpyCly3LRH2o

بررسی های اخیر نشان داده است که تنها ۰٫۰۹ درصد از تمام وب سایت های HTTPS، که در حدود ۴۱۰۰ وب سایت هستند، برای تامین امنیت خود از کلید عمومی HTTP یا به اختصار HPKP استفاده می کنند.

به گزارش کلیک، HPKP فرمت امنیتی از HTTP است که به صورت رسمی در ماه آوریل ۲۰۱۵ منتشر گردید. این استاندارد روشی را تعریف می کند که از طریق آن صاحبان وب سایت می توانند یک لیست از کلیدهای عمومی را بر روی مرورگرها قفل کنند و زمانی به کاربران اجازه دسترسی به یک دامنه را می دهد که سرور با این کلمات دارای تطبیق باشد.

این مکانیزم برای محافظت در برابر مهاجمان که می خواهند از نام وب سایت اصلی سوء استفاده کنند و وب سایت های جعلی و فرعی ایجاد نمایند، و با استفاده از گواهی نامه های معتبری که از طریق غیر قانونی به دست آمده می توانند مرورگرها را به اشتباه بیاندازند، بسیار مفید است.

راه های مختلفی وجود دارد که مهاجمان بتوانند گواهینامه های معتبر به دست آورند. آن ها می توانند از طریق سازمان مهندسی اجتماعی CA، و با سوء استفاده از دلیل نقص فنی، و یا اعمال نفوذ بر روی سیاست های صدور گواهینامه، به راحتی آن را به دست آورند. HPKP دقیقا ایجاد شده است تا جلوی این شرایط را بگیرد.

HPKP چگونه کار می کند

هنگامی که یک وب مستر یک مجموعه HPKP برای وب سایت خود ایجاد می کند، کاربرانی که برای اولین بار به دامنه متصل می شوند، یک لیست از کلیدهای عمومی را مشاهده می کنند و وقتی که دفعات بعد قصد مراحعه به سایت را دارند، باید مورد استفاده قرار گیرد.

این کلید ها در مرورگر کاربر ذخیره می شوند، و هنگامی که او مجددا از همان سایت بازدید کند، قبل از برقراری اتصال HTTPS، مرورگر و سرور یا یکدیگر ارتباط برقرار می نمایند تا تایید کنند هر دو کلمه عمومی مناسب و یکسان هستند.

اگر این اتفاق نیافتد، مرورگر از دسترسی کاربر به سایت جلوگیری می کند. در حالی که این اتفاق می تواند یک چیز خوب برای مقابله با مهاجمانی باشد که می خواهند از سایت شما سوء استفاده کنند، در همین حال می تواند دسترسی به سایت را برای ماه ها از کاربران سلب نماید.

پیکربندی HPKP می تواند دسترسی کاربران به سایت ما را مسدود کند

شرکت Netcraft تخمین می زند که با وجود مفید بودن این پروتکل، میزان استفاده از آن پس از گذشت ۱ سال پایین بوده و ظاهرا مدیران وب سایت ها از آن استقبال نکرده اند. شاید یکی از مهم ترین دلایل آن همین مسدود کردن دسترسی کاربران به سایت بوده است.

پاول ماتون مدیر Netcraft، در این خصوص توضیح می دهد: حتی برای مدیران وب سایت هایی که سیاست های معتبر تعیین کرده اند، مراقبت مستمر و توجه زیاد لازم است. چرا که لازمه حیات یک سایت بازدید کنندگان آن هستند و اگر یک کاربر مدت زمان طولانی نتواند به سایت دسترسی پیدا کند، ممکن است دیگر به آن سایت سر نزند. در نتیجه استفاده از این پروتکل به طور بالقوه کاهش می یابد.

این دلایل نشان می دهد که چرا تنها ۴۱۰۰ نفر از مدیران وب سایت ها تصمیم گرفته اند تا از HPKP حمایت کنند. متاسفانه، Netcraft می گوید که این تعداد در واقع ۳۰۰۰ است و حدود یک چهارم از وب سایت ها این روش را به درستی اجرا نکرده اند.

پیاده سازی HPKP پیچیده نیست، فقط کار با آن بسیار سخت است

قسمت مثبت این است که اگر سیستم به درستی راه اندازی شود، و یک بار مدیران وب سایت ها کلمات معمول که بیشترین استفاده را برای وب سایت دارند، وارد کنند، یادگیری مدیریت آن کار راحتی خواهد بود، فقط باید زمان زیادی را صرف آن کنید.
برخی از معروف ترین خدماتی که از HPKP استفاده می کنند شمال گیت هاب، موزیلا و Pixabay هستند.
منبع: softpedia

 

0 پسندیده شده
علی رهبری
از این نویسنده

بدون دیدگاه

جهت ارسال پیام و دیدگاه خود از طریق فرم زیر اقدام و موارد زیر را رعایت نمایید:
  • پر کردن موارد الزامی که با ستاره قرمز مشخص شده است اجباری است.
  • در صورتی که سوالی را در بخش دیدگاه مطرح کرده باشید در اولین فرصت به آن پاسخ داده خواهد شد.