فناوری OpenID طعمه هکرها برای سرقت اطلاعات کاربری
هر روز فناوری های زیادی برای راحت تر کردن زندگی آنلاین کاربران ابداع میشود که وقتی یاد بگیریم که چگونه از آنها استفاده کنیم ، واقعا پی میبریم که چقدر کار را راحت تر میکنند . البته در هر کدام از این فناوری ها علاوه بر راحتی به بحث امنیت کاربران نیز توجه میشود . اما گاهی اوقات این کاربران هستند که با اشتباهات خود ، تمامی روتین های امنیتی را بی اثر میکنند . پس همیشه انسان یکی از عواملی است که میتواند در روند امنیت نقص ایجاد کند .
یکی از این فناوری هایی که برای راحتی کاربران ابداع شده است OpenID میباشد . این فناوری برای احراز هویت کاربران در وبسایت های مختلف استفاده میشود . OpenID در واقع از سرویس های آنلاین ، معتبر و مشهور اینترنت برای احزار هویت کاربر استفاده خواهد کرد . این روش در ابتدا توسط فردی به نام ” برد فیتزپاتریک ” در وبسایت LiveJournal ابداع شد و بعدها غول های دنیای اینترنت نیز به جمع حامیان آن پیوستند .
اگر میخواهید بیشتر با فناوری OpenID آشنا شوید ، پیشنهاد میکنیم که این سناریو را بخوانید :
فرض کنید که به وبسایتی میروید و قصد استفاده از خدمات آن را دارید . از شما درخواست میشود که برای دسترسی به تمامی امکانات آن وبسایت ، ثبت نام کنید . حتما خودتان هم میدانید که روند ثبت نام در یک وبسایت چقدر وقت گیر است . از قسمت پر کردن فرم ثبت نام گرفته تا
قسمت تایید ثبت نام که بیشتر به صورت ایمیلی انجام میشود .
اما اگر بشود در عرض یک دقیقه ( و شاید کمتر ) و بدون نیاز به ثبت نام به تمامی امکانات وبسایت مذکور دسترسی پیدا کرد ، چه خواهد شد ؟ مسلما بر کسی که چنین امکانی را در اختیار شما قرار بدهد درود خواهید فرستاد . البته این مورد منوط به آن است که وبسایت مورد نظر از فناوری OpenID پشتیبانی کند که این روزها بیشتر وبسایت ها ( مخصوصا وبسایت های خارجی ) از این فناوری پشتیبانی میکنند .
برای داشتن درک بهتر از این موضوع به سراغ یکی از این وبسایت ها میرویم . وبسایت مشهور StackOverFlow.com که یک وبسایت پرسش و پاسخ است و در زمینه برنامه نویسی فعالیت میکند . کافیست ابتدا به این وبسایت مراجعه کرده و در قسمت بالا روی لینک login کلیک کنید . در صفحه جدید چند گزینه به منظور وارد کردن اطلاعات کاربری وجود خواهد داشت . در اولین قسمت به لوگوی وبسایت های معروفی مانند گوگل ، فیسبوک و یاهو برخورد خواهید کرد . این روزها همه کاربران حداقل در یکی از این سه وبسایت معروف اکانت دارند . اگر اکانت گوگل دارید کافیست روی لوگوی گوگل کلیک کنید ( یا مثلا یاهو و فیسبوک ) .
بلافاصله به قسمت وارد کردن اطلاعات کاربری گوگل خواهید رفت . به نوار آدرس مرورگر خود توجه کنید .
در تصویر بالا مشاهده میکنید که آدرس accounts.google.com تایپ شده است و این بدان معناست که شما در حال وارد کردن اطلاعات خود در سایت اصلی گوگل هستید و هیچ حمله فیشینگی در کار نیست . همچنین به نماد قفل و عبارت https که نشان دهنده امن بودن ارتباط بین شما و سرورهای گوگل نیز میباشد ، توجه کنید .
پس از وارد کردن اطلاعات کاربری خود در گوگل و کلیک بروی دکمه Sign in کار تمام است و به تمامی امکانات وبسایت مورد نظر دسترسی خواهید داشت . گویی که کاربر ثبت نام شده ی سایت باشید .
در سناریوی بالا ملاحظه کردید که استفاده از فناوری OpenID چقدر کار شما را راحت تر خواهد کرد . همچنین دیگر نیازی به ثبت نام در وبسایت ها و به خاطر سپاری نام کاربری و کلمه عبور هر سایت نخواهید داشت .
اما هکرها از OpenID هم برای رسیدن به خواسته های خود استفاده میکنند . البته نه اینکه فکر کنید که حفره ای در OpenID یافت شده است که باعث بروز این مشکل میشود . نه ، این مشکل را کاربران حواس پرت برای خود به وجود خواهند آورد . در واقع این هم یکی نمونه از حملات فیشینگ است .
طی چند روز گذشته ایمیل هایی برای کاربران ارسال شده است که در آنها به کاربران پیشنهاد داده میشود تا اجناس زیبا و ارزان قیمتی را خریداری کنند . پس از آن یک لینک به وبسایت مخرب داده شده است . پس از ورود به وبسایت مذکور ، هیچ گزینه ای برای وارد کردن اطلاعات وجود ندارد و به کاربر پیشنهاد داده خواهد شد که از OpenID برای احراز هویت خود استفاده کند . در همین حال لوگوی وبسایت های مشهوری مثل گوگل ، AOL ، یاهو ، ویندوز لایو و … به چشم میخورد . پس از کلیک بر روی هر کدام از این لوگوها یک پنجره Pop-up ظاهر خواهد شد و از شما درخواست میکند تا اطلاعات کاربری مربوط به آن سرویس ( مثلا گوگل ) را وارد کنید . اگر این کار را انجام دهید ، دو دستی اطلاعات خود را تقدیم هکرها کرده اید . همانطور که قبلا توضیح دادیم ، برای استفاده از OpenID حتما باید اطلاعات خود را در وبسایت اصلی وارد کنید .
مراقب اینگونه حملات باشید . ممکن است برای شما نیز چنین مشکلاتی پیش بیاید .
با الهام از وبسایت Net-Security
من اتفاقاً عاشق ایده openID ام. کارم رو خیلی آسون کرده. تو پروژه هام هم کم پیش میاد عضویت مستقیم بنویسم. ولی خب کاربرا تو هر زمینه کوتاهی کنن قطعاً مشکل براشون پیش میاد. حتی نصب ده ها برنامه روی اندروید هم میتونه از نظر امنیت مشکل ساز بشه. در هر سایت نباید از این ایده استفاده کرد و اصلاً نیازی نیست همینطوری عضو شد که. وبسایت های خارجی که از این ایده استفاده می کنن میذارن شما محتوا رو ببینی و اگر خواستی کار بیشتری انجام بدی که نیاز به اطلاعات ما داشت باید حتماً لوگین کنیم.