RT Myriad - шаблон joomla Joomla

drownattacks

Drown Attacks


بر اساس گزارش The Next Web و سایت DROWN به آدرس https://drownattack.com،  یک آسیب‌پذیری جدید می‌تواند به بیش از 33% از سایت‌های HTTPS حمله کند، انها را نقض نماید و داده‌های حساس شامل اسم کاربر، اسم رمز، و شماره‌های کارت‌های اعتباری آنان را سرقت کند. این مسئله شامل 25% از یک‌میلیون دومین‌های برتر دنیا مانند yahoo، Buzzfeed، Flickr و Samsung می‌باشد. این آسیب‌پذیری DROWN نام دارد که یعنی (Decrypting RSA with Obsolete and Weakened eNcryption) یا به‌عبارتی‌دیگر رمزگشایی RSA با رمزنگاری منسوخ‌شده یا ضعیف. این آسیب‌پذیری بر روی سرورهایی که از SSLv2 certificate استفاده می‌کنند اثر دارد.
SSLv2 از سال‌های 1990 وجود داشته است و آسیب‌پذیری آن سال‌ها است که شناخته‌شده می‌باشد و به همین دلیل بسیاری از سرورها امروزه از پروتکل دیگری استفاده می‌کنند. اما به‌تازگی مشخص‌شده است که SSLv2 برای سرورها و کلاینت‌های مدرن نیز خطر محسوب می‌شود. شواهد نشان می‌دهد که سیاست تضعیف رمزنگاری دولت امریکا در سال‌های اخیر باعث ضعیف شدن یک‌سوم امنیت در اینترنت و به وجود آمدن آسیب‌پذیری‌ها شده است.
برای اینکه ببینید که آیا سایت شما درخطر است به سایت Drown مراجعه کنید. اگر این خطر شمارا تهدید می‌کند پیشنهاد می‌شود که برای جلوگیری از حملات اقدامات فوری بر روی سرور خود داشته باشید. FAQ سایت Drown می‌گوید که برای مقابله با Drown بهتر است که کلیدهای خصوصی در هیچ جا با نرم‌افزارهای سرور که اجازه ارتباطات SSLv2 را می‌دهد استفاده نشود. این مسئله شامل سرورهای وب، SMTP، IMAP، POP و هر نوع نرم‌افزار که از SSL/TSL پشتیبانی می‌کند را می‌شود.

 بااینکه احتمال سوءاستفاده مجرمین سایبری از این آسیب‌پذیری قبل از انتشار این مورد، بهتر است که هرگونه اقدامات پیش‌گیری اجرا شود.