هشدار HTTP کروم, دنبال قطع کردن نظارت و دست‌کاری در اینترنت است.

HTTP یکی از آن فناوری‌هایی است که باعث شد شبکه‌ی گسترده‌ی جهانی از زمانی که تیم برنرز-لی 25 سال پیش اینترنت را اختراع کرد و نامش را در تاریخ به ثبت رساند، به لطف مرورگر اینترنتی گوگل کروم به کار خود ادامه دهد.

مطالعه نمایید: گوگل کلید جدیدترین فناوری دفاعی کروم را می‌زند

پروتکل انتقال فرا متنی(The Hypertext Transfer Protocol)  این امکان را به مرورگر اینترنتی شما می‌دهد که صفحه‌ای اینترنتی را از روی سروری بردارد که میزبان آن است.

مطالعه نمایید: با ده شیوه‌ی معمول هک آشنا شوید

HTTP تا الان هم خیلی خوب کار کرده است اما مشکلی دارد:

HTTP از ارتباطات با رمزگذاری پشتیبانی نمی‌کند که از شنود و دست‌کاری جلوگیری شود.

به همین دلیل است که گوگل، موزیلا و دیگر صنایع فناوری مرتبط وب‌سایت‌ها را وادار به انتقال داده‌های خود به نسخه‌ی ایمنی کرده‌اند که به آن HTTPS می‌گوییم. با انتشار نسخه‌ی 68 کروم, مرورگر گوگل هرزمانی که صفحه‌ی اینترنتی خاصی را بدون رمزگذاری HTTP باز کند بلافاصله به شما هشدار می‌دهد. امیلی اسکچر، مدیر بخش امنیتی کروم، در بلاگی گفت:

مطالعه نمایید: ۴ نوع حمله‌ی سایبری که کاربر به‌احتمال‌زیاد با آن‌ها مواجه می‌شوید

«این هشدار به شما کمک می‌کند تا از این مسئله خبر داشته باشید که آیا اطلاعات شما در حال انتقال به وب‌سایت، ایمن هستند؟ چه در حال بررسی حساب بانکی خود باشید و چه در حال خرید بلیت کنسرت.»

هشدار “not secure”

اخیرا حجم زیادی از هشدارهای “not secure” به معنی «ایمن نیست» را به خطر نسخه‌ی جدید مرورگر گوگل مشاهده می‌کنید.

کروم این هشدار را درصورتی‌که وب‌سایت رمزگذاری نشده باشد، در کنار آدرس وب‌سایت در کادر مخصوص آدرس‌ها نشان می‌دهد.

این هشداری با پایان‌بندی باز است یعنی شما را مجبور به انجام کار خاصی نمی‌کند ولی احتمالاً نیازی هم نیست با دیدن آن بترسید. بیشتر به این معنی است که مسئولین آن وب‌سایت باید سایت خود را به‌روزرسانی کنند و خیلی بعید است که در آن زمان کسی در حال استفاده از اطلاعات شخصی شما برای مقصود شوم خود باشد.

کروم در حال تغییر نحوه‌ی باز کردن وب‌سایت‌های همراه HTTP است که داده‌ها را رمزگذاری نمی‌کنند.

برای مثال کروم قصد دارد شیوه‌ی قدیمی نشان دادن هشدار خود در بالای صفحه را به نمایش آن در مرکز صفحه‌ی وب‌سایت تغییر دهد. در پایین هشداری که کروم می‌دهد هم نمادی برای اطلاعات بیشتر است که با کلیک کردن روی آن می‌توانید به آن‌ها دسترسی داشته باشید. اما این مسئله به این معنی نیست که باید خوشحال باشید. همان‌گونه که کارمند سابق سازمان امنیت ملی آمریکا ادوارد اسنودن و رسوایی‌هایی مانند سیستم تحلیلی کمبریج نشان دادند، امنیت و حریم شخصی اینترنتی در وضعیت مطلوبی نیست.

