بالاترین احترام من کو ؟

۱۵ کامنت » لینکک

مهر ۱۵م, ۱۳۸۶

شما هم حتما تذکر پایین را دیده‌اید ؟ خیلی درخواست ساده‌ای به نظر می‌آید ولی اگر دقیق بهش فکر کنید بالاترین دارد به حریم شخصی من و تو وارد می‌شه و به خودش اجازه می‌دهد که کاربرانی را که رمز عبورشان یک سری عبارات خاص می‌باشد مجبور و وادار به عوض کردن آنها بکند.
معمولا دو راه برای استفاده از رمز عبور در وب سایتها وجود دارد یکی این که قبل از این که پسورد وارد دیتابیس سایت بشود Hash می‌شود (Hash روشی است که باعث می‌شود رمز عبور شما را کسی نتواند بخواند و تبدیل به یک سری عبارات خاص می‌کند و ویژگی‌اش اینه که برگشت‌پذیر نیست یعنی اگر کسی Hash شده‌ی رمز عبور شما را بداند احتمال به دست آوردن رمز اولیه نزدیک به صفر می‌باشد)، در این حالت دارنده‌ی سایت و مدیر سایت نیز نمی‌تواند حدس بزند که کدام رمز عبور Hash شده مثلا رمز عبور ۱۲۳ بوده است.
روش دیگر این است که رمز عبور را به صورت غیر Hashشده در دیتابیس سایت نگه داریم در این روش به راحتی می‌توان رمز عبور کاربر را خواند و اگر شما هم مثل من رمز عبور اکثر سایتهایی که استفاده می‌کنید یکی باشد، مدیر سایت بالاترین به راحتی می‌تواند با خواندن آن رمز عبور و رفتن به دیگر سایتها از حساب کاربری من در دیگر سایتها استفاده کند.

این چیزی است که بالاترین را باز به یک سایت تماما ایرانی تبدیل می‌کند، استفاده نکردن از روشهای درست نگهداری اطلاعات کاربران و لحن حرف زدن خصمانه با آنها : “باید رمز عبورتان را عوض کنید”.

پس نوشت : به دلیل توضیحات مدیر بالاترین (عزیز) قسمتی از متن، حذف شد

Hello there! If you are new here, you might want to subscribe to the RSS feed for updates on this topic.

دسته : تکنولوژی
برچسب : balatarin, password, social network, وب-2, بالاترین, تکنولوژی, تکنولوژی, حریم شخصی, حریم-شخصی, رمز, شیدا-دات-کام, شبکه اجتماعی, عمومی,

۱۵ پاسخ به “بالاترین احترام من کو ؟”

عرفان می‌گوید :
مهر ۱۵م, ۱۳۸۶ در ۱۱:۳۳ ب.ظ
بله. توابع یک طرفه ی هاش دیگه خیلی مرسوم هستند. یادمه چند سال پیش در موردش مقاله یی خونده بودم. متاسفم که هنوز سایت های ایرانی امنیتشان را وابسته به تعیین کلمات عبور سنگین و دشوار هستند
Reply

[پاسخ]
badragheh می‌گوید :
مهر ۱۶م, ۱۳۸۶ در ۱:۰۸ ق.ظ
من خودم از ام۵ استفاده کردم و حرفی که در مورد بالاترین زدی کاملا اشتباه است چون می شود عدد ۱۲۳ را به تابع داد و خروجی را گرفت و در پسوردها گشت و پسوردهایی که خروجیشان هش شده ۱۲۳ است رو پیدا کرد.
Reply

[پاسخ]
شیدا می‌گوید :
مهر ۱۶م, ۱۳۸۶ در ۱:۵۱ ق.ظ
ولی اگر دو تا ۱۲۳ باشه که نمی‌شه که
و برای بالاترین فکر کنم این جوری باشه
دوما آنی که پسورد ساده انتخاب کرده آره حقشه که اطلاعاتش لو بره ولی کسی که پسورد انتخاب می‌کنه انتظار داره امنیتش از طرف سایت تضمین شه
ثانیا مگر کسی به جز بالاترینها به دیتابیس سایت دسترسی دارند که نگران این باشند که با جستجوی ۱۲۳ هش شده بتوانند کاربران را هک کنند، اگر این طوری باشه که واقعا بالاترین تعطیله
Reply

[پاسخ]
سینا حسین زاده می‌گوید :
مهر ۱۷م, ۱۳۸۶ در ۴:۰۶ ق.ظ
جالب بود. یک سوال… این همه لینک توی این بغل به نظرتون لازمه؟
Reply

[پاسخ]
شیدا می‌گوید :
مهر ۱۷م, ۱۳۸۶ در ۴:۲۹ ق.ظ
چرا ؟ اذیت می‌کنه ؟ یا این که مشکل در بارگذاری صفحه به وجود می‌آورد ؟
Reply

[پاسخ]
حامد می‌گوید :
مهر ۱۷م, ۱۳۸۶ در ۶:۱۳ ق.ظ
به نکته جالبی اشاره کردید. فکر میکنم کم کم همه دارن به این نتیجه میرسن که بالاترین راه خودشو گم کرده یا لااقل اشتباهاتش زیاد شده.
Reply

[پاسخ]
سینا حسین زاده می‌گوید :
مهر ۱۸م, ۱۳۸۶ در ۱۲:۴۷ ق.ظ
اذیت که نمیکنه ولی جلوی پیشرفت بلاگ رو میگیره. به نظر میرسه تو ایران زندگی نمیکنی چون فید انگلیسی انداختی و در کل اخلاق بلاگ نویسی ایرانی رو نداری!
Reply

[پاسخ]
مانی می‌گوید :
مهر ۱۹م, ۱۳۸۶ در ۱:۲۰ ب.ظ
من با استدلال شما موافق نیستم. حتی اگر کلمات عبور هش هم بشند باز هم راه هست که برای بالاترین مشکل ایجاد کرد.

ببینید … این می تونه روند کار یک اسکریپت ساده پرل/پایتون/پی اچ پی باشه :

۱. صفحات بالاترین رو تا ۲ سطح داخلی بگرد.
۲. طبق ساختار صفحات اسامی کاربران بالاترین رو پیدا کن. (با استفاده از regex کار سختی نیست)

فرض کن تا این مرحله n تا نام کاربری پیدا می شه،

۳. برای هر نام کاربری کلمات عبور ساده رو امتحان کن و سعی کن که لاگین کنی.
۴. در صورت موفقیت نام کاربری رو به لیست اضافه کن.

حالا کسایی که نام کاربریشون و پسوردشون یکی باشه یا کلمات عبورشون ساده باشه، پسوردشون لو می ره.

۵. یه اسکریپت دیگه از این لیست استفاده می کنه و تو بالاترین با اکانت این کاربرها خرابکاری می کنه.

نوشتن چنین اسکریپتی با استفاده از PHP و class-snoopy یک روز هم طول نمی کشه.

برای اجراش هم، یه سرور خوب با اینترنت پرسرعت می تونه میلیونها درخواست ارسال کنه.

با این حساب، بهتره که کاربرهای بالاترین کلمات عبورشون رو پیچیده انتخاب کنند تا مشکلی به وجود نیاد.

برای حل این مشکل چند تا راه هست، یکیش مثلا می تونه On The Fly Hashing باشه. یکی دیگه می تونه این باشه که اگر کاربری ۳ بار کلمه عبورش رو اشتباه زد، یه Image Verification اجرا بشه.

گوگل از روش دوم استفاده می کنه.

خیلی از سایت های بزرگ هم موقع انتخاب پسورد کمی بیشتر سخت گیری می کنند.
Reply

[پاسخ]
شیدا می‌گوید :
مهر ۱۹م, ۱۳۸۶ در ۲:۵۵ ب.ظ
باهات موافقم

با این حرفت کاملا موافقم : موقع انتخاب پسورد کمی بیشتر سخت گیری می کنند

من هم منظورم این نبود که بالاترین این حق را نداره که از کاربرهایش بخواهد که پسورد مناسب انتخاب کنند
ولی این حق را نداره که بعد از انتخاب پسورد به کاربرش بگوید که اگر پسوردت را عوض نکنی اکانتت را می‌بندم، چیزی که یکی از دوستان این چند مدت برایش پیش آمده درصورتی که پسوردی هم که استفاده می‌شده (طبق گفته‌ی خودش) پسورد آسانی هم نبوده

با این هم که حتی هش باشند راه هست موافقم ولی بالاترین چه جوری می‌خواهد بفهمه که پسورد کی ساده بوده بعد از این که هش شده باشه و در دیتابیس ذخیره شده باشد (اگر این هش به نام کاربری هم مربوط باشه که دیگر غیر قابل حدس می‌شه)
برای همین گفتم که بالاترین این حق را ندارد که این کار را بکنه
Reply

