پروتکل امنیتی ssl در مرورگر وب شما از تمام این تکنیک ها برای دستیابی به ارتباطات امن و قابل اطمینان استفاده می کند. مریم عمادی- اینترنت، یک شبکه عمومی و باز است که هویت کاربران آن به آسانی قابل شناسایی نیست. مسیرهای ارتباطی اینترنت فیزیکی نیستند، بنابراین می توانند مورد حملات و مزاحمت های بیشماری قرار گیرند. به طور کلی می توان سه مشکل اصلی را از نقطه نظر امنیتی برای کاربران فضای مجازی معرفی کرد: spoofing: چگونه می توانیم به مشتری اطمینان بدهیم که با ورود به سایت و انجام معامله در آن، شماره رمز کارت اعتباری وی مورد سرقت و جعل قرار نخواهد گرفت؟ :eavesdropping چگونه می توانیم مطمئن شویم که اطلاعات شماره حساب مشتری ما هنگامی که برای یک معامله امن در وب اقدام می کند، قابل دستیابی برای متخلفان نیست؟ data alteration: چگونه می توانیم یقین حاصل کنیم که اطلاعات شخصی ما توسط متخلفان قابل تغییر نیست؟ بنابراین ما با موضوعات گوناگونی مواجه هستیم: گواهی یا تایید برای ممانعت از فریبکاری، محرمانگی برای جلوگیری از جعل، پیوستگی و صحت داده ها برای ممانعت از تغییر آن ها و عدم رد و انکار برای ممانعت از تکذیب موارد پیشین. راه حل جلوگیری از این مشکلات استفاده از گواهی ها و امضای دیجیتالی برای وب سرور هاست که امکان تشخیص صحت و پیوستگی داده ها را فراهم و از الگوریتم های رمزنگاری برای تامین محرمانگی داده ها استفاده می کند. پروتکل امنیتی ssl در مرورگر وب شما از تمام این تکنیک ها برای دستیابی به ارتباطات امن و قابل اطمینان استفاده می کند. مشاهده نشانی وب یک سایت با http به علاوه یک s یعنی https نشان دهنده امنیت سایت و به این مفهوم است که در کدنویسی سایت مسائل رمزنگاری لحاظ شده است. این ویژگی به وسیله یک قفل یا کلید کوچک در پایین صفحه بیشتر مرورگر ها نمایش داده می شود. در اینجا به چند نمونه از هشدارهای امنیتی که هر کسی می تواند آن ها را مورد توجه قرار دهد اشاره می کنیم. پیش از انجام هرگونه تراکنش آنلاین یا ارسال اطلاعات شخصی، مطمئن شوید که نقل و انتقال وجوه به طور رمزنگاری شده انجام می شود. به طور معمول ایمیل ها امن نیستند. ارسال اطلاعات شخصی مانند شماره تامین اجتماعی، شماره شناسایی شخصی یا شماره حساب به وسیله ایمیل کار عاقلانه ای نیست مگر اینکه رمزنگاری شده باشد. از سوی دیگر شما باید هر گذرواژه و شماره شناسایی شخصی را که از ایمیل های رمزنگاری نشده دریافت می کنید تغییر دهید. مطمئن شوید که شما در وب سایت معتبری حضور دارید. جاعلان الکترونیکی، وب سایت هایی با نام های مشابه و ظاهر گول زننده برای دریافت اطلاعات شخصی افراد راه اندازی می کنند. در صورت امکان از گذرواژه های هوشمند که ترکیبی از حروف، اعداد و نشان ها هستند برای بالا بردن امنیت خود استفاده و در بازه های زمانی مشخصی نسبت به تغییر این گذرواژه ها اقدام کنید. گذرواژه یا شماره شناسایی خود را در اختیار هیچ کس قرار ندهید و از انتخاب گذرواژه هایی همچون شماره شناسنامه، اسم خود یا نزدیکانتان و... که با سادگی قابل حدس زدن هستند خودداری کنید. 5- اعلامیه ها و هشدارهای مربوط به کارت های اعتباری و بدهی بانک خود را مرتب بررسی و اطلاعات مربوط به تراکنش های بانکی خود را کنترل کنید. بر این اساس می توانید صورتحساب های مالی خود را با اطلاعات ارایه شده از سوی بانک مقایسه و تفاوت های احتمالی را مشخص کنید. 6- خطاها و مشکلات احتمالی را گزارش دهید و از نرم افزارهای ضدویروس به روز شده استفاده کنید. از فایل های اصلی اطلاعات رایانه خود نسخه های پشتیبان تهیه کنید. 7- پس از اتمام کار بانکی خود در اینترنت رایانه را به حال خود رها یا به بستن صفحه مرورگر خود اکتفا نکنید. با استفاده از دکمه "خروج از سیستم" از سایت خارج شوید. 8- هیچ گاه اطلاعات شخصی مانند کارت اعتباری یا شماره تامین اجتماعی خود را بدون آگاهی از اینکه چه کسی آن ها را دریافت می کند، چرا آن ها به این اطلاعات نیاز دارند و چه برنامه ای برای استفاده از این اطلاعات دارند فاش نکنید. 