هشدار HTTP کروم, دنبال قطع کردن نظارت و دستکاری در اینترنت است.
HTTP یکی از آن فناوریهایی است که باعث شد شبکهی گستردهی جهانی از زمانی که تیم برنرز-لی 25 سال پیش اینترنت را اختراع کرد و نامش را در تاریخ به ثبت رساند، به لطف مرورگر اینترنتی گوگل کروم به کار خود ادامه دهد.
مطالعه نمایید: گوگل کلید جدیدترین فناوری دفاعی کروم را میزند
پروتکل انتقال فرا متنی(The Hypertext Transfer Protocol) این امکان را به مرورگر اینترنتی شما میدهد که صفحهای اینترنتی را از روی سروری بردارد که میزبان آن است.
مطالعه نمایید: با ده شیوهی معمول هک آشنا شوید
HTTP تا الان هم خیلی خوب کار کرده است اما مشکلی دارد:
HTTP از ارتباطات با رمزگذاری پشتیبانی نمیکند که از شنود و دستکاری جلوگیری شود.
به همین دلیل است که گوگل، موزیلا و دیگر صنایع فناوری مرتبط وبسایتها را وادار به انتقال دادههای خود به نسخهی ایمنی کردهاند که به آن HTTPS میگوییم. با انتشار نسخهی 68 کروم, مرورگر گوگل هرزمانی که صفحهی اینترنتی خاصی را بدون رمزگذاری HTTP باز کند بلافاصله به شما هشدار میدهد. امیلی اسکچر، مدیر بخش امنیتی کروم، در بلاگی گفت:
مطالعه نمایید: ۴ نوع حملهی سایبری که کاربر بهاحتمالزیاد با آنها مواجه میشوید
«این هشدار به شما کمک میکند تا از این مسئله خبر داشته باشید که آیا اطلاعات شما در حال انتقال به وبسایت، ایمن هستند؟ چه در حال بررسی حساب بانکی خود باشید و چه در حال خرید بلیت کنسرت.»
هشدار “not secure”
اخیرا حجم زیادی از هشدارهای “not secure” به معنی «ایمن نیست» را به خطر نسخهی جدید مرورگر گوگل مشاهده میکنید.
کروم این هشدار را درصورتیکه وبسایت رمزگذاری نشده باشد، در کنار آدرس وبسایت در کادر مخصوص آدرسها نشان میدهد.
این هشداری با پایانبندی باز است یعنی شما را مجبور به انجام کار خاصی نمیکند ولی احتمالاً نیازی هم نیست با دیدن آن بترسید. بیشتر به این معنی است که مسئولین آن وبسایت باید سایت خود را بهروزرسانی کنند و خیلی بعید است که در آن زمان کسی در حال استفاده از اطلاعات شخصی شما برای مقصود شوم خود باشد.
کروم در حال تغییر نحوهی باز کردن وبسایتهای همراه HTTP است که دادهها را رمزگذاری نمیکنند.
برای مثال کروم قصد دارد شیوهی قدیمی نشان دادن هشدار خود در بالای صفحه را به نمایش آن در مرکز صفحهی وبسایت تغییر دهد. در پایین هشداری که کروم میدهد هم نمادی برای اطلاعات بیشتر است که با کلیک کردن روی آن میتوانید به آنها دسترسی داشته باشید. اما این مسئله به این معنی نیست که باید خوشحال باشید. همانگونه که کارمند سابق سازمان امنیت ملی آمریکا ادوارد اسنودن و رسواییهایی مانند سیستم تحلیلی کمبریج نشان دادند، امنیت و حریم شخصی اینترنتی در وضعیت مطلوبی نیست.
حتی بررسی منفعل دادههای سایتهایی که از رمزگذاری استفاده نمیکنند بااینکه از حملات سایبری خفیفتر است اما میتواند اطلاعات زیادی را در رابطه با شما فاش کند. کروم قدرت نفوذ زیادی روی اینترنت دارد. بر اساس بررسیهای انجام شده کروم 59 درصد از ترافیک اینترنت را شامل میشود و در سال 2015 از رکورد یک بیلیون کاربر روزانه هم عبور کرد.
در ادامه نگاهی به مسائلی میاندازیم که در حال تغییر هستند و دلایل آنها را هم بررسی میکنیم.
