WELLCOM TO MY WEBLOG

www.easynet.persianblog.ir

 

 
آیا معاملات اینترنتی امن، واقعاً امن هستند؟

آشنائى با گواهینامه هاى وب سایت

Security/امنیت اطلاعات

 اینترنت فرصت حضور در عرصه هاى جهانى را براى تمامى علاقه مندان فراهم نموده است و به همین دلیل است که امروزه ما شاهد میلیون ها سایت و یا وبلاگ در این عرصه مى باشیم . بدیهى است که از شرایط موجود صرفا" در جهت اهداف مثبت استفاده نگردد و افراد سودجو نیز اینترنت را مکانى براى شکوفائى پتانسیل هاى منفى خود بدانند و به نوعى بر روى آن سرمایه گذارى نمایند .

ایجاد سایت هائى با ظاهرى موجه و ترغیب کاربران براى مشاهده این گونه سایت ها، یکى از متداولترین روش هاى به دام انداختن و در نهایت سرقت اطلاعات شخصى کاربران است . به نظر مى بایست سایت هائى که درخواست اطلاعات شخصى خاصى نظیر شماره کارت اعتبارى و مواردى دیگر از این نوع را از کاربران مى نمایند ، شناسائى و داراى یک شناسنامه معتبر و مورد اعتماد باشند و به قول معروف جواز انجام این نوع فعالیت ها را از یک مرکز مطمئن و مورد اعتماد گرفته باشند .

گواهینامه هاى وب سایت ، تلاش ى است در جهت تائید یک وب سایت و این که سایت مورد نظر داراى هویتى کاملا" شناخته شده و تائید شده است . آشنائى با این نوع گواهینامه ها مى تواند کاربران را در جهت حفاظت از حریم خصوصى یارى نماید
.

گواهینامه هاى وب سایت چیست ؟

در صورتى که یک سازمان تمایل به داشتن یک وب سایت ایمن را داشته باشد که در آن براى دریافت و یا ارسال اطلاعات از رمزنگارى استفاده گردد ، مى بایست اقدام به دریافت یک گواهینامه سایت و یا میزبان نماید . شاید این سوال براى شما مطرح شده باشد که چگونه مى توان تشخیص داد که یک سایت از رمزنگارى استفاده مى نماید ؟ بدین منظور مى توان به Status bar پنجره مرورگر خود توجه نمود ، در صورتى که یک آیکون شبیه یک قفل بسته یا همان padlock نمایش داده شود ، به منزله استفاده از رمزنگارى توسط وب سایت مورد نظر است . یکى دیگر از روش هاى موجود به منظور تشخیص استفاده از رمزنگارى در یک سایت ، مشاهده بخش آدرس برنامه مرورگر است .
در چنین مواردى از پروتکل https در مقابل http استفاده مى گردد . با حصول اطمینان از این موضوع که یک وب سایت اطلاعات شما را رمز و ارسال مى نماید و همچنین داراى یک گواهینامه معتبر است ، یک سطح حفاظتى مناسب در مقابل مهاجمانى که با ایجاد وب سایت هاى مخرب قصد سرقت اطلاعات شخصى شما را دارند ، ایجاد مى گردد.همواره مى بایست قبل از ارسال هرگونه اطلاعات شخصى، نسبت به مقصد ارسال اطلاعات اطمینان ایجاد گردد .

در صورتى که یک وب سایت داراى یک گواهینامه معتبر باشد ، این بدان معنى است که یک مرکز معتبر صدور گواهینامه قبلا" تمامى مراحل لازم به منظور شناسائى و تائید هویت سایت را انجام داده است . زمانى که شما یک url را در بخش آدرس برنامه مرورگر خود تایپ مى نمائید و یا لینکى را دنبال مى نمائید که شما را به یک وب سایت ایمن هدایت مى نماید ، مرورگر ویژگى هاى خاصى را در گواهینامه بررسى مى نماید :

آیا آدرس سایت با آدرس موجود در گواهینامه مطابقت مى نماید؟

آیا گواهینامه توسط یکى از مراکز مجاز که مرورگر قادر به تشخیص آنان به عنوان یک مرکز معتبر و مورد اعتماد مى باشد ، صادر شده است ؟

آیا مى توان به یک گواهینامه اعتماد نمود ؟

محتویات و ماهیت گواهینامه صادر شده براى یک وب سایت ، سطح اعتماد به سازمان و مرکز صدور گواهینامه را مشخص نموده و این که تا چه میزان مى توان به آن اعتماد نمود ؟ مثلا" در صورت مطابقت آدرس وب با آدرس گواهینامه ، صدور گواهینامه توسط یک مرکز معتبر مشخص مى گردد و یا در صورتى که گواهینامه صادر شده داراى تاریخ اعتبار لازم باشد ، نشاندهنده این موضوع است که سایتى را که قصد مشاهده آن را دارید ، همان سایتى است که مى بایست باشد . در صورتى که به گواهینامه صادر شده اعتماد نگردد ، مى بایست از مکانیزم هائى دیگر براى بررسى هویت گواهینامه صادر شده استفاده نمود (مثلا" ارتباط مستقیم با سازمان ) .
با اطمینان به اعتبار یک گواهینامه به نوعى شما مرکز صدور گواهینامه را که این بررسى را براى شما انجام داده است نیز تائید مى نمائید .

برنامه مرورگر شما به صورت پیش فرض داراى لیستى بالغ بر یکصد مرکز صدور گواهینامه معتبر و تائید شده مى باشد . این بدان معنى است که شما صلاحیت یکصد مرکز فوق را به منظور بررسى هویت و اعتبار گواهینامه ها ، پذیرفته اید . قبل از ارسال اطلاعات شخصى مى بایست وضعیت گواهینامه را بررسى نمود .


چگونه مى توان یک گواهینامه را بررسى نمود ؟

به منظور بررسى گواهینامه یک وب سایت در برنامه هاى مرورگر IE و یا Mozila مى توان از دو روش متفاوت استفاده نمود :

کلیک بر روى padlock موجود در status bar پنجره برنامه مرورگر

استفاده از ویژگى certificate در منوى Options

در ادامه ، اطلاعات متنوعى در خصوص گواهینامه نمایش داده مى شود :

چه کسى گواهینامه را صادر نموده است ؟ آیا گواهینامه توسط یک مرکز معتبر و مورد اطمینان صادر شده است ؟ ( در این رابطه ممکن است با اسامى متفاوتى نظیر VerSign,thawte و یا Entrust برخورد نمائید ) . برخى سازمان ها ممکن است داراى مراکز صدور گواهینامه مختص به خود باشند که از آنان به منظور صدور گواهینامه براى سایت هاى داخلى نظیر اینترانت استفاده مى گردد .

گواهنیامه صادر شده متعلق به چه کسى است ؟ گواهینامه مى بایست براى سازمانى که داراى وب سایت مربوطه است ، صادر شده باشد . هرگز گواهینامه هائى را که نام آنان با نام سایت ویا شخص مورد نظر مطابقت نمى نماید ، تائید ننمائید.

مدت زمات اعتبار گواهینامه : اکثر گواهینامه ها براى یک و یا دو سال صادر مى گردند . در این رابطه یک استثناء نیز وجود دارد و به مواردى بر مى گردد که گواهینامه براى خود مرکز صدور گواهینامه صادر شده باشد. این نوع گواهینامه ها معمولا" داراى اعتبارى ده ساله مى باشند . همواره مدت زمان اعتبار یک گواهینامه را بررسى نموده و نسبت به گواهینامه هائى که داراى اعتبارى بیش از دو سال مى باشند و یا تاریخ اعتبار آنان به اتمام رسیده است ، حساسِت داشته باشید .

