Defaults.Exposed

Defaults.Exposed › گزارش‌ها

تالار مشاهیر پیکربندی‌های نادرست: عجیب‌ترین رکوردهای امنیتی وب (۲۰۲۶)

منتشرشده 2026-06-29

ارقام تا تاریخ 2026-06-29 · روش‌شناسی نسخه ۷. داده‌های تجمیعی سرشماری در میان 261 میلیون دامنه نمره‌گذاری‌شده. هر رقم زیر یک الگوی واقعی و تکرارشونده است — نه یک مورد یک‌باره. ببینید چگونه نمره می‌دهیم.

بیشتر شکست‌های امنیتی کسل‌کننده‌اند: یک تنظیم که خاموش رها شده. تعداد کمی واقعاً خنده‌دارند — معادل دیجیتالی تحویل ساختمان با تابلوی «نام مستأجر را وارد کنید» که هنوز در پنجره است. ما 261 میلیون دامنه را نمره‌گذاری کردیم؛ اینجا رکوردهایی هستند که ما را وادار کردند دو بار نگاه کنیم.

۱. گواهی‌نامه‌ای که هیچ‌کس نامش را عوض نکرد

وقتی یک گواهی‌نامه TLS را با پرسش‌های پیش‌فرض OpenSSL تولید می‌کنید و فقط اینتر می‌زنید، نام سازمان به یک جانگهدار (placeholder) تبدیل می‌شود. قرار است این جانگهدارها پیش از انتشار جایگزین شوند. نشدند:

نام «صادرشده توسط» روی گواهی‌نامه فعالسایت‌ها
Internet Widgits Pty Ltd244,468
MyCompany Inc.226,830
TRAEFIK DEFAULT CERT108,348
localhost106,086

«Internet Widgits Pty Ltd» مقدار پیش‌فرض عینی در پیکربندی نمونه OpenSSL است — و 244,468 سایت عمومی گواهی‌نامه‌ای را ارائه می‌دهند که با آن مهر خورده است. در میان تمام نام‌های آشکارِ جانگهدار و پیش‌فرض، 685,732 سایت هرگز تابلو را تغییر ندادند. هر یک از آن‌ها همچنین خودامضا هستند، بنابراین بازدیدکنندگان هشدار مرورگر می‌گیرند — آن‌ها هم جانگهدار و هم خطا را ارائه می‌دهند.

۲. DMARC، گم‌شده در ترجمه

یک سیاست DMARC تنها در صورتی کار می‌کند که دقیقاً p=none، p=quarantine یا p=reject خوانده شود. 48,648 دامنه چیز دیگری منتشر کردند — کلمه سیاست با غلط املایی، یا به زبانی کاملاً دیگر نوشته شده (داده‌های واقعی شامل برگردان‌های اسپانیایی، فرانسوی و پرتغالی «none» است). نیت درست بود؛ املای دقیق نبود — و DMARC تنها کلیدواژه انگلیسی را می‌پذیرد، پس همه آن‌ها هیچ محافظتی فراهم نمی‌کنند. (فهرست کامل و به‌روز همراه با شمارش: رایج‌ترین غلط‌های املایی DMARC در اینترنت.)

۳. پادری خوش‌آمدگویی SPF

تمام وظیفه SPF این است که بگوید کدام سرورها مجازند به‌نام شما ایمیل بفرستند. 36,014 دامنه رکورد خود را با +all پایان می‌دهند — که دقیقاً معنای برعکس می‌دهد: «هر سروری در اینترنت مجاز است به‌نام من بفرستد.» این معادل امنیتی چسباندن کلید به در است. 7,958 دامنه دیگر در سکوت SPF خود را با عبور از محدودیت ۱۰ جست‌وجوی DNS خراب می‌کنند و آن را کاملاً باطل می‌سازند. (بیشتر: گزارش پیکربندی نادرست SPF.)

۴. ذکر افتخارآمیز: میلیون‌های خودامضا

فراتر از نام‌های خنده‌دار، 3,378,080 سایت گواهی‌نامه خودامضا ارائه می‌دهند — گواهی‌نامه‌ای که خودشان برای خودشان صادر کرده‌اند و مرورگرها آن را رد می‌کنند. معمولاً یک روتر، یک دستگاه آزمایشی یا ابزاری داخلی که به‌طور تصادفی به اینترنت عمومی متصل شده و هرگز گواهی‌نامه واقعی دریافت نکرده است.

آنچه موارد خنده‌دار در آن مشترک‌اند

هر مورد اینجا همان علت ریشه‌ای شکست‌های کسل‌کننده را دارد: یک پیش‌فرض دست‌نخورده، یک گام پریده‌شده، یک کپی-پیست ناتمام. وب به‌شکل نمایشی شکست نمی‌خورد — با اینرسی شکست می‌خورد، هر بار یک جانگهدارِ تغییرنام‌نیافته. نکته مثبت: هر یک از این‌ها یک رفعِ پنج‌دقیقه‌ای است.

پرسش‌های پرتکرار

چرا این‌قدر گواهی‌نامه‌ها «Internet Widgits Pty Ltd» می‌گویند؟ این نام سازمانی پیش‌فرض در پیکربندی نمونه OpenSSL است. وقتی کسی یک گواهی‌نامه تولید می‌کند و پیش‌فرض‌ها را می‌پذیرد، آن جانگهدار روی گواهی‌نامه فعال می‌نشیند. 244,468 سایت عمومی هرگز آن را تغییر ندادند.

آیا یک سیاست DMARC به زبانی دیگر کاری انجام می‌دهد؟ خیر. DMARC تنها کلیدواژه‌های دقیق none، quarantine و reject را می‌شناسد. رکوردی با کلمه سیاستِ غلط املایی یا نوشته‌شده به زبانی دیگر نامعتبر است و نادیده گرفته می‌شود — دامنه همچنان قابل جعل می‌ماند.

SPF +all چه می‌کند؟ هر سروری در اینترنت را مجاز می‌کند به‌نام دامنه شما ایمیل بفرستد — بدتر از آنکه اصلاً SPF نداشته باشید. 36,014 دامنه آن را دارند، تقریباً همیشه به‌اشتباه.

آیا این‌ها موارد نادر و حاشیه‌ای هستند؟ خیر — هر یک صدها هزار تا میلیون‌ها دامنه است که به‌طور مداوم در یک سرشماری 261 میلیون دامنه‌ای یافت شده‌اند. این‌ها پیش‌فرض‌های رایج‌اند، نه اتفاق‌های عجیب‌وغریب.

بررسی کنید دامنه‌تان در نسخه بعدی نباشد

بیشتر این‌ها رفع‌های تک‌خطی هستند. دامنه خود را به‌صورت خصوصی و رایگان بررسی کنید — گواهی‌نامه، DMARC و SPF خود را دقیقاً همان‌طور که اینترنت می‌بیند ببینید.

دامنه خود را بررسی کنید → · غلط‌های املایی DMARC → · گزارش پیکربندی نادرست SPF → · گزارش خطای گواهی‌نامه → · فقط داده‌های تجمیعی. داده‌ها در اتحادیه اروپا ذخیره و پردازش می‌شوند.