9- فایل هایی که توسط افراد یا سایت ها ناشناس ارسال می شوند را روی رایانه خود بارگذاری و روی لینک های ارسالی آن ها کلیک نکنید. گاهی وقت ها این کار باعث ورود ویروس ها یا ویروس های شبه نرم افزاری و همچنین باعث حذف یا تغییر اطلاعات رایانه شما می شود. خوشبختانه قوانینی وجود دارند که از مشتریان در مقابل تراکنش های غیرمجاز حمایت می کند مانند تراکنش هایی که در بانک های اینترنتی یا دستگاه های خودپرداز صورت می گیرد. با رعایت نکته های ذکر شده در بالا می توانید از خود در برابر دام های بالقوه ای که بر سر راهتان وجود خواهد داشت حفاظت کنید و مطمئن شوید که تجربه ای امن و لذت بخش را از کار با یک سرویس بانکداری اینترنتی به دست خواهید آورد.
دعوت کسپرسکی برای ایجاد اینترنت امن تر
... » بنا بر اعلام این شرکت امنیتی بانک ها و مراکز دولتی در محافظت از امنیت اطلاعات کاربران خود ناموفق عمل نموده اند ... » costin raiu متخصص ارشد امنیتی در کسپرسکی با تایید این اظهارات می افزاید که بانک ها توجه کافی به حملات صورت گرفته برعلیه مشتریانشان ندارند ... » شرکت مشاور deloitte می گوید یک سوم از کاربران بدلیل هراس از مسائل امنیتی هیچکدام از خریدهایشان را بصورت آنلاین انجام نمی دهند ... این شرکت به دو سوم باقیمانده نیز توصیه می کند که خریدهای خود را از طریق کافی نت ها انجام نداده، در داخل شبکه های وای-فای از پروتکل امنیتی wpa استفاده نموده و نرم افزارهای ضدویروس خود را با دریافت مرتب وصله ها و بروزرسانی ها، همواره آماده نگهدارند ...
انقضای گواهینامه های امنیتی برخی وب سایتها
... مزیت استفاده از این پروتکل بهره گیری از موارد امنیتی تعبیه شده آن برای امن کردن پروتکلهای غیرامن نظیر http، ldap، imap و ... از این رو استفاده از پروتکل ssl می تواند به عنوان مهمترین و اصولی ترین روش امن کردن این بستر مورد استفاده قرار گیرد و این امکان را برای به سرویس دهندگان و کاربران بدهد که در محیط امن و به دور از مداخله دیگران به صورت رمز گذاری شده به تبادل اطلاعات اقدام کنند ... وی با بیان اینکه این سرویس می تواند در وب سایتها و email امنیت لازم را برقرار کند، افزود: بدون وجود این پروتکل، تمامی اطلاعات به سادگی توسط افراد در نودهای (node) بین راه قابل رویت و بازبینی و حتی تغییر و سو استفاده است ... انقضای گواهینامه های امنیتی وب سایتها آذر نوش در گفتگو با مهر با تاکید بر اینکه تحریم های سالهای اخیر موجب ابطال برخی از گواهینامه های صادر شده از سوی ca شده است، خاطرنشان کرد: گواهینامه های ssl برای دوره های یکساله و یا بیشتر صادر می شود که با به پایان رسیدن تاریخ انقضا، باطل شده و کارکرد خود را به عنوان تایید کننده هویت وب سایت از دست خواهد داد ... استفاده از فناوری های نوین برای ارتقای کیفیت عملکرد بهتر آذرنوش به کیفیت زیرساختهای مخابراتی کشور اشاره کرد و تاکید کرد: هر چند سرعت اینترنت و زیرساختهای مخابراتی تاثیری بر عملکرد این پروتکل ندارد ولی استفاده از این پروتکل برای رمزگذاری داده به طور نامحسوسی سبب افزایش حجم آنها می شود و در نتیجه سرعت بالاتر و کیفیت بستر مخابراتی به بهتر شدن کیفیت و سرعت ارتباط اینترنتی می انجامد ...
