گوگل تصمیم دارد هشدار «عدم رمزنگاری» را به جی‌میل بیافزاید

ٰگوگل می‌خواهد زمانی که پیام‌های دریافتی در جی‌میل به‌جای این‌که رمز‌ شده باشند به صورت بدون رمز انتقال یافتند، به کاربران این سرویس هشدار دهد. گوگل اعلام کرده ‌است بدین‌ترتیب به روند تطابق آهسته برخی میزبانان با رمزنگاری سرعت بخشیده و پاسخی به خصومت برخی کشور‌ها با رمزنگاری داده ‌است.
بر اساس تحقیقیات گوگل ۷ کشور، شامل تونس، گینه‌نو، نپال، کنیا، اوگاندا و لسوتو باید به عنوان خطرناک‌ترین ‌کشور‌هایی که قصد ارسال رایانامه به آن‌ها را دارید تلقی شوند.
در تمامی این کشورها، «اسکریپت STARTTLS» ماشین فرستنده رایانامه را مجبور می‌کند از رمزنگاری صرف‌نظر کرده و سطح ارتباط را به حالت متن ساده تنزل دهد. این امر موجب می‌شود ۲۰ درصد پیام‌های دریافتی بدون محافظت باشند.
بیش‌تر این کشورها در بازه ۲۰ درصد قرار دارند مثلاً لسوتو ۲۵/۲۰ و یا عراق ۶۱/۲۵ اما برای تونس قضیه متفاوت است، به طوری‌که در ۱۳/۹۶ درصد موارد ارتباطات به صورت متن ساده منتقل می‌شوند.
براساس تحقیقات چندساله گوگل که توسط انجمن رایانش ماشینی منتشر شده ‌است، در بسیاری از کارگزارها به نیاز رمزنگاری توجهی نشده ‌است. در این مطالعه آمده‌است: «تنها ۳۵ درصد از ۷۰۰ هزار کارگزار SMTP بررسی شده به طور موفقیت‌آمیزی از رمزنگاری استفاده کرده‌اند، و فقط ۱/۱ درصد سیاست تصدیق‌ هویت را به کار بسته‌اند.»
ین کم‌کاری امنیتی کاربران را در معرض نفوذگران قرار می‌دهد که ارتباطات TLS را به متن ساده تنزل داده و رکوردهای MX را برای دوباره مسیریابی دستکاری می‌کنند.»
رکورد MX یک ورودی کارگزار نام دامنه است که مشخص می‌کند پیام‌ها، برای یک دامنه هدف مشخص به کجا ارسال شوند. بدترین تخلف‌های ثبت‌شده در قالب رکوردهای MX جعلی در رومانی، بلغارستان، هند، سوئیس، لهستان و اوکراین رخ‌ داده‌اند.
اسکریپ STARTTLS و دستکاری رکوردهای کارگزار نام دامنه، نقاط ضعف موجود در طبیعت پروتکل STARTTLS را به همراه عدم وجود تصدیق هویت مناسب به شکل بارزی نشان می‌دهد.
در این پژوهش خبرهای خوبی نیز آمده‌است:
– بین دسامبر ۲۰۱۳ و اکتبر ۲۰۱۵ ، نسبت بین رایانامه‌های رمزشده‌ای که جی‌میل از سوی سایر آدرس‌های غیر جی‌میل دریافت کرده‌ا ست تقریباً دوبرابر شده‌اند، از ۳۳ درصد به ۶۱ درصد.
– نسبت رایانامه‌های جی‌میل خروجی که از TLS استفاده کرده‌اند از ۶۰ درصد به ۸۰ درصد ارتقا داشته‌اند.
– در این پژوهش هم‌چنین آمده است که بیش از ۹۴ درصد پیام‌های داخلی در جی‌میل از نوعی تصدیق هویت استفاده کرده‌اند.

منبع: asis

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap