باحثون أمنيون: HTTPS ليس آمنًا كما يبدو دائمًا

أشار باحثون أمنيون من جامعة كا فوسكاري في إيطاليا وجامعة فيينا للتكنولوجيا في النمسا إلى أن بعض مواقع الويب التي تستخدم بروتوكول HTTPS لا تزال تترك اتصالاتها مكشوفة، وأن نقاط الضعف في HTTPS قد تسمح للمهاجمين بالتطفل على بياناتك.

وحلل الباحثون أفضل 10 آلاف موقع على شبكة الإنترنت، وفقًا لتصنيف شركة Alexa للتحليلات المملوكة لشركة أمازون، تستخدم بروتوكول HTTPS، ووجدوا أن ما يقرب من 5.5 في المئة من هذه المواقع معرضة لاستغلال بروتوكول أمان طبقة النقل TLS.

وتعرض الكثير من المواقع أيقونة قفل أخضر صغير في شريط عنوان متصفح الويب، مما يشير إلى موقع الويب الذي تزوره حاليًا يستخدم بروتوكول HTTPS للاتصال الآمن.

ويحميك HTTPS من هجمات الرجل في الوسط، مما يضمن عدم رؤية أي شخص لكلمات مرورك وسجل البحث والمحتويات الحساسة الأخرى. وتستخدم معظم مواقع الويب الشائعة تقريبًا بروتوكول HTTPS لتشفير البيانات بين متصفح الويب وخوادم الويب التي يتصل بها.

ويدعي الباحثون أن العيوب التي اكتشفوها هي نتيجة مجموعة من المشكلات في كيفية تنفيذ المواقع لأنظمة تشفير TLS وفشلها في تصحيح الأخطاء المعروفة في TLS و SSL.

لكن أسوأ شيء في هذه العيوب هو أنها خفية بما فيه الكفاية بحيث لا يزال القفل الأخضر يظهر، إذ عند زيارتك لمثل هذا الموقع، سيظل القفل الأخضر يظهر في شريط عناوين المتصفح، مما يجعل من الصعب اكتشاف هذه العيوب.

وقد تسمح هذه الثغرات الأمنية للمهاجمين بفك تشفير المعلومات مثل ملفات تعريف ارتباط الجلسة، لكنها لن تكون مفيدة في استخراج شيء حساس مثل كلمة المرور، لكن هناك بعض العيوب التي يمكن أن تسمح للمهاجمين بفك تشفير كل حركة مرور الويب تقريبًا بين المستعرض وخادم الويب.

كما أن هناك نقاط ضعف تسمح للمهاجمين بفك تشفير ومعالجة البيانات التي يتم نقلها بين المتصفح وخادم الويب.

ويدعي الباحثون أن جميع المواقع الإلكترونية الـ 10 آلاف التي تم اختبارها تشمل أيضًا حوالي 91 ألف من النطاقات ذات الصلة التي تعد إما نطاقات فرعية أو تتشارك في الموارد مع أفضل 10 آلاف موقع.

وقد تؤدي ثغرات HTTPS ضمن هذه المواقع إلى زيادة العدد الإجمالي للمواقع المتأثرة.

وكشفت نقاط الضعف أن 898 موقعًا، من إجمالي 10 آلاف موقع إلكتروني تم اختبارها، كانت قابلة للاختراق، بينما قدم 977 موقعًا صفحات بأمان منخفض.