کروم اطلاعات حساس وارد شده در وبسایت HTTPS را به صورت متن خام ذخیره می کند!
Admin13 اکتبر 2013 اخبار گوگل کروم گوگل کرومچند ماه قبل بود که در مورد ذخیره شدن کلمات عبور بدون هیچگونه حفاظتی در مرورگر کروم مطلبی را در پی سی مرورگر منتشر کردیم. در آن قضیه گوگل مدعی شده بود که اگر هکرها بتوانند به حساب کاربری موجود روی یک کامپیوتر نفوذ کنند، کلمات عبور ذخیره شده روی مرورگرها دیگر به هیچ وجه امنیت نخواهند داشت و چیزهایی مثل Master Password تنها یک حس کاذب از امنیت هستند. این دلایل گوگل به تایید بسیاری از متخصصان امنیت رسید.
اما چند روز پیش بود که شرکت امنیتی Identity Finder نتایج تحقیقات خود را منتشر کرد و از وجود یک مشکل امنیتی در مرورگر گوگل کروم خبر داد. با توجه به یافته های این شرکت، مرورگر کروم اطلاعات حساس را که توسط کاربران در وبسایت هایی با پروتکل HTTPS وارد می کنند را به صورت متن خام ( Plaintext ) در حافظه موقت خودش ذخیره می کند.
نکته: در حالی که بسیاری بر این باورند که مرورگرها صفحات و اطلاعات HTTPS را به دلیل ماهیت امن آنها ذخیره نمی کنند، باید بگوییم که گاهی اوقات این صفحات و اطلاعات وارد شده در آنها ممکن است در حافظه موقت مرورگر ذخیره شوند. این مورد بستگی به هدر سرور دارد. اگر Caching Headers با ذخیره سازی صفحات وب HTTPS در حافظه موقت موافقت کند، مرورگر هم این کار را انجام خواهد داد.
کروم و اطلاعات حساس
گزارش Identity Finder نشان می دهد که که مرورگر کروم یک رنج خاص از اطلاعات را در حافظه موقت خود ذخیره می کند. این اطلاعات عبارتند از شماره حساب بانکی، شمارت کارت اعتباری، شماره امنیت اجتماعی، شماره تلفن، آدرس پستی، ایمیل و موارد دیگر.
در ادامه این شرکت تایید می کند که این اطلاعات در وبسایت های امن و با اتصال HTTPS وارد شده بودند و می توان به راحتی و با استفاده از برنامه هایی که همه فایل ها را برای پیدا کردن متن خام جستجو می کنند، اطلاعات مذکور را استخراج کرد.
این اطلاعات در حافظه موقت مرورگر محافظت نشده اند و این بدان معناست که اگر کسی به آنها دسترسی پیدا کند می تواند اطلاعات مورد نظر را استخراج نماید. این الزاما بدان معنا نیست که هکرها باید دسترسی فیزیکی به حافظه موقت و فایل های موجود در آن داشته باشند، بلکه بدافزارها می توانند و یا حتی تکنیک های مهندسی اجتماعی می توانند دسترسی هکرها به این فایل ها را میسر سازند.
حتی ممکن است کامپیوتر خود را به یک تعمیرگاه داده و یا آن را از طریق eBay یا Craiglist به فروش رسانده باشید. در همه این حالت ها این امکان وجود دارد که کسی توانایی دسترسی به حافظه موقت را داشته باشد.
روش هایی برای حل این مشکل
حالا سوال اصلی این است که چگونه می توانیم این مشکل را حل کنیم؟ گوگل به شما پیشنهاد می کند که هارد درایو سیستم خود را به صورت کامل رمزنگاری کنید.
اما اگر بخواهیم به صورت مطلق در مورد کروم صبحت کنیم، تنها گزینه ای که خواهیم داشت پاک کردن حافظه موقت، پر کننده اتوماتیک فرم ها (Form Autofill) و تاریخچه مرورگر است. بهتر است این کار را در همان زمانی که اطلاعات حساس خود را وارد می کنید انجام دهید.
اما مسلما انجام این کار آسان نیست و کروم هم به صورت پیشفرض قابلیت اتوماتیک کردن این کار را در اختیار شما قرار نمی دهد. اما افزونه هایی وجود دارند که در هنگام بسته شدن مرورگر این کارها را برای شما انجام خواهند داد. بهترین افزونه در این زمینه Click & Clean می باشد که لینک نصب آن در پایان مطلب قرار گرفته است.
سایر مرورگرها
تحقیقات شرکت Identity Finder فقط برای مرورگر کروم بوده است. اما ممکن است شما کاربر کروم نباشید ولی نگران ذخیره شده اطلاعات حساس تان توسط مرورگرهای دیگر به صورت متن خام باشید. اکنون راهی دیگری نیز به شما نشان خواهیم داد تا مرورگر فایرفاکس را هم بهتر کنترل کنید.
فایرفاکس در بخش پیشرفته پیکربندی خود گزینه ای را دارد که با استفاده از آن می توان مانع ذخیره شدن صفحات و اطلاعات حساس وبسایت های HTTPS در حافظه موقت شد. برای فعال سازی آن باید مراحل زیر را طی کنید
* در نوار آدرس فایرفاکس عبارت about:config را تایپ کرده و کلید اینتر را بزنید.
* روی دکمه I’ll be careful, I promise کلیک کنید.
* آیتم browser.cache.disk_cache_ssl را در باکس بالای صفحه وارد کنید تا در قسمت پایین ظاهر شود.
* روی آن دو بار کلیک کنید تا مقدار آن برابر با false شود.
* در صورتی که خواستید دوباره این قابلیت را فعال کنید، مراحل بالا را تکرار کرده تا مقدار آیتم مذکور برابر true شود.
اکنون فایرفاکس از حافظه رم برای ذخیره سازی محتوای Cache استفاده خواهد کرد و این بدان معناست که اگر فایرفاکس را ببندید و یا سیستم را ریستارت کنید، صفحات HTTPS و اطلاعات حساسی که روی حافظه رم ذخیره شده بود به صورت اتوماتیک پاکسازی می شوند.
دانلود افزونه Click & Clean در افزونه های گوگل کروم
:: اگر به لینک غیر فعالی برخوردید یک دیدگاه ارسال کنید تا ظرف چند ساعت فایل دوباره آپلود بشود ::
راهنمای دانلود
1– جهت دریافت فایل های سایت حتما از نرم افزار IDM یا نرم افزار های مشابه استفاده نمایید.
2– جهت خارج کردن فایل های از حالت فشرده از نرم افزار WINRAR استفاده نمایید
3– با ثبت نظر خود میزان رضایت خود را از سایت و مطلب اعلام کنید
4– در صورت خرابی لینک دانلود مشکل را در قسمت نظرات همان پست اعلام کنید تا 48 ساعت بعد همکاران ما رسیدگی میکنند
.Copyright © 2012-2024 p30mororgar.ir All rights reserved
دیدگاهتان را بنویسید