معایب HTTP
HTTP تاکنون بهخوبی به اینترنت خدمت کرده است اما در مقابل مشکلات مختلف آسیبپذیر است آنهم از جانب هرکسی که کنترل اینترنت مورداستفادهی شما را در دست دارد. این افراد میتوانند مدیریت وایفای پرواز، کافیشاپ، هتل یا حتی شرکتی را به عهده داشته باشند که به شما خدمات اینترنتی میدهد. به گفتهی نیک سالیوان، رئیس بخش رمزگذاری شرکتی که به وبسایتها کمک میکند تا با ترافیک اینترنتی کنار بیایند، استفاده از HTTP برای یک وبسایت بهجای HTTPS همیشه مشکلساز بوده است.
هر تعاملی که با وبسایتی بدون استفاده از رمزگذاری انجام شود، به مجموعهای از شرکتهای ناشناس در مناطق دلخواهی در سراسر زمین فرستاده میشود. این یک ایراد بزرگ در حریم شخصی ایجاد میکند. علاوه بر این یک نقص امنیتی هم محسوب میشود چراکه اطلاعات کاربر ممکن است در این مسیر تغییر کند و کاربر حتی از آن باخبر نباشد.
این عمل واسطههایی را فرامیخواند که تبلیغ، ردگیر یا نرمافزارهای شرور را به وبسایتها اضافه کنند.
تروی هانت، یک محقق مستقل امنیتی، ویدئویی ساخت که سوءاستفادههایی را نشان میدهد که وبسایتهای HTTP ممکن میسازند.
افراد شرور میتوانند:
- تبلیغات یا محتواهای خاصی را به وبسایت اضافه کنند که در وبسایت اصلی نبودهاند.
کاری که Comcast با هشدارهای کپیرایت و موارد مشابه بهروزرسانی انجام داد.
- نرمافزارهایی را به سایت اضافه کنند که ارز رمزگذاری را برای سود شخصی فرد دیگر استخراج میکنند.
کاری که یک مغازهی استارباکس آرژانتینی در 2017 کرد.
- مردم را با استفاده از روش DNS hijacking به وبسایتهایی جعلی هدایت کنند تا نام کاربری و رمزشان فاش شود.
دولتهایی که بر روی ساختار اینترنتی کشور کنترل زیادی دارند هم قابلیتهای بیشتری پیدا میکنند.
چین از اتصالات رمزگذاری نشدهی HTTP استفاده میکند تا افرادی را که به روی سایت Baidu میروند به مهاجمان ناخواستهی وبسایت برنامهنویسی Github تبدیل کند. طبق یافتههای پروژهی تور برای پیشرفت حریم شخصی در اینترنت و انجمن آزادی بیان و تفکر که شرکتی برای نظارت بر روی سانسور اینترنت مصر است، مصر تبلیغات و برنامههای استخراج ارز دیجیتال را به کامپیوتر مردم وارد کرده است.
چین و مصر شاید در مقایسه با دیگر کشورها متفاوت باشنداما مسئولین اعمال قانون آمریکا هم از رمزگذاری استقبال نمیکنند. مدیر افبیآی در اوایل ماه جولای هشدار داد شرکتهایی که زیر بار فشار برای ضعیف کردن رمزگذاری خود نمیروند ممکن است با دستور قضایی برای انجام این کار روبهرو شوند.
با استفاده از کروم در وبسایتی با HTTP چه میبینیم؟
تغییرات برنامههای کروم تدریجی بودهاند و از برنامهی هشداری کروم در سال 2016 آغاز شدند و با هشداری در ماه فوریه که HTTP ایمن نیست(not secure) ادامه پیدا کردند. در ادامه مراحل این برنامه را دنبال میکنیم. همینالان اگر روی وبسایتی با HTTP بروید، کروم نماد “i” را در سمت چپ آدرس نمایش میدهد که به معنی امکان گرفتن اطلاعات بیشتر است.
اگر روی آن کلیک کنید، کروم میگوید: «اتصال شما به این وبسایت ایمن نیست.»البته این هشدار خیلی بازدارنده نیست اما مانند دیدن کلمهی سبزsecure” ” به معنی ایمن در حال بازدید از وبسایتی همراه با HTTPS هم نیست.
با کروم 68، اتصالی با HTTP به شکلی واضح منجر به نمایش کلمات “not secure” به معنی ایمن نیست در کنار نماد “”i میشود. سپس کروم 69 که در سپتامبر منتشر میشود با حذف کلمهی سبز ایمن که الآن نشان میدهد، تأکید میکند که وبسایتهایی بااتصال HTTPS معمولی و عادی هستند و جایی برای تعجب نیست.