در صورتى که در خصوص اعتبار یک گواهینامه تردید دارید و یا داراى ابهاماتى در خصوص ایمن بودن یک سایت مى باشید ، هرگز اطلاعات شخصى خود را براى آنان ارسال ننمائید . قبل از ارسال هرگونه اطلاعات شخصى، مى بایست سیاست هاى اعلام شده وب سایت مورد نظر در خصوص رعایت محرمانگى اطلاعات مطالعه گردد تا مشخص گردد که آنان با اطلاعات ارسالى شما چه کار خواهند کرد .آیا معاملات اینترنتی امن، واقعاً امن هستند؟

Security/امنیت اطلاعات 


امروزه مرورگرها از تکنیکی به نام SSL (Secure Socket Layer) استفاده می کنند تا اطلاعاتی را که بین مرورگر شما و وب سرور مبادله می شود، رمزنگاری کنند. هنگامی که علامت «قفل» در گوشه پایین مرورگر نمایش داده می شود، به این معنی است که مرورگر ارتباط رمزشده امن با سرور برقرار کرده است و لذا ارسال دیتای حساس مانند شماره کارت اعتباری امن است. اما آیا واقعا این سیستم امن است و می توان از این طریق با اطمینان تراکنشهای حساس مالی را رد و بدل کرد؟ پاسخ این است که SSL فقط ارتباط بین مرورگر شما و وب سرور را امن می کند و برای محافظت از اطلاعات شما در آن سرور کاری انجام نمی دهد. در شرکت های بزرگ که می توانند سرورها و خطوط ارتباطی با ظرفیت های بالا را اختصاصی و برای ارتباط مستقیم تهیه کنند، تا جایی که شما بتوانید به شرکت اعتماد کنید، مشکلی ایجاد نخواهد شد. اما بسیاری از شرکت های کوچک تر توانایی تهیه سرور اختصاصی را ندارند. آنها از «میزبانی شخص ثالث» استفاده می کنند و این جایی است که عدم امنیت بوجود می آید. شما مجبورید به میزبانی که هیچ شناختی از آن ندارید، اطمینان کنید و به ایمن بودن نحوه دریافت اطلاعاتتان از آن میزبان توسط شرکت مورد نظرتان اعتماد کنید. اما تضمینی برای ایمن بودن این ارتباط نیست!

 

 

 

بیشتر میزبان های وب برای کلاینت های خود یک برنامه  (CGI (Common Gateway Interface ارائه می دهند که FormMail نام دارد. آنچه که این برنامه انجام می دهد این است که محتوای یک فرم اینترنتی را، مانند فرمی که شما اطلاعات کارت اعتباری خود را در آن قرار می دهید، می گیرد و از طریق ایمیل به شرکت ارسال می کند. برای این ایمیل نه محافظتی وجود دارد و نه رمزنگاری صورت می گیرد.

....

آنچه که اتفاق می افتد این است که شرکتی که شما از آن خرید می کنید، ظاهری امن به خود می گیرد تا شما اطلاعات حساس را وارد کنید. سپس همان اطلاعات را از طریق ایمیل معمولی برای شرکت ارسال می کند. در واقع تمای این روال برای دادن یک احساس امنیت کاذب به شماست. بسیار هستند شرکت های کوچکی که سایتشان توسط شرکت های شخص ثالثی میزبانی می شود که ابداً سرویس های امن SSL ارائه نمی کنند.

پرسش هایی که مشتریان در ذهن شان ایجاد می شود، معمولاً در باره نحوه ارسال این اطلاعات و آگاه شدن خودشان از سفارش هایشان است و از طرف دیگر قرار دادن یک فرم امن آنها را قانع می کند که معامله با شرکت مورد نظر از طریق اینترنت امن است و به دانستن نکات دیگر توجهی نشان نمی دهند.