حتی بررسی منفعل داده‌های سایت‌هایی که از رمزگذاری استفاده نمی‌کنند بااینکه از حملات سایبری خفیف‌تر است اما می‌تواند اطلاعات زیادی را در رابطه با شما فاش کند. کروم قدرت نفوذ زیادی روی اینترنت دارد. بر اساس بررسی‌های انجام شده کروم 59 درصد از ترافیک اینترنت را شامل می‌شود و در سال 2015 از رکورد یک بیلیون کاربر روزانه هم عبور کرد.

در ادامه نگاهی به مسائلی می‌اندازیم که در حال تغییر هستند و دلایل آن‌ها را هم بررسی می‌کنیم.

معایب HTTP

HTTP تاکنون به‌خوبی به اینترنت خدمت کرده است اما در مقابل مشکلات مختلف آسیب‌پذیر است آن‌هم از جانب هرکسی که کنترل اینترنت مورداستفاده‌ی شما را در دست دارد. این افراد می‌توانند مدیریت وای‌فای پرواز، کافی‌شاپ، هتل یا حتی شرکتی را به عهده داشته باشند که به شما خدمات اینترنتی می‌دهد. به گفته‌ی نیک سالیوان، رئیس بخش رمزگذاری شرکتی که به وب‌سایت‌ها کمک می‌کند تا با ترافیک اینترنتی کنار بیایند، استفاده از HTTP برای یک وب‌سایت به‌جای HTTPS همیشه مشکل‌ساز بوده است.

هر تعاملی که با وب‌سایتی بدون استفاده از رمزگذاری انجام شود، به مجموعه‌ای از شرکت‌های ناشناس در مناطق دلخواهی در سراسر زمین فرستاده می‌شود. این یک ایراد بزرگ در حریم شخصی ایجاد می‌کند. علاوه بر این یک نقص امنیتی هم محسوب می‌شود چراکه اطلاعات کاربر ممکن است در این مسیر تغییر کند و کاربر حتی از آن باخبر نباشد.

این عمل واسطه‌هایی را فرامی‌خواند که تبلیغ، ردگیر یا نرم‌افزارهای شرور را به وب‌سایت‌ها اضافه کنند.

تروی هانت، یک محقق مستقل امنیتی، ویدئویی ساخت که سوءاستفاده‌هایی را نشان می‌دهد که وب‌سایت‌های HTTP ممکن می‌سازند.

افراد شرور می‌توانند:

• تبلیغات یا محتواهای خاصی را به وب‌سایت اضافه کنند که در وب‌سایت اصلی نبوده‌اند.

کاری که Comcast با هشدارهای کپی‌رایت و موارد مشابه به‌روزرسانی انجام داد.

• نرم‌افزارهایی را به سایت اضافه کنند که ارز رمزگذاری را برای سود شخصی فرد دیگر استخراج می‌کنند.

کاری که یک مغازه‌ی استارباکس آرژانتینی در 2017 کرد.

• مردم را با استفاده از روش DNS hijacking به وب‌سایت‌هایی جعلی هدایت کنند تا نام کاربری و رمزشان فاش شود.

دولت‌هایی که بر روی ساختار اینترنتی کشور کنترل زیادی دارند هم قابلیت‌های بیشتری پیدا می‌کنند.

چین از اتصالات رمزگذاری نشده‌ی HTTP استفاده می‌کند تا افرادی را که به روی سایت Baidu می‌روند به مهاجمان ناخواسته‌ی وب‌سایت برنامه‌نویسی Github تبدیل کند. طبق یافته‌های پروژه‌ی تور برای پیشرفت حریم شخصی در اینترنت و انجمن آزادی بیان و تفکر که شرکتی برای نظارت بر روی سانسور اینترنت مصر است،  مصر تبلیغات و برنامه‌های استخراج ارز دیجیتال را به کامپیوتر مردم وارد کرده است.