ipsec چیست؟
... ip security یا ipsec رشته ای از پروتکل هاست که برای ایجاد vpn مورد استفاده قرارمی گیرند ... مطابق با تعریف ietf (internet engineering task force)وتکل ipsec به این شکل تعریف می شود: یک پروتکل امنیتی در لایه شبکه تا خدمات امنیتی رمزنگاری را تامین کند ... اما ipsec تنها به ترافیک مبتنی بر ip اجازه بسته بندی و رمزنگاری می دهد و درصورتی که ترافیک غیر ip نیز در شبکه وجود داشته باشد، باید از پروتکل دیگری مانند gre در کنار ipsec استفاده کرد ... ساختار ipsec ipsec برای ایجاد یک بستر امن یکپارچه، سه پروتکل را با هم ترکیب می کند: 1- پروتکل مبادله کلید اینترنتی (internet key exchange یا ike) این پروتکل مسئول طی کردن مشخصه های تونل ipsec بین دو طرف است ... وظایف این پروتکل عبارتند از: - طی کردن پارامترهای پروتکل - مبادله کلیدهای عمومی - تایید هویت هر دو طرف - مدیریت کلیدها پس از مبادله ike مشکل پیاده سازی های دستی و غیر قابل تغییر ipsec را با خودکار کردن کل پردازه مبادله کلید حل می کند ... ike خود از سه پروتکل تشکیل می شود: skeme - مکانیزمی را برای استفاده از رمزنگاری کلید عمومی در جهت تأیید هویت تامین می کند ... 2- پروتکل encapsulating security payload یا :esp این پروتکل امکان رمزنگاری، تأیید هویت و تامین امنیت داده را فراهم می کند ... 3- پروتکل سرآیند تأیید هویت (authentication header یا ah): این پروتکل برای تأیید هویت و تامین امنیت داده به کار می رود ...
نقص امنیتی در سایت های بزرگ دنیا
... یک کارشناس برجسته امنیتی موفق به شناسایی یک نقص جدی امنیتی در پروتکل امنیتی https شده که توسط بسیاری از سایت های بزرگ جهان برای تبادل ایمن اطلاعات مورد استفاده قرار می گیرد ... مایک پری یک هفته قبل اطلاعاتی را در مورد این حفره خطرناک اعلام کرد و هشدار داد تبادل اطلاعات از طریق سایت هایی که از پروتکل https برای رمزگذاری دیتا استفاده می کنند چندان ایمن نیست ... پروتکلhttps از سوی بسیاری از بانک های مهم نیز به جای پروتکل عادیhttp برای تبادل اطلاعات مربوط به نقل و انتقالات مالی در حساب های بانکی آنلاین مورد استفاده قرار می گیرد ...
افشای نقص بزرگ امنیتی در سایت های آمازون، موزیلا و سرویس ایمیل گوگل
... یک کارشناس برجسته امنیتی موفق به شناسایی یک نقص جدی امنیتی در پروتکل امنیتی https شده که توسط بسیاری از سایت های بزرگ جهان برای تبادل ایمن اطلاعات مورد استفاده قرار می گیرد ... به گزارش بخش خبر شبکه فن آوری اطلاعات ایران از خبرگزاری فارس، " مایک پری " یک هفته قبل اطلاعاتی را در مورد این حفره خطرناک اعلام کرد و هشدار داد تبادل اطلاعات از طریق سایت هایی که از پروتکل https برای رمزگذاری دیتا استفاده می کنند چندان ایمن نیست ... پروتکل https از سوی بسیاری از بانک های مهم نیز به جای پروتکل عادی http برای تبادل اطلاعات مربوط به نقل و انتقالات مالی در حساب های بانکی آنلاین مورد استفاده قرار می گیرد ...
