وفقًا لدراسة أجراها باحثون في مجال أمن الكمبيوتر في مركز CISPA Helmholtz، فإن الآلاف من ملحقات Google Chrome تزيل عن عمد رؤوس أمان HTTP. تم تصميم هذه الرؤوس لمواجهة العديد من الهجمات الإلكترونية.
بينمالقد وصل Google Chrome 91 للتو، قرر باحثو أمن الكمبيوتر من معهد CISPA Helmholtz Center إلقاء نظرة على 186000 ملحقًا في متجر Chrome الإلكتروني. الهدف من المناورة؟تحقق مما إذا كانت هذه الملحقات تعمل على تعطيل رؤوس أمان اتصال HTTP أم لا.
كما ترى، تم تصميم رؤوس HTTP الأمنية خصيصًا لإحباط العديد من الهجمات الإلكترونية، مثل إرسال بيانات تالفة أو استغلال نقاط الضعف المختلفة. على سبيل المثال، يستخدم رأس HSTS (HTTP Strict Transport Security) تشفير البيانات (شهادة SSL) لمنع اعتراض بياناتك من قبل الجهات الضارة أثناء التصفح.
إقرأ أيضاً:يعمل Chrome 91 على تحسين نسخ الملفات ولصقها وتصميم النماذج على نظام التشغيل Windows 10
2485 ملحقًا يزيل رؤوس HTTP الأساسية
مثال آخر، رأس تثبيت المفتاح العام يحميك من الإصدار غير المصرح به للشهادات، وبالتالي يتجنب هجمات Man-in-the-Middle المستخدمة بشكل خاص لسرقة بيانات اعتماد الوصول أو غيرها من البيانات الحساسة. ومع ذلك، ووفقاً للنتائج التي حصل عليها الباحثون في معهد مركز CISPA Helmhotz،تقوم ملحقات 2485 بإزالة واحد على الأقل من رؤوس HTTP الأربعة التالية:
- بروتوكول HSTS
- XFO (خيارات X-Frame) التي تساعد على حماية زوار الموقع من تقنية Clickjacking، والتي تسمى أيضًا Clickjacking (تسمح بإعادة توجيه المستخدم إلى محتوى مختلف عن المحتوى الذي اختاره المستخدم)
- XCTO (X Content Type Options) الذي يساعد على حماية الخادم من محاولات التعرف على أنواع MIME (يسمح للمهاجم بتنفيذ عمليات خطيرة معينة ضد الموقع أو المستخدم)
- CSP (سياسة أمان المحتوى) التي تمنع المهاجم من إدخال نصوص برمجية ضارة على الصفحة الرئيسية للموقع
الكرز على الكعكة,يقوم 533 ملحقًا بإزالة هذه الرؤوس الأربعة في وقت واحد. وكما يشير الباحثون، ليس هناك بالضرورة أي نية للإضرار بأمن المستخدم، حيث يفضل مطورو هذه الامتدادات الاستغناء عن هذه الرؤوس لتقديم المزيد من الوظائف داخل برامجهم.
لكن النتيجة تبقى نفسها في النهاية،يزداد خطر الهجمات الإلكترونية على مستخدم ملحقات Google Chrome بشكل كبير. للتذكير،عانى Google Chrome 90 مؤخرًا من العديد من الأخطاء على أجهزة الكمبيوتر التي تعمل بنظام Windows 10. أشارت Google بسرعة إلى ما يجب فعله لتصحيح المشكلة.
مصدر :السجل