چین و مصر شاید در مقایسه با دیگر کشورها متفاوت باشنداما مسئولین اعمال قانون آمریکا هم از رمزگذاری استقبال نمی‌کنند. مدیر اف‌بی‌آی در اوایل ماه جولای هشدار داد شرکت‌هایی که زیر بار فشار برای ضعیف کردن رمزگذاری خود نمی‌روند ممکن است با دستور قضایی برای انجام این کار روبه‌رو شوند.

با استفاده از کروم در وب‌سایتی با HTTP چه می‌بینیم؟

تغییرات برنامه‌های کروم تدریجی بوده‌اند و از برنامه‌ی هشداری کروم در سال 2016 آغاز شدند و با هشداری در ماه فوریه که HTTP ایمن نیست(not secure)  ادامه پیدا کردند. در ادامه مراحل این برنامه را دنبال می‌کنیم. همین‌الان اگر روی وب‌سایتی با HTTP بروید، کروم نماد “i” را در سمت چپ آدرس نمایش می‌دهد که به معنی امکان گرفتن اطلاعات بیشتر است.

اگر روی آن کلیک کنید، کروم می‌گوید: «اتصال شما به این وب‌سایت ایمن نیست.»البته این هشدار خیلی بازدارنده نیست اما مانند دیدن کلمه‌ی سبزsecure” ” به معنی ایمن در حال بازدید از وب‌سایتی همراه با HTTPS هم نیست.

با کروم 68، اتصالی با HTTP به شکلی واضح منجر به نمایش کلمات “not secure” به معنی ایمن نیست در کنار نماد “”i  می‌شود. سپس کروم 69 که در سپتامبر منتشر می‌شود با حذف کلمه‌ی سبز ایمن که الآن نشان می‌دهد، تأکید می‌کند که وب‌سایت‌هایی بااتصال HTTPS معمولی و عادی هستند و جایی برای تعجب نیست.

بر اساس اظهارات گوگل در پستی به‌جای آن کلمه یک قفل سیاه می‌بینید که کمتر هم در چشم است. بعدازآن در آینده، آن قفل سیاه هم ناپدید می‌شود تا گوگل مردم را قانع کند که اتصالات HTTPS آن چیزی هستند که مردم باید انتظارشان را داشته باشند. در آخر در ماه اکتبر با کروم 70 گوگل قصد دارد واکنش شدیدتری را نسبت به سایت‌‌هایی با اتصال HTTP نشان دهد. این کار با تغییر رنگ کلمات “not secure” از سیاه به قرمز انجام می‌گیرد تا هشداردهنده‌تر باشد.

موزیلا بیان کرده که فعلاً روی دیگر جنبه‌های حریم شخصی فایرفاکس تمرکز کرده است.

«وقتی زمان‌بندی خاصی برای نشان دادن اتصالات HTTP به‌عنوان ناایمن داشته باشیم آن را اعلام می‌کنیم.»

چرا تا به حال از HTTPS استفاده نمی‌کردیم؟

HTTPS چندین دهه سن دارد اما در روزهای اولیه‌ی اینترنت فقط در زمان‌هایی استفاده می‌شد که مثلاً می‌خواستیم اطلاعات حساسی مثل رمز عبور یا شماره‌ی کارت اعتباری را به وب‌سایتی وارد کنیم. چرا غیرمعمول بود؟ سال‌ها پیش HTTPS بابت خدماتش پول دریافت می‌کرد و مدیران سایت‌ها مجبور بودند برای استفاده از آن و فعال کردن این ویژگی هزینه کنند.

مشکلات کاربردی آن خیلی وقت‌ است که حل شده‌اند اگرچه تلاشی به نام «بیایید رمزگذاری کنیم»(Let’s Encrypt)  که موردحمایت گوگل، فیس‌بوک، موزیلا، آکامای (Akamai)، سیسکو سیستمز ((Cisco Systems، بریو (Brave) و الکترانیک فرانتیِر (Electronic  Frontier Foundation)  و دیگر شرکت‌هاست در حال حاضر این معنی را دارد که این امکان دیگر رایگان است.

