Defaults.Exposed › گزارشها
تالار مشاهیر پیکربندیهای نادرست: عجیبترین رکوردهای امنیتی وب (۲۰۲۶)
منتشرشده 2026-06-29
ارقام تا تاریخ 2026-06-29 · روششناسی نسخه ۷. دادههای تجمیعی سرشماری در میان 261 میلیون دامنه نمرهگذاریشده. هر رقم زیر یک الگوی واقعی و تکرارشونده است — نه یک مورد یکباره. ببینید چگونه نمره میدهیم.
بیشتر شکستهای امنیتی کسلکنندهاند: یک تنظیم که خاموش رها شده. تعداد کمی واقعاً خندهدارند — معادل دیجیتالی تحویل ساختمان با تابلوی «نام مستأجر را وارد کنید» که هنوز در پنجره است. ما 261 میلیون دامنه را نمرهگذاری کردیم؛ اینجا رکوردهایی هستند که ما را وادار کردند دو بار نگاه کنیم.
۱. گواهینامهای که هیچکس نامش را عوض نکرد
وقتی یک گواهینامه TLS را با پرسشهای پیشفرض OpenSSL تولید میکنید و فقط اینتر میزنید، نام سازمان به یک جانگهدار (placeholder) تبدیل میشود. قرار است این جانگهدارها پیش از انتشار جایگزین شوند. نشدند:
| نام «صادرشده توسط» روی گواهینامه فعال | سایتها |
|---|---|
| Internet Widgits Pty Ltd | 244,468 |
| MyCompany Inc. | 226,830 |
| TRAEFIK DEFAULT CERT | 108,348 |
| localhost | 106,086 |
«Internet Widgits Pty Ltd» مقدار پیشفرض عینی در پیکربندی نمونه OpenSSL است — و 244,468 سایت عمومی گواهینامهای را ارائه میدهند که با آن مهر خورده است. در میان تمام نامهای آشکارِ جانگهدار و پیشفرض، 685,732 سایت هرگز تابلو را تغییر ندادند. هر یک از آنها همچنین خودامضا هستند، بنابراین بازدیدکنندگان هشدار مرورگر میگیرند — آنها هم جانگهدار و هم خطا را ارائه میدهند.
۲. DMARC، گمشده در ترجمه
یک سیاست DMARC تنها در صورتی کار میکند که دقیقاً p=none، p=quarantine یا p=reject خوانده شود. 48,648 دامنه چیز دیگری منتشر کردند — کلمه سیاست با غلط املایی، یا به زبانی کاملاً دیگر نوشته شده (دادههای واقعی شامل برگردانهای اسپانیایی، فرانسوی و پرتغالی «none» است). نیت درست بود؛ املای دقیق نبود — و DMARC تنها کلیدواژه انگلیسی را میپذیرد، پس همه آنها هیچ محافظتی فراهم نمیکنند. (فهرست کامل و بهروز همراه با شمارش: رایجترین غلطهای املایی DMARC در اینترنت.)
۳. پادری خوشآمدگویی SPF
تمام وظیفه SPF این است که بگوید کدام سرورها مجازند بهنام شما ایمیل بفرستند. 36,014 دامنه رکورد خود را با +all پایان میدهند — که دقیقاً معنای برعکس میدهد: «هر سروری در اینترنت مجاز است بهنام من بفرستد.» این معادل امنیتی چسباندن کلید به در است. 7,958 دامنه دیگر در سکوت SPF خود را با عبور از محدودیت ۱۰ جستوجوی DNS خراب میکنند و آن را کاملاً باطل میسازند. (بیشتر: گزارش پیکربندی نادرست SPF.)
۴. ذکر افتخارآمیز: میلیونهای خودامضا
فراتر از نامهای خندهدار، 3,378,080 سایت گواهینامه خودامضا ارائه میدهند — گواهینامهای که خودشان برای خودشان صادر کردهاند و مرورگرها آن را رد میکنند. معمولاً یک روتر، یک دستگاه آزمایشی یا ابزاری داخلی که بهطور تصادفی به اینترنت عمومی متصل شده و هرگز گواهینامه واقعی دریافت نکرده است.
آنچه موارد خندهدار در آن مشترکاند
هر مورد اینجا همان علت ریشهای شکستهای کسلکننده را دارد: یک پیشفرض دستنخورده، یک گام پریدهشده، یک کپی-پیست ناتمام. وب بهشکل نمایشی شکست نمیخورد — با اینرسی شکست میخورد، هر بار یک جانگهدارِ تغییرنامنیافته. نکته مثبت: هر یک از اینها یک رفعِ پنجدقیقهای است.
پرسشهای پرتکرار
چرا اینقدر گواهینامهها «Internet Widgits Pty Ltd» میگویند؟ این نام سازمانی پیشفرض در پیکربندی نمونه OpenSSL است. وقتی کسی یک گواهینامه تولید میکند و پیشفرضها را میپذیرد، آن جانگهدار روی گواهینامه فعال مینشیند. 244,468 سایت عمومی هرگز آن را تغییر ندادند.
آیا یک سیاست DMARC به زبانی دیگر کاری انجام میدهد؟
خیر. DMARC تنها کلیدواژههای دقیق none، quarantine و reject را میشناسد. رکوردی با کلمه سیاستِ غلط املایی یا نوشتهشده به زبانی دیگر نامعتبر است و نادیده گرفته میشود — دامنه همچنان قابل جعل میماند.
SPF +all چه میکند؟ هر سروری در اینترنت را مجاز میکند بهنام دامنه شما ایمیل بفرستد — بدتر از آنکه اصلاً SPF نداشته باشید. 36,014 دامنه آن را دارند، تقریباً همیشه بهاشتباه.
آیا اینها موارد نادر و حاشیهای هستند؟ خیر — هر یک صدها هزار تا میلیونها دامنه است که بهطور مداوم در یک سرشماری 261 میلیون دامنهای یافت شدهاند. اینها پیشفرضهای رایجاند، نه اتفاقهای عجیبوغریب.
بررسی کنید دامنهتان در نسخه بعدی نباشد
بیشتر اینها رفعهای تکخطی هستند. دامنه خود را بهصورت خصوصی و رایگان بررسی کنید — گواهینامه، DMARC و SPF خود را دقیقاً همانطور که اینترنت میبیند ببینید.
دامنه خود را بررسی کنید → · غلطهای املایی DMARC → · گزارش پیکربندی نادرست SPF → · گزارش خطای گواهینامه → · فقط دادههای تجمیعی. دادهها در اتحادیه اروپا ذخیره و پردازش میشوند.