بالاترین احترام من کو ؟

• 1

  بله. توابع یک طرفه ی هاش دیگه خیلی مرسوم هستند. یادمه چند سال پیش در موردش مقاله یی خونده بودم. متاسفم که هنوز سایت های ایرانی امنیتشان را وابسته به تعیین کلمات عبور سنگین و دشوار هستند

  عرفان درتاریخ October 7th, 2007 به وسیله‌ی کامنت گفت
• 2

  من خودم از ام۵ استفاده کردم و حرفی که در مورد بالاترین زدی کاملا اشتباه است چون می شود عدد ۱۲۳ را به تابع داد و خروجی را گرفت و در پسوردها گشت و پسوردهایی که خروجیشان هش شده ۱۲۳ است رو پیدا کرد.

  badragheh درتاریخ October 8th, 2007 به وسیله‌ی کامنت گفت
• 3

  ولی اگر دو تا ۱۲۳ باشه که نمی‌شه که
  و برای بالاترین فکر کنم این جوری باشه
  دوما آنی که پسورد ساده انتخاب کرده آره حقشه که اطلاعاتش لو بره ولی کسی که پسورد انتخاب می‌کنه انتظار داره امنیتش از طرف سایت تضمین شه
  ثانیا مگر کسی به جز بالاترینها به دیتابیس سایت دسترسی دارند که نگران این باشند که با جستجوی ۱۲۳ هش شده بتوانند کاربران را هک کنند، اگر این طوری باشه که واقعا بالاترین تعطیله

  شیدا درتاریخ October 8th, 2007 به وسیله‌ی کامنت گفت
• 4

  جالب بود. یک سوال… این همه لینک توی این بغل به نظرتون لازمه؟

  سینا حسین زاده درتاریخ October 9th, 2007 به وسیله‌ی کامنت گفت
• 5

  چرا ؟ اذیت می‌کنه ؟ یا این که مشکل در بارگذاری صفحه به وجود می‌آورد ؟

  شیدا درتاریخ October 9th, 2007 به وسیله‌ی کامنت گفت
• 6

  به نکته جالبی اشاره کردید. فکر میکنم کم کم همه دارن به این نتیجه میرسن که بالاترین راه خودشو گم کرده یا لااقل اشتباهاتش زیاد شده.

  حامد درتاریخ October 9th, 2007 به وسیله‌ی کامنت گفت
• 7

  اذیت که نمیکنه ولی جلوی پیشرفت بلاگ رو میگیره. به نظر میرسه تو ایران زندگی نمیکنی چون فید انگلیسی انداختی و در کل اخلاق بلاگ نویسی ایرانی رو نداری!

  سینا حسین زاده درتاریخ October 10th, 2007 به وسیله‌ی کامنت گفت
• 8

  من با استدلال شما موافق نیستم. حتی اگر کلمات عبور هش هم بشند باز هم راه هست که برای بالاترین مشکل ایجاد کرد.

  ببینید … این می تونه روند کار یک اسکریپت ساده پرل/پایتون/پی اچ پی باشه :

  ۱. صفحات بالاترین رو تا ۲ سطح داخلی بگرد.
  ۲. طبق ساختار صفحات اسامی کاربران بالاترین رو پیدا کن. (با استفاده از regex کار سختی نیست)

  فرض کن تا این مرحله n تا نام کاربری پیدا می شه،

  ۳. برای هر نام کاربری کلمات عبور ساده رو امتحان کن و سعی کن که لاگین کنی.
  ۴. در صورت موفقیت نام کاربری رو به لیست اضافه کن.

  حالا کسایی که نام کاربریشون و پسوردشون یکی باشه یا کلمات عبورشون ساده باشه، پسوردشون لو می ره.

  ۵. یه اسکریپت دیگه از این لیست استفاده می کنه و تو بالاترین با اکانت این کاربرها خرابکاری می کنه.

  نوشتن چنین اسکریپتی با استفاده از PHP و class-snoopy یک روز هم طول نمی کشه.

  برای اجراش هم، یه سرور خوب با اینترنت پرسرعت می تونه میلیونها درخواست ارسال کنه.

  با این حساب، بهتره که کاربرهای بالاترین کلمات عبورشون رو پیچیده انتخاب کنند تا مشکلی به وجود نیاد.

