નવા સંશોધનો દર્શાવે છે કે લાખો હોસ્ટ સાઇટ્સ TLS એન્ક્રિપ્શન વગરની છે TLS એન્ક્રિપ્શન સુરક્ષિત સંચાર અને બ્રાઉઝિંગ માટે એન્ડ-ટુ-એન્ડ એન્ક્રિપ્શનની મંજૂરી આપે છે શેડોસર્વરે આ હોસ્ટ્સને નિવૃત્ત કરવાની ભલામણ કરી છે.
શેડોસર્વરના નવા સંશોધનમાં જાણવા મળ્યું છે કે 3.3 મિલિયન POP3 (પોસ્ટ ઓફિસ પ્રોટોકોલ) અને IMAP (ઇન્ટરનેટ મેસેજ એક્સેસ પ્રોટોકોલ) મેઇલ સર્વર્સ હાલમાં TLS એન્ક્રિપ્શન વગરના હોવાને કારણે નેટવર્ક સ્નિફિંગ હુમલાઓના સંપર્કમાં છે.
TLS, અથવા ટ્રાન્સપોર્ટ લેયર સિક્યોરિટી, એ એક સુરક્ષા પ્રોટોકોલ છે જે ઈન્ટરનેટ પર એપ્લિકેશન્સ વચ્ચે એન્ડ-ટુ-એન્ડ સુરક્ષા પ્રદાન કરે છે. તેનો ઉપયોગ સુરક્ષિત વેબ બ્રાઉઝિંગ માટે થાય છે અને ઈમેલ, ફાઈલ ટ્રાન્સફર અને મેસેજિંગ દ્વારા સંચારને એન્ક્રિપ્ટ કરે છે.
શેડોસર્વરે TLS સપોર્ટ વિના પોર્ટ 110/TCP અથવા 995/TCP પર POP3 સેવા ચલાવતા હોસ્ટ્સ માટે ઇન્ટરનેટ સ્કેન કર્યું – સુરક્ષા સ્તર વિના 3.3 મિલિયન યજમાનો શોધ્યા.
નિવૃત્તિનો સમય
TLS વિના, મેઇલ એક્સેસ માટેના પાસવર્ડ્સ અટકાવી શકાય છે, અને તે ખુલ્લી સેવાઓ સર્વર પર પાસવર્ડ અનુમાનિત હુમલાઓને મંજૂરી આપી શકે છે. એન્ક્રિપ્શન વિના, ઓળખપત્રો અને સંદેશ સામગ્રી સ્પષ્ટ ટેક્સ્ટમાં મોકલવામાં આવે છે, જે હોસ્ટને નેટવર્ક સ્નિફિંગ હુમલાઓ માટે છતી કરે છે.
આમાંની લગભગ 900,000 સાઇટ્સ યુ.એસ.માં હતી, જેમાં 500,000 અને 380,000 જર્મની અને પોલેન્ડમાં હતી, પરંતુ સંશોધકો નોંધે છે કે, ‘TLS સક્ષમ છે કે નહીં સેવા એક્સપોઝર સર્વર સામે પાસવર્ડ અનુમાનિત હુમલાઓને સક્ષમ કરી શકે છે’.
શેડોસર્વર ફાઉન્ડેશન “અમે TLS સક્ષમ કર્યા વિના POP3/IMAP સેવાઓ ચલાવતા હોસ્ટ્સ વિશે સૂચના આપવાનું શરૂ કર્યું છે, એટલે કે જ્યારે ટ્રાન્સમિટ કરવામાં આવે ત્યારે વપરાશકર્તાનામ/પાસવર્ડ્સ એન્ક્રિપ્ટેડ થતા નથી,” એક ટ્વિટમાં જણાવ્યું હતું.
“અમે POP3 સાથે આવા લગભગ 3.3M કેસો અને IMAP (સૌથી વધુ ઓવરલેપ) સાથે સમાન રકમ જોયે છે. તેમને નિવૃત્ત કરવાનો સમય આવી ગયો છે!”
ઓગસ્ટ 2018 માં, TLS 1.2 ને TLS 1.3 સાથે અપડેટ કરવામાં આવ્યું હતું, જેમાં 1.3 પ્રદર્શન અને સુરક્ષા બંનેમાં નોંધપાત્ર સુધારાઓ ઓફર કરે છે. જ્યારે TLS ખૂબ જ સામાન્ય છે, ઇમ્યુનીવેબ અહેવાલ આપે છે કે Q1 2024 થી અત્યાર સુધીમાં, ત્યાં 1,421,781 SSL/TLS ઇવેન્ટ્સ છે – તેથી એન્ક્રિપ્શન સાથે પણ, વપરાશકર્તાઓ માટે જોખમો છે.
વાયા સુરક્ષા બાબતો