توجه کنید که خود شرکت ها می گویند «هدف یک فرم امن راضی کردن کاربران به وارد کردن جزئیات کارتشان است». با خود فکر کنید که اگر ایمیل کردن اطلاعات کارت اعتباریتان به شرکت بدون استفاده از رمزنگاری، امنیت کافی را دارد، چرا خودتان این کار را نکنید؟ آیا احساس امنیت خواهید کرد اگر بدانید که این شرکت (یا سایر شرکت های مشابه) سهواً شما را فریب می دهند که معاملات به این شکل امن است، در حالیکه نیست؟ هنوز، این شرکت ها مشتریانی دارند که به آنها پول می دهند تا به آنها این حس کاذب را بدهند.

 

 

ایمن کردن معاملات

با وجود تمام این شرکت هایی که به تاجران راه هایی ارائه می کنند تا به مشتریانشان این احساس کاذب امنیت را بدهند، یک شرکت کوچک بمنظور امن کردن واقعی معاملات، چه باید بکند؟ یک روش برای آن شرکت، استفاده از ایمیل های رمزشده مانند PGP است. نسخه هایی از FormMail وجود دارند که از ایمیل رمزشده PGP  استفاده می کنند. در حالیکه بعضی از این روش استفاده می کنند، برای بعضی شرکتهای تجاری کوچک بدلیل نداشتن افراد خبره برای تنظیم و استفاده از PGP، این کار مشکل است. بعضی شرکت های میزبان اینترنت وجود دارند که بخش سرور این ارتباط را تنظیم می کنند، اما در طرف کلاینت که یک شرکت کوچک تجاری است باید بتواند PGP را روی کامپیوتر خود نصب و استفاده کند.

روش امن دیگر، ذخیره اطلاعات در پایگاه داده ای روی وب سرور اما در جایی است که از وب دسترسی مستقیم به آن ممکن نباشد. زمانی که شرکت میزبان اینترنت قابل اعتماد نیست و یا قصد دارید امنیت بیشتری را به وجود آورید، این پایگاه داده می تواند رمزنگاری شود. تاجران بعداً می توانند اطلاعات مربوط به معاملات را با استفاده از ارتباط رمزشده SSL خود بازیابی کنند. اما در این روش فروشنده باید بتواند سیستم امن را برای خود ایجاد کند. این عمل به میزان مشخصی از تواناییهای برنامه سازی احتیاج دارد تا اسکریپت های CGI برای استفاده از این سیستم نوشته شود.

بنابراین روند مورد نظر امن به این شکل خواهد بود؛ فرم سفارش امن است و اطلاعات بین کامپیوتر مشتری و سرور بصورت رمز شده خواهد بود. در سرور، اطلاعات بصورت رمزشده در یک پایگاه داده ذخیره می شود. سپس فروشنده از طریق ایمیل از رسیدن سفارش ها مطلع می شود (هیچ گونه اطلاعات مهم و حساس در ایمیل ها قرار ندارد) و بالاخره، فروشنده اطلاعات را از طریق یک ارتباط امن دیگر بازیابی می کند.

بنابراین، وقتی که را ههایی برای تامین امنیت واقعی برای معاملات وجود دارد، چگونه باید مشتری را مطلع کرد که معامله واقعاً امن است یا خیر؟ در حال حاضر راه ساده ای وجود ندارد. مشخصاً، شما می خواهید مطمئن شوید که فرم امن است، بعلاوه می خواهید مطمئن شوید که شرکت به شما حس کاذب امنیت نمی دهد و این حس واقعی است. یک راه این است که به سیاست های حریم  خصوصی آن شرکت نگاهی بیندازید (البته با این فرض که چنین چیزی وجود دارد) و مطمئن شوید که در آن ذکر شده است که «اطلاعات کارت اعتباری هیچ مشتری هرگز بدون رمزنگاری از طریق اینترنت ارسال نخواهد شد.» 

بهرحال، هنوز روش کاملی برای تضمین امن ماندن اطلاعات وجود ندارد. بنابراین به جمله Caveat Emptor می رسیم که «بگذارید خریدار خود آگاه و مواظب باشد.»

نظر شما


 

منوي وبلاگ

HOME

music



 
لينك وبلاگ  

 




power by irancrack