آیا چین وب‌گاه GitHub ‌را دست‌کاری می‌کند؟

یک توسعه‌دهنده‌ی امنیتی نوعی ابزار برنامه‌نویسی را منتشر کرده است که با استفاده از آن وب‌گاه‌‌ها می‌توانند دفاع خود را در برابر حملات GitHub به سبک چینی آزمایش کنند.
چین سامانه‌ی مسدودسازی وب‌گاه‌ بدنام خود را به نام «دیوار آتش بزرگ» سال گذشته ارتقاء داده است، به شکلی که قادر است شرکت‌های خارجی و سازمان‌ها را در اینترنت مسدود سازد.
بر اساس گزارش‌ها این ابزار سانسور به ویژه در برابر وب‌گاه‌هایی نظیر GitHub.com مستقر در آمریکا مسلح شده است، که دو پروژه را برای مقابله با سانسورهای اعمال شده علیه این دیوار آتش چینی میزبانی می‌کند و همین‌طور وب‌گاه‌ GreatFire.org که یک وب‌گاه‌ آزادی بیان است که برای مبارزه با سانسور صفحات در چنین در ماه مارس گذشته راه‌اندازی شده است.
دیوار آتش بزرگ چین برای تغییر پرونده‌های جاوااسکریپتی که درخواست‌های بایدو را برمی‌گردانند استفاده شده تا یک سیل ترافیک عظیمی را برای فشار علیه GitHub راه‌اندازی کند.
GitHub حملات خود را کاهش داده است اما نگرانی‌ها همچنان باقی است و گفته شده است که شاید حتی حملات قدرتمند DDoS بر پایه‌ی جاوااسکریپت نیز شروع به کار کنند.
در پاسخ به این حملات مهندسان اینترنت یک فن‌آوری را توسعه داده‌اند که به نام یکپارچه‌سازی منابع زیرین SRI نامگذاری شده‌اند، و همچنان‌که قبلاً گزارش داده شده است، در آن راه‌کارهایی را برای مقابله با این نوع حملات قرار داده‌اند. این فن‌آوری که بر پایه‌ی حمایت کنسرسیوم W۳C قرار داد، یک هش رمزنگاری شده را در محتوای جاوااسکریپت در شبکه‌ی میزبان و صفحات CSS قرار می‌دهد، تا آن‌ها را در برابر دستکاری احتمالی مصون نگاه دارد.
به منظور افزایش حفاظت این فن‌آوری امنیتی، Gabor Szathmari یک سرویس جدید را برای بررسی و ارزیابی وب‌گاه‌‌ها برای قرار دادن هش‌های SRI انتشار داده است. سرویس sritest.io وب‌گاه‌‌ها را بررسی کرده و بر اساس معیارهای خود به آن‌ها نمره می‌دهد.
جزییات بیشتر در مورد SRI و خدمات بررسی و پویشی که ارائه می‌کند را می‌توان در اعلامیه‌ی منتشرشده در وبلاگ Szathmari پیدا کنید.
Szathmari به El Reg می‌گوید که مخاطبان اصلی که در سرویس این وب‌گاه‌ در نظر گرفته شده‌اند، توسعه‌دهندگان هستند. او توضیح می‌دهد: «این توسعه‌دهندگان می‌توانند به هر کدام از نشانی‌های وب‌گاه‌ی که در حال توسعه‌ی آن هستند مراجعه کرده و به سرعت بررسی و تأیید کنند که آیا SRI در آن‌ها تعبیه شده است.»
Szathmari اضافه می‌کند صاحبان وب‌گاه‌ و مشاوران امنیتی آزمون نفوذ نیز ممکن است این خدمات را برای خود مفید بدانند.

