قرار دادن کنترل‌های رمز در مرورگرها برای امنیت برنامه‌های تحت وب

W۳C طرح اولیه ویژگی‎های لازم برای استاندارد سازی احراز هویت را دارد که در تمام سامانه‌عامل‌های مرورگر کار کرده و مانع از فیشینگ (سرقت هویت) می شوند.
کنسرسیوم جهانی وب (W۳C) در حال کار بر روی اولین پیش‎نویس ویژگی‎های استانداردی است که با تجهیز مرورگرها به تله‌هایی باعث حفاطت از اعتبارهای رمزنگاری شده می‌گردد و دسترسی امن به برنامه‌های کاربردی را به کاربر داده و فیشینگ را ریشه کن می‌کند.

«این یک گام مهم در جهت ایجاد احراز هویت امن و خصوصی در وب بوده و باعث کاهش اتکا به رمز عبور می‌شود.» گروه کاری W۳C در زمینه‎ی احراز هویت (Web Authen) این مطلب را در صفحه اصلی خود بیان کرده است.
W۳C یک سازمان استاندارد بین المللی برای شبکه جهانی وب است و کار آن معمولاً با تمام مرورگرهای اصلی وب سازگار است. هدف Web Authen استقرار یک استاندارد احراز هویت قوی در تمام سامانه‌عامل‎های مرورگر است.
زمان‎بندی W۳C ممکن است تنها هنگام سرقت رمز عبور و تخلیه اطلاعاتی باشد که اخبار امنیتی را پوشش می دهند. تغییرات در روشهای احراز هویت و عادات کاربر نهایی هسته سختی شده است که در صنعت شکافته نمی‌شود و W۳C تنها آخرین ترفند ارائه‌شده برای این مدل با محوریت مرورگر است.

اواخر ماه گذشته، W۳C اولین پیش‌نویس کاری خود در مورد خصوصیات احراز هویت وب را منتشر کرد (Web Authn) و امید است که در سپتامبر طرح دیگری منتشر شود که اهداف خصوصی‌سازی را در بر دارد و آماده ارسال برای مقالات برجسته است.
اهداف این گروه شامل از بین بردن نیاز به رمز عبور، تسهیل در حمایت از هویت چندعاملی، ایجاد ذخیره‌سازی کلیدی رمزگذاری مبتنی بر سخت‌افزار و فعال کردن جفت کلیدهای منحصربه‌فردی است که از ردیابی کاربران در طول وبگاه‌ها جلوگیری می‌کند.

مشخصات احراز هویت در وب شامل طرح‌هایی برای یک رابط برنامه‌نویسی (API) همراه با مکانیسم‌هایی برای تعیین صحت وسیله‌ای است که کلیدهای رمزنگاری کاربر را ایجاد می‌کند. تمام عملیات رمزنگاری می‌تواند در پشت‌صحنه اتفاق افتد و توسط یک وسیله تحت عنوان «تأییدکننده » فعال شود. این وسیله می‌تواند یک رمز سخت‌افزاری یا گوشی هوشمند باشد.
API صفحات وب را قادر به دریافت اعتبارهای رمزگذاری شده می‌کند که سازگار با مشخصات WebAuthn هستند. یک تأییدکننده می‌تواند به وسایل کاربران اتصال یافته و یا گوشی‌های هوشمندی که عناصر امنیتی رادارند به‌عنوان یک تأییدکننده عمل کنند. کاربر می‌تواند یک اعتبار رمزگذاری شده منحصربه‌فرد را برای هر وبگاه ثبت کند و پس از آن تأییدکننده را برای جلوگیری از موافقت برای عملیاتی مثل ورود به وبگاه استفاده کند. اعتبارها و کلیدهای کاربر در کنترل است که باعث تسهیل حفاظت از حریم خصوصی می‌شود.

گروه کاری Web Authn در حال کار بر روی ویژگی‌های ارائه‌شده در ماه نوامبر با معاهده FIDO و بر اساس FIDO ۲.۰ است. در حال حاضر گوگل کروم واجد پروتکل‌های احراز هویت معاهده اصلی FIDO است. مرورگرهای کروم و فایرفاکس در حال آزمایش نسخه‌های اولیه ویژگی‌های احراز هویت در وب هستند، درحالی‌که مرورگرهای جدید میکروسافت edge شامل شالوده اولیه مدل احراز هویت وب می‌باشند. گروه WebAuthn در نظر دارد از گواهی سند W۳C برای همه استانداردهای ارائه‌شده استفاده کند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap