در همه دیر مغان نیست چو من شیدایی - خرقه جایی گرو باده و دفتر جایی

شیدا

بالاترین احترام من کو ؟

مهر ۱۵, ۱۳۸۶ at ۱۱:۲۱ ب.ظ

شما هم حتما تذکر پایین را دیده‌اید ؟ خیلی درخواست ساده‌ای به نظر می‌آید ولی اگر دقیق بهش فکر کنید بالاترین دارد ~~به حریم شخصی من و تو وارد می‌شه و~~ به خودش اجازه می‌دهد که کاربرانی را که رمز عبورشان یک سری عبارات خاص می‌باشد مجبور و وادار به عوض کردن آنها بکند.
معمولا دو راه برای استفاده از رمز عبور در وب سایتها وجود دارد یکی این که قبل از این که پسورد وارد دیتابیس سایت بشود Hash می‌شود (Hash روشی است که باعث می‌شود رمز عبور شما را کسی نتواند بخواند و تبدیل به یک سری عبارات خاص می‌کند و ویژگی‌اش اینه که برگشت‌پذیر نیست یعنی اگر کسی Hash شده‌ی رمز عبور شما را بداند احتمال به دست آوردن رمز اولیه نزدیک به صفر می‌باشد)، در این حالت دارنده‌ی سایت و مدیر سایت نیز نمی‌تواند حدس بزند که کدام رمز عبور Hash شده مثلا رمز عبور ۱۲۳ بوده است.
روش دیگر این است که رمز عبور را به صورت غیر Hashشده در دیتابیس سایت نگه داریم در این روش به راحتی می‌توان رمز عبور کاربر را خواند و اگر شما هم مثل من رمز عبور اکثر سایتهایی که استفاده می‌کنید یکی باشد، مدیر سایت بالاترین به راحتی می‌تواند با خواندن آن رمز عبور و رفتن به دیگر سایتها از حساب کاربری من در دیگر سایتها استفاده کند.

این چیزی است که بالاترین را باز به یک سایت ~~تماما~~ ایرانی تبدیل می‌کند، ~~استفاده نکردن از روشهای درست نگهداری اطلاعات کاربران و~~ لحن حرف زدن خصمانه با آنها : “باید رمز عبورتان را عوض کنید”.

پس نوشت : به دلیل توضیحات مدیر بالاترین (عزیز) قسمتی از متن، حذف شد

دسته : تکنولوژی, حریم شخصی, شبکه اجتماعی, عمومی, وب 2

برچسب : وب-2, تکنولوژی, حریم-شخصی, شیدا-دات-کام, شبکه اجتماعی, عمومی

۱۴

1

بله. توابع یک طرفه ی هاش دیگه خیلی مرسوم هستند. یادمه چند سال پیش در موردش مقاله یی خونده بودم. متاسفم که هنوز سایت های ایرانی امنیتشان را وابسته به تعیین کلمات عبور سنگین و دشوار هستند

عرفان درتاریخ مهر ۱۵م, ۱۳۸۶ به وسیله‌ی کامنت گفت
2

من خودم از ام۵ استفاده کردم و حرفی که در مورد بالاترین زدی کاملا اشتباه است چون می شود عدد ۱۲۳ را به تابع داد و خروجی را گرفت و در پسوردها گشت و پسوردهایی که خروجیشان هش شده ۱۲۳ است رو پیدا کرد.

badragheh درتاریخ مهر ۱۶م, ۱۳۸۶ به وسیله‌ی کامنت گفت
3

ولی اگر دو تا ۱۲۳ باشه که نمی‌شه که
و برای بالاترین فکر کنم این جوری باشه
دوما آنی که پسورد ساده انتخاب کرده آره حقشه که اطلاعاتش لو بره ولی کسی که پسورد انتخاب می‌کنه انتظار داره امنیتش از طرف سایت تضمین شه
ثانیا مگر کسی به جز بالاترینها به دیتابیس سایت دسترسی دارند که نگران این باشند که با جستجوی ۱۲۳ هش شده بتوانند کاربران را هک کنند، اگر این طوری باشه که واقعا بالاترین تعطیله

شیدا درتاریخ مهر ۱۶م, ۱۳۸۶ به وسیله‌ی کامنت گفت
4

جالب بود. یک سوال… این همه لینک توی این بغل به نظرتون لازمه؟

سینا حسین زاده درتاریخ مهر ۱۷م, ۱۳۸۶ به وسیله‌ی کامنت گفت
5

چرا ؟ اذیت می‌کنه ؟ یا این که مشکل در بارگذاری صفحه به وجود می‌آورد ؟

شیدا درتاریخ مهر ۱۷م, ۱۳۸۶ به وسیله‌ی کامنت گفت
6

به نکته جالبی اشاره کردید. فکر میکنم کم کم همه دارن به این نتیجه میرسن که بالاترین راه خودشو گم کرده یا لااقل اشتباهاتش زیاد شده.

حامد درتاریخ مهر ۱۷م, ۱۳۸۶ به وسیله‌ی کامنت گفت
7

اذیت که نمیکنه ولی جلوی پیشرفت بلاگ رو میگیره. به نظر میرسه تو ایران زندگی نمیکنی چون فید انگلیسی انداختی و در کل اخلاق بلاگ نویسی ایرانی رو نداری!

سینا حسین زاده درتاریخ مهر ۱۸م, ۱۳۸۶ به وسیله‌ی کامنت گفت
8

من با استدلال شما موافق نیستم. حتی اگر کلمات عبور هش هم بشند باز هم راه هست که برای بالاترین مشکل ایجاد کرد.

ببینید … این می تونه روند کار یک اسکریپت ساده پرل/پایتون/پی اچ پی باشه :

۱/ صفحات بالاترین رو تا ۲ سطح داخلی بگرد.
۲/ طبق ساختار صفحات اسامی کاربران بالاترین رو پیدا کن. (با استفاده از regex کار سختی نیست)

فرض کن تا این مرحله n تا نام کاربری پیدا می شه،

۳/ برای هر نام کاربری کلمات عبور ساده رو امتحان کن و سعی کن که لاگین کنی.
۴/ در صورت موفقیت نام کاربری رو به لیست اضافه کن.

حالا کسایی که نام کاربریشون و پسوردشون یکی باشه یا کلمات عبورشون ساده باشه، پسوردشون لو می ره.

۵/ یه اسکریپت دیگه از این لیست استفاده می کنه و تو بالاترین با اکانت این کاربرها خرابکاری می کنه.

نوشتن چنین اسکریپتی با استفاده از PHP و class-snoopy یک روز هم طول نمی کشه.

برای اجراش هم، یه سرور خوب با اینترنت پرسرعت می تونه میلیونها درخواست ارسال کنه.

با این حساب، بهتره که کاربرهای بالاترین کلمات عبورشون رو پیچیده انتخاب کنند تا مشکلی به وجود نیاد.

برای حل این مشکل چند تا راه هست، یکیش مثلا می تونه On The Fly Hashing باشه. یکی دیگه می تونه این باشه که اگر کاربری ۳ بار کلمه عبورش رو اشتباه زد، یه Image Verification اجرا بشه.

گوگل از روش دوم استفاده می کنه.

خیلی از سایت های بزرگ هم موقع انتخاب پسورد کمی بیشتر سخت گیری می کنند.

مانی درتاریخ مهر ۱۹م, ۱۳۸۶ به وسیله‌ی کامنت گفت
9

باهات موافقم

با این حرفت کاملا موافقم : موقع انتخاب پسورد کمی بیشتر سخت گیری می کنند

من هم منظورم این نبود که بالاترین این حق را نداره که از کاربرهایش بخواهد که پسورد مناسب انتخاب کنند
ولی این حق را نداره که بعد از انتخاب پسورد به کاربرش بگوید که اگر پسوردت را عوض نکنی اکانتت را می‌بندم، چیزی که یکی از دوستان این چند مدت برایش پیش آمده درصورتی که پسوردی هم که استفاده می‌شده (طبق گفته‌ی خودش) پسورد آسانی هم نبوده

