به گزارش خبرنگار علمی «خبرگزاری دانشجو»، هفته گذشته، شرکت موزیلا مرورگر فایرفاکس نسخه ۳۷.۰ را معرفی کرد. این نسخه از پروتکل HTTP/2 و استاندارد Internet که باعث میشود ارتباطات وب حتی زمانیکه HTTPS استفاده نمیشود رمزگذاری شوند پشتیبانی میکند.
یکی از ویژگی های آن HTTP Alternative Services است که به عنوان Alt-Svc شناخته میشود و یک رمزگذاری انتها به انتها را بین صفحات الزام میکند.
ارتباطات Alt-Svc با رایانه یا دستگاه تلفن همراه، یک مسیر جایگزین را برای دسترسی به صفحات وب پیشنهاد میدهد. امنیت این روش مانند HTTPS نیست اما بهتر از روش HTTP است.
متاسفانه در حالیکه آخرین به روز رسانیهای فایرفاکس برای ارتقاء امنیت طراحی شده بود، مشکل بحرانی جدیدی نیز شناسایی شد که به محققان اجازه داد تا راهی را بیابند که درصورتیکه یک وب سرور بازدیدکنندگان را از طریق سیستم HTTP/2 هدایت کند بتوانند بررسی صحت گواهینامهها را دور زنند.
در راهنمایی امنیتی اولیه موزیلا این رخنه امنیتی در رده امنیتی بحرانی قرار گرفت.این مشکل باعث میشود تا مهاجمان بتوانند بررسی صحت گواهینامه SSL را دور زنند. در نتیجه هشدارهای مربوط به نامعتبر بودن گواهینامهها نشان داده نمیشود و هکر میتواند به طور بالقوه از یک حمله MitM استفاده کند و دادهها را به سرقت ببرد یا بدافزاری را بر روی سیستم نصب کند.
در گزارش تیم Sophos Naked آمده است که این مشکل پس از شناسایی به سرعت رفع شده است. هم چینن این تیم اشاره کرد که پروتکل HTTPS/2 هنوز به مرحله نهایی نرسیده است و به طور گسترده مورد استفاده قرار نمیگیرد.
شرکت موزیلا هر ۶ هفته مرورگر فایرفاکس را به روز رسانی میکند. فایرفاکس برای رفع این مشکل به طور خودکار به نسخه ۳۷.۰.۱ ارتقاء مییابد یا کاربران میتوانند به صورت دستی مرورگر خود را به آخرین نسخه به روز رسانی کنند.
ارسال نظرات