تبلیغات
مجله خبری تحلیلی پارس - فناوری OpenID طعمه هکرها برای سرقت اطلاعات کاربری

شما عزیزان برای دیدن وبلاگ جدید من می توانید به این آدرس مراجعه نمائید : www.haghighatjoo.ir

هر روز فناوری های زیادی برای راحت تر کردن زندگی آنلاین کاربران ابداع میشود که وقتی یاد بگیریم که چگونه از آنها استفاده کنیم، واقعا پی می بریم که چقدر کار را راحت تر می کنند. البته در هر کدام از این فناوری ها علاوه بر راحتی به بحث امنیت کاربران نیز توجه می شود. اما گاهی اوقات این کاربران هستند که با اشتباهات خود، تمامی روتین های امنیتی را بی اثر می کنند. پس همیشه انسان یکی از عواملی است که می تواند در روند امنیت نقص ایجاد کند.



یکی از این فناوری هایی که برای راحتی کاربران ابداع شده است OpenID می باشد. این فناوری برای احراز هویت کاربران در وب سایت های مختلف استفاده می شود. OpenID در واقع از سرویس های آنلاین، معتبر و مشهور اینترنت برای احزار هویت کاربر استفاده خواهد کرد. این روش در ابتدا توسط فردی به نام ”برد فیتزپاتریک” در وب سایت LiveJournal ابداع شد و بعدها غول های دنیای اینترنت نیز به جمع حامیان آن پیوستند.

اگر می خواهید بیشتر با فناوری OpenID آشنا شوید، پیشنهاد می کنیم در ادامه مطلب با ما همراه باشید ...


فرض کنید که به وب سایتی می روید و قصد استفاده از خدمات آن را دارید. از شما درخواست می شود که برای دسترسی به تمامی امکانات آن وب سایت، ثبت نام کنید. حتما خودتان هم می دانید که روند ثبت نام در یک وب سایت چقدر وقت گیر است. از قسمت پر کردن فرم ثبت نام گرفته تا قسمت تایید ثبت نام که بیشتر به صورت ایمیلی انجام می شود.

اما اگر بشود در عرض یک دقیقه (و شاید کمتر) و بدون نیاز به ثبت نام به تمامی امکانات وب سایت مذکور دسترسی پیدا کرد، چه خواهد شد؟ مسلما بر کسی که چنین امکانی را در اختیار شما قرار بدهد درود خواهید فرستاد. البته این مورد منوط به آن است که وب سایت مورد نظر از فناوری OpenID پشتیبانی کند که این روزها بیشتر وب سایت ها (مخصوصا وبسایت های خارجی) از این فناوری پشتیبانی می کنند.

برای داشتن درک بهتر از این موضوع به سراغ یکی از این وب سایت ها می رویم. وب سایت مشهور StackOverFlow.com که یک وب سایت پرسش و پاسخ است و در زمینه برنامه نویسی فعالیت می کند. کافیست ابتدا به این وب سایت مراجعه کرده و در قسمت بالا روی لینک login کلیک کنید. در صفحه جدید چند گزینه به منظور وارد کردن اطلاعات کاربری وجود خواهد داشت. در اولین قسمت به لوگوی وب سایت های معروفی مانند گوگل، فیسبوک و یاهو برخورد خواهید کرد. این روزها همه کاربران حداقل در یکی از این سه وبسایت معروف اکانت دارند. اگر اکانت گوگل دارید کافیست روی لوگوی گوگل کلیک کنید (یا مثلا یاهو و فیسبوک).



بلافاصله به قسمت وارد کردن اطلاعات کاربری گوگل خواهید رفت. به نوار آدرس مرورگر خود توجه کنید.



در تصویر بالا مشاهده می کنید که آدرس accounts.google.com تایپ شده است و این بدان معناست که شما در حال وارد کردن اطلاعات خود در سایت اصلی گوگل هستید و هیچ حمله فیشینگی در کار نیست. همچنین به نماد قفل و عبارت https که نشان دهنده امن بودن ارتباط بین شما و سرورهای گوگل نیز می باشد، توجه کنید.

پس از وارد کردن اطلاعات کاربری خود در گوگل و کلیک بروی دکمه Sign in کار تمام است و به تمامی امکانات وب سایت مورد نظر دسترسی خواهید داشت. گویی که کاربر ثبت نام شده ی سایت باشید.

در سناریوی بالا ملاحظه کردید که استفاده از فناوری OpenID چقدر کار شما را راحت تر خواهد کرد. همچنین دیگر نیازی به ثبت نام در وب سایت ها و به خاطر سپاری نام کاربری و کلمه عبور هر سایت نخواهید داشت.

اما هکرها از OpenID هم برای رسیدن به خواسته های خود استفاده می کنند. البته نه اینکه فکر کنید که حفره ای در OpenID یافت شده است که باعث بروز این مشکل می شود. نه، این مشکل را کاربران حواس پرت برای خود به وجود خواهند آورد. در واقع این هم یکی نمونه از حملات فیشینگ است.

طی چند روز گذشته ایمیل هایی برای کاربران ارسال شده است که در آنها به کاربران پیشنهاد داده میشود تا اجناس زیبا و ارزان قیمتی را خریداری کنند. پس از آن یک لینک به وب سایت مخرب داده شده است. پس از ورود به وبسایت مذکور، هیچ گزینه ای برای وارد کردن اطلاعات وجود ندارد و به کاربر پیشنهاد داده خواهد شد که از OpenID برای احراز هویت خود استفاده کند. در همین حال لوگوی وب سایت های مشهوری مثل گوگل، AOL، یاهو، ویندوز لایو و … به چشم می خورد. پس از کلیک بر روی هر کدام از این لوگوها یک پنجره Pop-up ظاهر خواهد شد و از شما درخواست می کند تا اطلاعات کاربری مربوط به آن سرویس (مثلا گوگل) را وارد کنید. اگر این کار را انجام دهید، دو دستی اطلاعات خود را تقدیم هکرها کرده اید! همانطور که قبلا توضیح دادیم، برای استفاده از OpenID حتما باید اطلاعات خود را در وبسایت اصلی وارد کنید.



مراقب اینگونه حملات باشید. ممکن است برای شما نیز چنین مشکلاتی پیش بیاید.





  • انعکاس آخرین اخبار و ارائه جدیدترین مقالات با محوریت ارتباطات و فناوری اطلاعات.