معضل پویا
با وجود شور و هیجان Szathmari و تشویق دیگران، و همچنین حمایت W۳C، دست کم برخی از کارشناسان مستقل در مورد مزایای فن‌آوری SRI قانع نشده‌اند. برای مثال Rob Graham از مؤسسه‌ی امنیتی Errata به El Reg گفته است که SRI در وضعیت‌های خاص مفید است، اما این فن‌آوری در محیط‌ وب‌گاه‌‌های پویا با مشکل مواجه خواهد شد.
بر طبق اظهارات گراهام «البته که این فن‌آوری در برخی از شرایط خاص مفید است، اما این مطلب اشتباهات زیادی را هم دارد. این مشکل چیزی نیست که شبکه (مانند مشکل دیوار آتش بزرگ) را با آن تغییر دهند، این پرونده‌‌ها توسط ارائه‌دهندگان ثالث تغییر خواهند یافت. ما در حال حاضر این مشکل را با SSL/TLS متوقف کرده‌ایم.»
او اضافه می‌کند: «هر چه این مشکل به شکلی خصمانه‌تر ظهور یابد، این پرونده‌‌ها به طور پیوسته در حال تغییر بیشتری خواهند بود. شما مسلماً یک کتابخانه‌ی جاوااسکریپتی که قابل تغییر نباشد را نمی‌خواهید،‌ اما باید آخرین نسخه‌ها را با اصلاح حفره‌ها و حمایت از مرورگرهای جدید مهیا کنید.»

مسدودکننده‌ی توپخانه‌ی بزرگ
Szathmari برای پاسخ به انتقادهای گراهام در مورد ابزارهای SRI در دسترس نبود. اگر چه توضیحات قبلی او در مورد فواید SRI به نوعی دلایل او را به نفع این فن‌آوری ارائه می‌کند.
«SRI می‌تواند تا حدودی به کاهش نوع خاصی از حملات دیوار آتش کمک کند. آنچه که آن‌ها انجام داده‌اند، استفاده از اسکریپت تبلیغات از CSN بایدو است. مثلاً اگر کسی هر وب‌گاه‌ چینی را فرضاً از تایوان بازدید کند، دیوار آتش، اسکریپت بایدو را با یک محموله‌ی آلوده جایگزین می‌کند.»
بر طبق اظهارات Szathmari، SRI دست کم یک تسکین موقت را در برابر این نوع حملات DDoS بر پایه جاوااسکریپت ایجاد می‌کند.
Szathmari اظهار می‌کند: «SRI می‌تواند تا حدودی مانع از این کار شود، زیرا چین ترافیک cleartext را روی http دست‌کاری می‌کند، و از دیوار آتش بزرگ چین رد می‌کند.»
«آن‌ها نمی‌توانند ترافیک را از طریق https جابه‌جا کنند. با این حال چین نشان داده است که مایل به تغییر ترافیک شبکه برای خنثی کردن آن است، و هیچ چیز مانع دستکاری آن‌ها در اسکریپت مراکز داده بایدو در دفعات آینده نخواهد بود.»
بر اساس گفته‌های Szathmari، برنامه‌های کاربردی با استفاده از این فن‌آوری می‌توانند فراتر از تخلفات دولت چین خود را گسترش دهند.
در سال ۲۰۱۳ کسی وارد MaxCDN شد و اسکریپت‌های متدوال آن را که از سوی پروژه‌ی BootstrapCDN حمایت می‌شدند، دست‌کاری کرد.
Szathmari می‌گوید که SRI می‌تواند بازدیدکنندگان وب‌گاه‌ را در این مورد حفاظت کند، و می‌افزاید که BootstrapCDN اکنون شامل هش‌های SRI است که صاحبان وب‌گاه‌‌ها می‌توانند آن‌ها را در صفحات وب‌گاه‌ خود رونوشت-الصاق کنند.

قطار کند SRI
بر اساس نظر متخصصان فن‌آوری امنیتی El REg به نظر می‌رسد که SRI شبیه DNSSEC است که در آن بحث‌های شدید درباره‌ی چگونگی مفید بودن فن‌آوری و عواملی که در آن موجب می‌شوند به کندی کار کند، راه‌اندازی شده است.
Szathmari برداشت خود را در اتخاذ روی‌کرد SRI دارد. او به El Reg می‌گوید: «این فن‌آوری نسبتاً جدید است و نرخ رشد آن کند است، زیرا توسعه‌دهندگان نیاز دارند تا کدهای منبع HTML خود را اصلاح کنند تا شامل هش‌های SRI در اسکریپت‌ها و تگ‌های آن‌ها شوند.»
صاحبان وب‌گاه‌‌ها که در زمره‌ی توسعه‌دهندگان نیستند، نیز می‌توانند بدون داشتن هیچ مهارت برنامه‌نویسی این SRIها را در صفحات خود بگنجانند. برای مثال وردپرس اکنون یک افزونه ارائه کرده است که به وسیله‌ی آن هش SRI را اضافه می‌کند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.