بر اساس اظهارات گوگل در پستی بهجای آن کلمه یک قفل سیاه میبینید که کمتر هم در چشم است. بعدازآن در آینده، آن قفل سیاه هم ناپدید میشود تا گوگل مردم را قانع کند که اتصالات HTTPS آن چیزی هستند که مردم باید انتظارشان را داشته باشند. در آخر در ماه اکتبر با کروم 70 گوگل قصد دارد واکنش شدیدتری را نسبت به سایتهایی با اتصال HTTP نشان دهد. این کار با تغییر رنگ کلمات “not secure” از سیاه به قرمز انجام میگیرد تا هشداردهندهتر باشد.
موزیلا بیان کرده که فعلاً روی دیگر جنبههای حریم شخصی فایرفاکس تمرکز کرده است.
«وقتی زمانبندی خاصی برای نشان دادن اتصالات HTTP بهعنوان ناایمن داشته باشیم آن را اعلام میکنیم.»
چرا تا به حال از HTTPS استفاده نمیکردیم؟
HTTPS چندین دهه سن دارد اما در روزهای اولیهی اینترنت فقط در زمانهایی استفاده میشد که مثلاً میخواستیم اطلاعات حساسی مثل رمز عبور یا شمارهی کارت اعتباری را به وبسایتی وارد کنیم. چرا غیرمعمول بود؟ سالها پیش HTTPS بابت خدماتش پول دریافت میکرد و مدیران سایتها مجبور بودند برای استفاده از آن و فعال کردن این ویژگی هزینه کنند.
مشکلات کاربردی آن خیلی وقت است که حل شدهاند اگرچه تلاشی به نام «بیایید رمزگذاری کنیم»(Let’s Encrypt) که موردحمایت گوگل، فیسبوک، موزیلا، آکامای (Akamai)، سیسکو سیستمز ((Cisco Systems، بریو (Brave) و الکترانیک فرانتیِر (Electronic Frontier Foundation) و دیگر شرکتهاست در حال حاضر این معنی را دارد که این امکان دیگر رایگان است.
پس از سالها تلاش توسط شرکتهای مختلف فناوری حالا مراقبت از سایتها با اتصالات HTTPS در حال معمول شدن هستند.
آمار و ارقام کاربران اینترنت نشان میدهند که اکثر جمعیت کاربران فایرفاکس در 73 درصد موارد روی صفحههای وبسایتهای ایمن میروند.
این بدین معنی نیست که انتقال دادهها به HTTPS کار راحتی است.
ناسا ماهها برای انتقال 3000 وبسایت به 95 درصد HTTPS زمان صرف کرد.
و اینترنت وسیع است آنهم خیلی وسیع. اینترنت طبق آخرین سرشماری توسط شرکت نظارتی نتکرفت (Netcraft) 1،633،673،364 وبسایت دارد.
البته تصمیم گوگل که سایتهای HTTP را ناامن بنامد به این معنی است که شرایط برای مسئولین وبسایتها با گذشته خیلی فرق کرده است. بعضی دوست دارند که مرورگرها ما را از صافیهای بیشتری هم رد کنند تا سایتهای HTTP را بارگیری کنند. جاش آس میگوید:
«کاربران باید خودشان انتخاب کنند که آیا میخواهند این خطر را بپذیرند یا خیر. کسی نمیگوید وبسایتهای قدیمی رمزگذاری نشده باید از دسترس خارج شوند. اما این کار هم که همه را به خطر بیندازیم تا فقط بتوانیم وبسایتهای کدگذاری نشده و قدیمی را بهصورت از پیش تعیینشده بارگذاری کنیم درست نیست.»
چه افرادی از HTTP استفاده نمیکنند؟
بیشتر سایتهایی که احتمال استفادهی شما از آنها زیاد است از اتصال شما با HTTPS محافظت میکنند و از این میان میتوان به گوگل، فیسبوک، یاهو، ایبِی، مایکروسافت، آمازون، توییتر و اینستاگرام اشاره کرد. حتی اگر با تایپ کردن آدرس آنها بهصورت http://” ” بهوضوح درخواست ورود به صفحههای ناامن آنها را بدهید خودشان شما را به لینک ایمنی متصل میکنند.
اما هنوز هم سایتهایی وجود دارند که به این امکان دسترسی پیدا نکردهاند. مثلاً در سایتهای شرکت تحقیقاتی چینی Baidu و شرکت تجارت الکترونیک Alibaba اگر شما فقط آدرس سایت را در کادر آدرس وارد کنید به شما صفحهای رمزگذاری نشده نشان میدهند و فقط درصورتیکه https:// را قبل از اسم آدرس تایپ کنید شما را به صفحهای رمزگذاری شده میبرند. دیگر سایتهای مشهور مثل ESPN.com و BBC.com حتی اگر درخواست صفحهی ایمن را هم بکنید به شما نسخهی ناامن و رمزگذاری نشده را نشان میدهند.