پس از سال‌ها تلاش توسط شرکت‌های مختلف فناوری حالا مراقبت از سایت‌ها با اتصالات HTTPS در حال معمول شدن هستند.

آمار و ارقام کاربران اینترنت نشان می‌دهند که اکثر جمعیت کاربران فایرفاکس در 73 درصد موارد روی صفحه‌های وب‌سایت‌های ایمن می‌روند.

این بدین معنی نیست که انتقال داده‌ها به HTTPS کار راحتی است.

ناسا ماه‌ها برای انتقال 3000 وب‌سایت به 95 درصد HTTPS زمان صرف کرد.

و اینترنت وسیع است آن‌هم خیلی وسیع. اینترنت طبق آخرین سرشماری توسط شرکت نظارتی نت‌کرفت (Netcraft) 1،633،673،364 وب‌سایت دارد.

البته تصمیم گوگل که سایت‌های HTTP را ناامن بنامد به این معنی است که شرایط برای مسئولین وب‌سایت‌ها با گذشته خیلی فرق کرده است. بعضی دوست دارند که مرورگرها ما را از صافی‌های بیشتری هم رد کنند تا سایت‌های HTTP را بارگیری کنند. جاش آس می‌گوید:

«کاربران باید خودشان انتخاب کنند که آیا می‌خواهند این خطر را بپذیرند یا خیر. کسی نمی‌گوید وب‌سایت‌های قدیمی رمزگذاری نشده باید از دسترس خارج شوند. اما این کار هم که همه را به خطر بیندازیم تا فقط بتوانیم وب‌سایت‌های کدگذاری نشده و قدیمی را به‌صورت از پیش تعیین‌شده بارگذاری کنیم درست نیست.»

چه افرادی از HTTP استفاده نمی‌کنند؟

بیشتر سایت‌هایی که احتمال استفاده‌ی شما از آن‌ها زیاد است از اتصال شما با HTTPS محافظت می‌کنند و از این میان می‌توان به گوگل، فیسبوک، یاهو، ای‌بِی، مایکروسافت، آمازون، توییتر و اینستاگرام اشاره کرد. حتی اگر با تایپ کردن آدرس آن‌ها به‌صورت http://” ” به‌وضوح درخواست ورود به صفحه‌های ناامن آن‌ها را بدهید خودشان شما را به لینک ایمنی متصل می‌کنند.

اما هنوز هم سایت‌هایی وجود دارند که به این امکان دسترسی پیدا نکرده‌اند. مثلاً در سایت‌های شرکت تحقیقاتی چینی Baidu و شرکت تجارت الکترونیک Alibaba اگر شما فقط آدرس سایت را در کادر آدرس وارد کنید به شما صفحه‌ای رمزگذاری نشده نشان می‌دهند و فقط درصورتی‌که https://  را قبل از اسم آدرس تایپ کنید شما را به صفحه‌ای رمزگذاری شده می‌برند. دیگر سایت‌های مشهور مثل ESPN.com و BBC.com حتی اگر درخواست صفحه‌ی ایمن را هم بکنید به شما نسخه‌ی ناامن و رمزگذاری نشده را نشان می‌دهند.

HTTPS در حال حاضر در حال فراگیر شدن است.

پروژه‌ی بیایید رمزگذاری کنیم روزانه بیش از 600000 گواهی HTTPS را صادر می‌کند تا وب‌سایت‌ها از آن استفاده کنند و امروزه بیش از 73 درصد وب‌سایت‌هایی که با فایرفاکس به آن‌ها متصل می‌شوید، ایمن هستند. محقق امنیتی اسکات هلم در تازه‌ترین ارزیابی دوسالانه‌ی خود گفت که تعداد وب‌سایت‌های رمزگذاری شده در لیست یک ‌میلیونی الکسا نسبت به بررسی قبلی رشدی 32 درصدی داشته است.

ایمن نبودن HTTP چه مشکلاتی را ایجاد می‌کند؟

اگرچه به‌روزرسانی به HTTPS الآن راحت‌تر شده اما تغییر همیشه سخت است.

تغییر می‌تواند به معنی کار اضافی برای مسئولین سایت‌ها و دیگران باشد.

انتخاب تیم کروم در این مورد که کدام گزینه بهترین انتخاب برای مردم است ممکن است تا حدی مردم را آزار دهد. آس می‌گوید:

«بعضی از افراد نمی‌خواهند برای ایمن کردن سایت‌های خود کاری کنند و درعین‌حال هم نمی‌خواهند به بازدیدکنندگان از سایت‌های آنان این اطلاع داده شود که سایت ناامن است.»

دیو وینر که در اینترنت برای ابداع بلاگ و فناوری RSS مشهور است و قبلاً به مشترکان برای به‌روزرسانی‌ها اطلاع می‌داد، یکی از منتقدان هشدار ناامن گوگل برای وب‌سایت‌های HTTP است. او این انتقال داده‌ها را به عمل دسته‌ای سوزاندن کتاب‌ها تشبیه کرده است چراکه از تأثیری که این کار می‌تواند بر روی سایت‌های قدیمی داشته باشد می‌ترسد.

البته طرفداران HTTPS مخالف هستند.

آن‌ها باور دارند که این کار مانند سوزاندن کتاب‌ها نیست.

بیشتر شبیه درخواست از رستوران‌هاست که رتبه‌بندی سلامت خود را عمومی کنند. اطلاع دادن به مردم در این مورد که خدماتی مشکلی دارد یکی از بهترین راه‌ها برای ترغیب ارائه‌دهندگان آن خدمات به رفع آن مشکل است. ایرادی دیگر این است که امروزه گرفتن گواهی‌های HTTPS بسیار راحت شده است و دیگر لزوماً به این معنی نیست که سایتی ایمن است. جف ویلبر، مدیر فنی اتحادیه‌ای اینترنتی می‌گوید:

«رمزگذاری روی سایتی به این معنی تضمین این امر نیست که خود سایت هم ایمن است. افراد شرور هم می‌توانند از سایت خود با HTTPS استفاده کنند.»

آیا این امر انتقال به HTTPS را کند می‌کند؟

خیر.

با سال‌ها اعمال فشار باید این نکته ذکر شود که موانع پذیرفتن HTTPS کمتر از انگیزه و سود استفاده از آن‌هاست. علاوه بر هشدارهای کروم و گواهی‌های رایگان بیایید رمزگذاری کنیم، در حال حاضر چندین منبع در گوگل وجود دارند که در این راستا فعالیت می‌کنند.

همچنین جدیدترین ویژگی‌های مرورگرها اغلب نیاز به HTTPS دارند تا فعال شوند. کاملاً واضح است که این انتقال روبه‌جلو است.

ویلبر می‌گوید:

«جامعه‌ی اینترنت بر این باور است که رمزگذاری باید هنجار و قاعده‌ی ترافیک اینترنت باشد و این یک ‌قدم روبه‌جلوی مهم در تلاش‌های کنونی جوامع فنی است تا ایراد نظارت فراگیر در اینترنت را رفع کنند.»

درنهایت عادی شدن HTTPS به این معنی است که مهاجمان قرار است دوران سختی را پیش‌رو داشته باشند.

از زمان بنای شبکه‌ گسترده‌ جهانی، برای 25 سال تضمینی وجود نداشت که مطمئن باشیم با چه کسی حرف میزند.

اما حالا در حال حرکت به سمت شرایطی هستیم که هشدار ناایمن مربوط به HTTP نادر خواهد شد.

پنج سال دیگر به زمان حال نگاه می‌کنیم و می‌گوییم استفاده از چنین سایت‌های ناامنی دیوانگی نبود؟