[پاسخ]
عزیز می‌گوید :
مهر ۱۹م, ۱۳۸۶ در ۲:۵۶ ب.ظ
متاسفم شیدا جان. کلمه‌های عبور در بالاترین نه تنها hash شده است بلکه salted‌ هم هست. امیدوارم کمی در این مورد مطالعه کنی. ما تنها با query گرفتن می‌تونیم تنها کسایی که کلمه عبورشان برابر کلمه خاصی هست را پیدا کنیم. تاکید می‌کنم این کار تنها یک طرفه است یعنی نمی‌شود کلمه عبور کسی را دید و این کاری است که در تمام سرویس‌های وب دنیا امکان پذیر است (دقیقا همان کاری است که در هنگام ورود رخ می‌دهد و کلمه عبور شما در مقابل کلمه عبور کد شده در دیتابیس چک میشود) این کار تنها برای احترام به حریم شخصی و جلوگیری از دزدیده شدن حساب انجام شده. امیدوارم کمی بیشتر در این مورد مطالعه کنی و اگه مشکل شخصی با بالاترین داری اخلاقیات رو فراموش نکنی و دروغ منتشر نکنی که بعدا خودت شرمنده بشی. ممنونم.
Reply

[پاسخ]
عزیز می‌گوید :
مهر ۱۹م, ۱۳۸۶ در ۳:۰۷ ب.ظ
با تشکر از مانی عزیز به خاطر کامنت خوبش. هر چند امیدی ندارم شیدا عزیزم کامنت قبلی منو منتشر کنه. ما الان برای حفاظت از کاربرها چندین کار جدید کردیم. اولا اینکه لاگین روی ssl‌ رفته دوما اینکه با دو بار اشتباه زدن کلمه عبور باید Capcha‌ تست رو هم رد کنید. امنیت و حریم شخصی برای ما از همه چیز مهم تر است.
Reply

[پاسخ]
شیدا می‌گوید :
مهر ۱۹م, ۱۳۸۶ در ۳:۱۳ ب.ظ
مرسی عزیز جان بابت اطلاعاتی که دادی
آن‌قدر اطلاعاتم قد نمی‌ده که بدانم salted چی هستش

بحث من این بود که هنگامی که کاربر کلمه‌ی عبورش را انتخاب کرده کار قشنگی نیست که بیاییم و با ان نحوه‌ی بیان ازش بخواهیم که رمزش را عوض کنه

بله شما حق دارید در صورتی که به سرورتان حمله شد حساب کاربری را که حمله کردید ببندید (چه هک شده باشه و چه نه) ولی فکر نکنم این درست باشه که به خاطر داشتن پسورد ساده حساب کاربری را ببندید.
راستی خیلی خوشحالم که شنیدم “امنیت و حریم شخصی برای ما از همه چیز مهم تر است”

Reply

[پاسخ]
عزیز می‌گوید :
مهر ۱۹م, ۱۳۸۶ در ۴:۴۸ ب.ظ
مرسی که منتشر شد. من متن رو ننوشته بودم ولی متن با اینکه حسن نیت داشت لحن خوبی نداشت متن را عوض کردم و کمی بیشتر توضیح دادم تا مشکل حل بشه. مرسی که اشاره کردی
Reply

[پاسخ]
شیدا » بالاترین و احترام به دیگر ادیان می‌گوید :
مهر ۲۱م, ۱۳۸۶ در ۴:۱۱ ق.ظ
[...] ۱۰, ۲۰۰۷ | جشن, زرتشتی, ایرانی, تکنولوژی | نوشته : شیدا آن از لحن حرف زدنت و این هم لوگو عوض کردنت، چرا فکر نمی‌کنی اگر یک سوال از [...]
پیربابا می‌گوید :
مهر ۶م, ۱۳۸۸ در ۱۱:۲۸ ب.ظ
من کاربر پیربابا در بالاترین هستم ، دیشب اکانتم مسدود شد
علت مسدود شدن آن ، تهیه و ارسال گزارش تخلف از گروه کمونیستی هست که به محض ثبت یک لینک همگی به آن رای داده و داغش می کنند، گزارش من مبنی بر توهین این افراد به دین اسلام بود که مدیر بالاترین نه تنها با آنها برخورد نکرد ، بلکه بدلیل غیر درستی مانند استفاده از بالاترین بعنوان وبلاگ اکانت بنده را مسدود نمود
Reply

[پاسخ]

۱۵ پاسخ به “بالاترین احترام من کو ؟”

یک پاسخ بگذارید