مقدمه ای بر ip sec
... این پروتکل برای این منظور طراحی شده که بتواند بسته(packet) های اطلاعاتی tcp/ip را توسط کلید عمومی رمز کند تا در طول مسیر، امکان استفاده غیر مجاز از آنها وجود نداشته باشدip security ... مطابق با تعریف ietf (internet engineering task force) پروتکل ipsec به این شکل تعریف می شود:یک پروتکل امنیتی در لایه شبکه تولید خواهد شد تا خدمات امنیتی رمزنگاری را تامین کند ... اما ipsec تنها به ترافیک مبتنی بر ip اجازه بسته بندی و رمزنگاری می دهد و درصورتی که ترافیک غیر از ip نیز در شبکه وجود داشته باشد، باید از پروتکل دیگری مانندgre در کنار ipsec استفاده کردipsec ... ساختارipsec ipsec برای ایجاد یک بستر امن یکپارچه، سه پروتکل را با هم ترکیب می کند:1- پروتکل مبادله کلید اینترنتی internet key exchange) یا(ike این پروتکل مسوول تبادل مشخصه های تونل ipsec بین دو طرف است ... وظایف این پروتکل عبارتند از:- طی کردن پارامترهای پروتکل - مبادله کلیدهای عمومی - تایید هویت هر دو طرف - مدیریت کلیدها پس از مبادله ike مشکل پیاده سازی های دستی و غیرقابل تغییر ipsec را با خودکار کردن کل پردازه مبادله کلید حل می کند ... خود از سه پروتکل تشکیل می شود: skeme: مکانیزمی را برای استفاده از رمزنگاری کلید عمومی در جهت تایید هویت تامین می کند ... 2-پروتکل encapsulating securitypayload یاesp این پروتکل امکان رمزنگاری، تایید هویت و تامین امنیت داده را فراهم می کند ...
ضعف امنیتی شبکه های بی سیم
... سرویس اخبار خارجی ایتنا - بر اساس بررسی های AirDefense بیست و دو درصد از access pointهای آزمایش شده بدون فعال سازی هیچگونه پروتکل امنیتی بحال خود رها شده اند ... شرکت امنیتی AirDefense در گزارشی که اخیرا منتشر نمود اعلام کرد حتی محتاط ترین سازمان ها نیز در اغلب موارد شبکه بی سیم خود را بدون محافظت رها می نمایند ... در آزمونی که در بین یک هزار شرکت در شهر سانفرانسیسکو بعمل آمد مشخص گردید مشکلات امنیتی وسیعی در شبکه های بی سیم سازمان هایی که خدمات مالی و اقتصادی ارائه می نمایند و مراکز دولتی وجود دارد ... بر اساس بررسی های AirDefense بیست و دو درصد از access pointهای آزمایش شده بدون فعال سازی هیچگونه پروتکل امنیتی بحال خود رها شده اند ... مطالعات انجام شده نشاندهنده این حقیقت هستند که در 72 درصد از access pointهای سازمان های دولتی اطلاعات رمزنگاری نشده و یا از پروتکل WEP استفاده شده است ...
آشنایی با ISA SERVER 2004
... این برنامه با اسنفاده از نظارت دایمی خود بر پروتکل امنیتی SSI و فیلتر کردن درخواست های HTTP که به سرور می رسد وب سرور و ایمیل را از خطر حمله هکر ها دور نگه می دارد ... به هر حال با وجود این که یک ایمیل سرور مثلEXCHANGE راه حل های امنیتی مخصوص به خود را دارد ...
سیسکو پروتکل امنیتی WLAN را می سازد
... شرکت سیسکو سیستمز اعلام کرده است که به زودی پروتکل ساخت این شرکت که برای مبارزه با حملات بسیار قدرتمند به dictionary طراحی شده است را وارد بازار می کند ... به گزارش بخش خبر سایت اخبار فن آوری اطلاعات ایران، از pcworldiran، آقای Joshua Wright مهندس سیستم و معاون مدیر بخش آموزشی موسسه SANS در Bethesda در ایالت مریلند زمانیکه در دانشگاه Johnson & WWE کار میکرد، وسیله ای خودکار برای حمله dictionary ساخت که می توانست با پروتکل LEAP یا Light Weight Extensible Authentication ساخت سیسکو مبارزه کند ... Chris Bolinger مدیر فروش شبکه بیسیم در شرکت سیسکو سیستمز میگوید پروتکل جدید ساخت شرکت ارسال معرفی نامه ها از طریق تونل های رمزدار با این حملات مبارزه می کند ... سیسکو اعلام کرده است این پروتکل را که به عنوان EAP-FAST یا Flexible Authentication و Extensible Authentication-Protocol) معروف است و از طریق تونل سازی ایمن قابل استفاده است در دسترس است و از فوریه آن را در اختیار Internet Engineering Task Force قرار داده است ... Bolinger می گوید که انتظار دارد سایر تولید کنندگان LAN بی سیم هم EAP-FAST را در محصولات امنیتی خود بگنجانند ... او به همه کاربران توصیه می کند که به جای امتحان EAP-FAST از پروتکل Protocol Extensible authentication Protocol استفاده کنند که همین شرکت ساخته است، زیرا PEAP عملکرد ثابت شده تری دارد ... Wright می گوید کد امنیتی و ویندوز قابل استفاده برای اجرای حمله دیکشنری را می توان از طریق سایت http://asleep ...
|
صفحه 1
|
2 |