HTTPS در حال حاضر در حال فراگیر شدن است.
پروژهی بیایید رمزگذاری کنیم روزانه بیش از 600000 گواهی HTTPS را صادر میکند تا وبسایتها از آن استفاده کنند و امروزه بیش از 73 درصد وبسایتهایی که با فایرفاکس به آنها متصل میشوید، ایمن هستند. محقق امنیتی اسکات هلم در تازهترین ارزیابی دوسالانهی خود گفت که تعداد وبسایتهای رمزگذاری شده در لیست یک میلیونی الکسا نسبت به بررسی قبلی رشدی 32 درصدی داشته است.
ایمن نبودن HTTP چه مشکلاتی را ایجاد میکند؟
اگرچه بهروزرسانی به HTTPS الآن راحتتر شده اما تغییر همیشه سخت است.
تغییر میتواند به معنی کار اضافی برای مسئولین سایتها و دیگران باشد.
انتخاب تیم کروم در این مورد که کدام گزینه بهترین انتخاب برای مردم است ممکن است تا حدی مردم را آزار دهد. آس میگوید:
«بعضی از افراد نمیخواهند برای ایمن کردن سایتهای خود کاری کنند و درعینحال هم نمیخواهند به بازدیدکنندگان از سایتهای آنان این اطلاع داده شود که سایت ناامن است.»
دیو وینر که در اینترنت برای ابداع بلاگ و فناوری RSS مشهور است و قبلاً به مشترکان برای بهروزرسانیها اطلاع میداد، یکی از منتقدان هشدار ناامن گوگل برای وبسایتهای HTTP است. او این انتقال دادهها را به عمل دستهای سوزاندن کتابها تشبیه کرده است چراکه از تأثیری که این کار میتواند بر روی سایتهای قدیمی داشته باشد میترسد.
البته طرفداران HTTPS مخالف هستند.
آنها باور دارند که این کار مانند سوزاندن کتابها نیست.
بیشتر شبیه درخواست از رستورانهاست که رتبهبندی سلامت خود را عمومی کنند. اطلاع دادن به مردم در این مورد که خدماتی مشکلی دارد یکی از بهترین راهها برای ترغیب ارائهدهندگان آن خدمات به رفع آن مشکل است. ایرادی دیگر این است که امروزه گرفتن گواهیهای HTTPS بسیار راحت شده است و دیگر لزوماً به این معنی نیست که سایتی ایمن است. جف ویلبر، مدیر فنی اتحادیهای اینترنتی میگوید:
«رمزگذاری روی سایتی به این معنی تضمین این امر نیست که خود سایت هم ایمن است. افراد شرور هم میتوانند از سایت خود با HTTPS استفاده کنند.»
آیا این امر انتقال به HTTPS را کند میکند؟
خیر.
با سالها اعمال فشار باید این نکته ذکر شود که موانع پذیرفتن HTTPS کمتر از انگیزه و سود استفاده از آنهاست. علاوه بر هشدارهای کروم و گواهیهای رایگان بیایید رمزگذاری کنیم، در حال حاضر چندین منبع در گوگل وجود دارند که در این راستا فعالیت میکنند.
همچنین جدیدترین ویژگیهای مرورگرها اغلب نیاز به HTTPS دارند تا فعال شوند. کاملاً واضح است که این انتقال روبهجلو است.
ویلبر میگوید:
«جامعهی اینترنت بر این باور است که رمزگذاری باید هنجار و قاعدهی ترافیک اینترنت باشد و این یک قدم روبهجلوی مهم در تلاشهای کنونی جوامع فنی است تا ایراد نظارت فراگیر در اینترنت را رفع کنند.»
درنهایت عادی شدن HTTPS به این معنی است که مهاجمان قرار است دوران سختی را پیشرو داشته باشند.
از زمان بنای شبکه گسترده جهانی، برای 25 سال تضمینی وجود نداشت که مطمئن باشیم با چه کسی حرف میزند.
اما حالا در حال حرکت به سمت شرایطی هستیم که هشدار ناایمن مربوط به HTTP نادر خواهد شد.
پنج سال دیگر به زمان حال نگاه میکنیم و میگوییم استفاده از چنین سایتهای ناامنی دیوانگی نبود؟
۶ نظر در “HTTP کروم, هشداری برای قطع کردن نظارت و دستکاری در اینترنت می دهد”