با این هم که حتی هش باشند راه هست موافقم ولی بالاترین چه جوری می‌خواهد بفهمه که پسورد کی ساده بوده بعد از این که هش شده باشه و در دیتابیس ذخیره شده باشد (اگر این هش به نام کاربری هم مربوط باشه که دیگر غیر قابل حدس می‌شه)
برای همین گفتم که بالاترین این حق را ندارد که این کار را بکنه

شیدا درتاریخ مهر ۱۹م, ۱۳۸۶ به وسیله‌ی کامنت گفت
10

متاسفم شاهین جان. کلمه‌های عبور در بالاترین نه تنها hash شده است بلکه salted‌ هم هست. امیدوارم کمی در این مورد مطالعه کنی. ما تنها با query گرفتن می‌تونیم تنها کسایی که کلمه عبورشان برابر کلمه خاصی هست را پیدا کنیم. تاکید می‌کنم این کار تنها یک طرفه است یعنی نمی‌شود کلمه عبور کسی را دید و این کاری است که در تمام سرویس‌های وب دنیا امکان پذیر است (دقیقا همان کاری است که در هنگام ورود رخ می‌دهد و کلمه عبور شما در مقابل کلمه عبور کد شده در دیتابیس چک میشود) این کار تنها برای احترام به حریم شخصی و جلوگیری از دزدیده شدن حساب انجام شده. امیدوارم کمی بیشتر در این مورد مطالعه کنی و اگه مشکل شخصی با بالاترین داری اخلاقیات رو فراموش نکنی و دروغ منتشر نکنی که بعدا خودت شرمنده بشی. ممنونم.

عزیز درتاریخ مهر ۱۹م, ۱۳۸۶ به وسیله‌ی کامنت گفت
11

با تشکر از مانی عزیز به خاطر کامنت خوبش. هر چند امیدی ندارم شاهین عزیزم کامنت قبلی منو منتشر کنه. ما الان برای حفاظت از کاربرها چندین کار جدید کردیم. اولا اینکه لاگین روی ssl‌ رفته دوما اینکه با دو بار اشتباه زدن کلمه عبور باید Capcha‌ تست رو هم رد کنید. امنیت و حریم شخصی برای ما از همه چیز مهم تر است.

عزیز درتاریخ مهر ۱۹م, ۱۳۸۶ به وسیله‌ی کامنت گفت
12

مرسی عزیز جان بابت اطلاعاتی که دادی
آن‌قدر اطلاعاتم قد نمی‌ده که بدانم salted چی هستش

بحث من این بود که هنگامی که کاربر کلمه‌ی عبورش را انتخاب کرده کار قشنگی نیست که بیاییم و با ان نحوه‌ی بیان ازش بخواهیم که رمزش را عوض کنه

بله شما حق دارید در صورتی که به سرورتان حمله شد حساب کاربری را که حمله کردید ببندید (چه هک شده باشه و چه نه) ولی فکر نکنم این درست باشه که به خاطر داشتن پسورد ساده حساب کاربری را ببندید.
راستی خیلی خوشحالم که شنیدم “امنیت و حریم شخصی برای ما از همه چیز مهم تر است”

شیدا درتاریخ مهر ۱۹م, ۱۳۸۶ به وسیله‌ی کامنت گفت
13

مرسی که منتشر شد. من متن رو ننوشته بودم ولی متن با اینکه حسن نیت داشت لحن خوبی نداشت متن را عوض کردم و کمی بیشتر توضیح دادم تا مشکل حل بشه. مرسی که اشاره کردی

عزیز درتاریخ مهر ۱۹م, ۱۳۸۶ به وسیله‌ی کامنت گفت
14

[...] ۱۰, ۲۰۰۷ | جشن, زرتشتی, ایرانی, تکنولوژی | نوشته : شیدا آن از لحن حرف زدنت و این هم لوگو عوض کردنت، چرا فکر نمی‌کنی اگر یک سوال از [...]

شیدا » بالاترین و احترام به دیگر ادیان درتاریخ مهر ۲۱م, ۱۳۸۶ به وسیله‌ی پینگ بک گفت