دعواهای رمزنگاری در وب و دو خبر ناامنی HTTP از سال ۲۰۱۵!

سلام

پروژه Let's Encrypt برای رمزنگاری تمام وب

دقیقا در یک ماه پیش یعنی در ۲۷ آبان پروژه ای به نام Let's Encrypt توسط (Electronic Frontier Foundation (EFF کلید خورد که قراره طی این پروژه به زودی و در سال ۲۰۱۵ تمام ترافیک وب از HTTP به HTTPS منتقل شه. این پروژه قرار نیست ترافیک سایت شما رو به HTTPS ببره بلکه قراره روشی رو راه اندازی کنند تا مثل الان، داشتن HTTPS هزینه بر، زمان بر و دارای تنظیمات نسبتا سختی نباشه و هر وب سرویس کوچکی به راحتی بتونه از این خدمات استفاده کنه. اسپانسر های این پروژه موزیلا، سیسکو، آکامی، EFF و Iden Trust اند.

 

اعلام ناامن بودن سایت هایی که از HTTP استفاده می کنند از سال ۲۰۱۵ توسط گوگل

Marking HTTP As Non-Secure from 2015

http traffic

حالا چرا پروژه ای رو آوردم که تاریخش مال یک ماهه پیشه؟!! موضوعی که نظر من رو جلب کرد این بود که دوستان گوگلی ما (در پروژه chromium ) هم دیروز یعنی ۲۵ آذر ۹۳ (۱۶ دسامبر۲۰۱۴) در حالی که کمتر از ۱۵ روز به شروع سال ۲۰۱۵ میلادی داریم اعلام کردند که از سال ۲۰۱۵ تمام سایت هایی که از HTTP استفاده می کنند از نظر کروم به صورت ناامن یا insecure شناخته می شوند. تیم امنیت گوگل این گونه عنوان کرده که:

زبان اصلی:

We all need data communication on the web to be secure (private, authenticated, untampered). When there is no data security, the UA should explicitly display that, so users can make informed decisions about how to interact with an origin.

ترجمه فارسی:

همه ی ما به این نیاز داریم که جابجایی داده هایمان روی وب به صورت امن (خصوصی، اعتبارسنجی شده و قابل اعتماد، بدون دستکاری) باشد. وقتی هیچ امنیتی برای داده هایمان وجود ندارد، این مورد باید صراحتا به کاربران نمایش داده شود و در این حالت، کاربران خودشان می توانند در مورد چگونگی تعاملاتشان با سرویس مبداء تصمیم بگیرند.

در حال حاضر اگر یک سایت برای ترافیکش از HTTPS استفاده کند، مرورگرها طبق قواعد کلید عمومی و PKI می توانند هویت سایت را برای شما مشخص کنند و شما می توانید از امن بودن و واقعی بودن وب سایت درخواستی، مطمئن شوید. در این حالت از بسیاری از حملات مثل مردی-در-میان یا همان Man-In-the-Middle جلوگیری می شود. (البته کاری به روش های نفوذی مثل حمله ی پودل ندارم) اما اگر سایتی از HTTP استفاده کند هیچ راهی برای احراز هویت آن سایت وجود ندارد. علاوه بر آن تمام حملات مردی-در-میان به صورت بالقوه قابل پیاده سازی است. شاید به این دلیل است که گوگل مبنای «امن بودن» یا «ناامن بودن» را می خواهد به صورت زیر تغییر دهد:

  • Secure یا امن: برای سایت هایی با HTTPSـه معتبر و مواردی مثل (*, localhost, *)
  • Dubious یا مشکوک: برای سایت هایی که HTTPSـه آن ها معتبر است اما یا دارای منابع یا resourceهای passive و غیرفعال‌اند و یا شامل خطاهای جزئی در TLSاند.
  • Non-Secure یا ناامن: برای سایت هایی با HTTPS نامعتبر و سایت هایی که از HTTP استفاده می کنند.

حالا سوال اینه که اصلا اهمیت رمزنگاری در وب سایت های عمومی چیه؟

اهمیت رمزنگاری در وب و دعواهایش

حتما شما هم دعواهایی که بین افراد طرفداری حریم شخصی هستند رو در وب خوندید. نمی خوام صحبت های اون دوستان رو زیر سوال ببرم (واقعا نمی خوام) اما به نظر من خیلی از این حرف هایی که زده میشه یه جوریه!!! این افراد می گن که ما نمی خوایم ترافیک مون در درجه اول توسط دولت ها و در درجه بعدی توسط نفوذگران شنود بشه و برای همین باید از https استفاده کنیم! منم موافقم که مثلا برای پرداخت آنلاین و یا ارسال ایمیل باید اصل محرمانگی حفظ بشه اما آیا واقعا ضرورتی داره که وقتی من به وبلاگ دوستام سر می زنم از Https استفاده کنم؟ اون هم با این سرعت پایینی که ما داریم. یا وقتی دارم در stackoverflow دنبال یک سوال برنامه نویسی میگردم واقعا چه ضرورتی داره؟ ما میایم می گیم که آقا حریم خصوصی رو باید حفظ کرد و از این حرفها و کلی هم از https حرف می زنیم اما خودمون در شبکه های اجتماعی تمام زندگی‌مون رو با جزییات تشریح می کنیم...

اما پیشنهاد من چیه؟

در شرایط حاضر و در حالی که هنوز پروژه Let's Encrypt پیاده سازی نشده، این کار گوگل و مباحثی که دوستان مطرح می کنند درست نیست. شما نمی تونی یک نسخه رو برای همه بپیچی. واقعا برای خیلی ها حتی ارسال ایمیل هم، خصوصی نیست چه برسه به بازدید از وبلاگ ها و ... اما اگر شما جزو دسته ای هستی که می خوای تمام وب گردیت رمزنگاری بشه؛ پیشنهادم اینه که یا چند سرور اختصاصی (و البته نه زامبی :دی ) تهیه کنی و روی اون از یک تونل رمزنگاری‌شده استفاده کنی... و یا از سرویس هایی مثل تور استفاده کنی...

مطمئنا قصد توهین به دوستان بسیار عزیزم که نظر مخالف من رو دارند رو نداشتم و اگر بی احترامی شد، صمیمانه پوزش می خوام heart