|
|
|
| Chrome یک کابوس امنیتی ! | |||||||||||||||||
|
کروم حساب های بانکی شما را اندیس گذاری می کند .
Chrome یک کابوس امنیتی است ، که حساب های بانکی شما را اندیس گذاری می کند آیا بخش جستجوی یک مرورگر می تواند خیلی خوب باشد؟ بعد از ور رفتن با مرورگر جدید گوگل با نام Chrome ما فهمیدیم که جعبه جستجوی History آن می تواند همه نوع داده ای را واکشی نماید. حتی متون سایت های مالی که بوسیله HTTPS محافظت شده اند مانند Washington Mutual و Capital One. با چند کلمه کلیدی مانند تعادل ، حساب ، و موجودی ، هر چیزی از اطلاعات توازن گرفته تا شماره حساب و حتی میزان زمانی که در Costco گذرانده اید قابل رویت می باشد. برای اینکه خودتان تجربه کنید ، فقط کروم رو باز کنید و به یکی از سایت های مالی مورد علاقه تان لاگین نمایید. این سایت ها معمولا باید بوسیله رمز گذاری های HTTPS/SSL محافظت شده باشند و این مورد از نوار آدرس کاملا مشهود است (نمایش علامت قفل). کار هایی که معمولا انجام می دهید مانند نگاه کردن به توازن مالی و مشاهد نمودن آخرین معاملات را انجام دهید. سپس بوسیله علامت + بالا تب جدیدی باز کنید ، در سمت راست بخش هیستوری رو می بینید ، تعدادی کلمه کلیدی را وارد کرده و ببیند که چه چیزی به شما نمایش خواهد داد . من با شما شرط می بندم که حتما متعجب شده اید؟ سپس کلید واژه های دیگری را امتحان کنید مانند Visa ، Mastercard ، Balance و Account . همچنین نام ها و ماه ها و مخفف های ماه مانند Sept ، Sep یا September را امتحان کنید. شما هم مثل من ، به احتمال زیاد توازن های حساب و بعضی از جزئیات تراکنش ها را دیده اید ، اما اگر شما بیشتر با کلید واژه ها ور بروید می توانید اطلاعات بیشتری را ببینید.در آغاز ما این مشکل را با مروری بر فروم forensicfocus.com کشف کردیم. ما این "مشکل" را درون نقل قول اظهار می کنیم زیرا مطمئن نیستیم این آسیب پذیری درست باشد یا ابزار جستجوی گوگل عمدا این کار را انجام دهد. وقتی در مورد دلایل دادگاهی و قانونی کروم تحقیق می کردیم ، "Jelle" از این فروم گفت که او و شریکش متوجه شده اند که این مرورگر در حال اندیس کردن اطلاعات سایت های HTTPS می باشد. Jelle در پستی می گوید : "یکی از مزیت هایی که ما پیدا کردیم این است که در حالت مرور معمولی ، کروم یک فهرست جستجو از محتویات تمام صفحاتی که شما دیدن کرده اید را ایجاد می کند. این به شما این اجازه را می دهد تا در هیستوری وب خودتان جستجو بر اساس کلید واژه ها را داشته باشید. در آزمایشات ما ، فهمیدیم که محتویات صفحات HTTPS هم به خوبی اندیس گذاری می شوند و این باعث می شود تا بتوانیم جزئیات حساب بانکیمان را با استفاده از جستجوی کلید واژه ها بدست آوریم. " آیا هیچ راهی برای محافظت از اندیس گذاری شدن اطلاعات مالی هست؟ کروم دارای یک حالت ناشناس (incognito) می باشد که به شما این نوید را می هد تا هیچ چیزی کش نشود از کوکی ها گرفته تا هیستوری و.... این قابلیت از منوی فایل در گوشه بالا سمت راست پنجره یا بوسیله کلید میانبر Ctrl + Shift + N قابل دست یابی است (New incognito window). همچنین می توانید بعد از گردش در سایت های مالی بوسیله منوی ابزارات در همان قسمت مرورگتان را پاک نمایید (Clear browsing data...) . با وجود این در سطح برنامه نویسی من دقیقا نمی توانم توسعه گران گوگل را مقصر بدانم زیرا HTTPS هرگز قصد نداشته تا محافظتی را در خود سیستم های رومیزی ایجاد نمایید. محافظت طوری توسعه داده شده تا از ترافیک ایجاد شده در سطح اینترنت محافظت به عمل آورد. اما در حالیکه این تشخیص برای همه خوانندگان ما واضح است - افراد عادی احتمالا معتقدن که ترافیک HTTPS/SSL باید روی سیستم های رومیزی محافظت شود ! بنابراین این چندان مساله بزرگی هم نیست. عاقلانه و منطقی است که هر کسی که بخواهد اطلاعات مالی شما را جستجو نماید باید دسترسی محلی به سیستم شما داشته باشد و اگر کسی بتواند پشت سیستم شما بنشیند قاعتدا شما اطلاعات بیشتری برای دیدن دارید تا اینکه آن شخص بخواهد به جستجوی هیستوری شما بپردازد. احتمالا یک هکر می تواند یک برنامه بنوسید تا کش و فایل های اندیس سیستم شما را بگیرد و بعدا آنها را روی سیستم دیگری تست نماید. این فایل های در مسیر " C:/Documents and Settings/USERNAME/Local Settings/Application Data/Google/Chrome/User Data/Default " قرار دارند. اما در یه سطح ساده تر ، اگر تمام سایت هایی که دیدن داشته ام به طور محلی کلید گذاری و اندیس گذاری شود ، بنابراین چه قدر شما مطمئنید تا این اطلاعات به صورت محلی باقی خواهند ماند !! من حدس می زنم که این به اعتماد شما به گوگل بر می گردد.
|
|||||||||||||||||
در حال ارسال رأي ...