  برای حل این مشکل چند تا راه هست، یکیش مثلا می تونه On The Fly Hashing باشه. یکی دیگه می تونه این باشه که اگر کاربری ۳ بار کلمه عبورش رو اشتباه زد، یه Image Verification اجرا بشه.

  گوگل از روش دوم استفاده می کنه.

  خیلی از سایت های بزرگ هم موقع انتخاب پسورد کمی بیشتر سخت گیری می کنند.

  مانی درتاریخ October 11th, 2007 به وسیله‌ی کامنت گفت
• 9

  باهات موافقم

  با این حرفت کاملا موافقم : موقع انتخاب پسورد کمی بیشتر سخت گیری می کنند

  من هم منظورم این نبود که بالاترین این حق را نداره که از کاربرهایش بخواهد که پسورد مناسب انتخاب کنند
  ولی این حق را نداره که بعد از انتخاب پسورد به کاربرش بگوید که اگر پسوردت را عوض نکنی اکانتت را می‌بندم، چیزی که یکی از دوستان این چند مدت برایش پیش آمده درصورتی که پسوردی هم که استفاده می‌شده (طبق گفته‌ی خودش) پسورد آسانی هم نبوده

  با این هم که حتی هش باشند راه هست موافقم ولی بالاترین چه جوری می‌خواهد بفهمه که پسورد کی ساده بوده بعد از این که هش شده باشه و در دیتابیس ذخیره شده باشد (اگر این هش به نام کاربری هم مربوط باشه که دیگر غیر قابل حدس می‌شه)
  برای همین گفتم که بالاترین این حق را ندارد که این کار را بکنه

  شیدا درتاریخ October 11th, 2007 به وسیله‌ی کامنت گفت
• 10

  متاسفم شاهین جان. کلمه‌های عبور در بالاترین نه تنها hash شده است بلکه salted‌ هم هست. امیدوارم کمی در این مورد مطالعه کنی. ما تنها با query گرفتن می‌تونیم تنها کسایی که کلمه عبورشان برابر کلمه خاصی هست را پیدا کنیم. تاکید می‌کنم این کار تنها یک طرفه است یعنی نمی‌شود کلمه عبور کسی را دید و این کاری است که در تمام سرویس‌های وب دنیا امکان پذیر است (دقیقا همان کاری است که در هنگام ورود رخ می‌دهد و کلمه عبور شما در مقابل کلمه عبور کد شده در دیتابیس چک میشود) این کار تنها برای احترام به حریم شخصی و جلوگیری از دزدیده شدن حساب انجام شده. امیدوارم کمی بیشتر در این مورد مطالعه کنی و اگه مشکل شخصی با بالاترین داری اخلاقیات رو فراموش نکنی و دروغ منتشر نکنی که بعدا خودت شرمنده بشی. ممنونم.

  عزیز درتاریخ October 11th, 2007 به وسیله‌ی کامنت گفت
• 11

  با تشکر از مانی عزیز به خاطر کامنت خوبش. هر چند امیدی ندارم شاهین عزیزم کامنت قبلی منو منتشر کنه. ما الان برای حفاظت از کاربرها چندین کار جدید کردیم. اولا اینکه لاگین روی ssl‌ رفته دوما اینکه با دو بار اشتباه زدن کلمه عبور باید Capcha‌ تست رو هم رد کنید. امنیت و حریم شخصی برای ما از همه چیز مهم تر است.

  عزیز درتاریخ October 11th, 2007 به وسیله‌ی کامنت گفت
• 12

  مرسی عزیز جان بابت اطلاعاتی که دادی
  آن‌قدر اطلاعاتم قد نمی‌ده که بدانم salted چی هستش

  بحث من این بود که هنگامی که کاربر کلمه‌ی عبورش را انتخاب کرده کار قشنگی نیست که بیاییم و با ان نحوه‌ی بیان ازش بخواهیم که رمزش را عوض کنه

  بله شما حق دارید در صورتی که به سرورتان حمله شد حساب کاربری را که حمله کردید ببندید (چه هک شده باشه و چه نه) ولی فکر نکنم این درست باشه که به خاطر داشتن پسورد ساده حساب کاربری را ببندید.
  راستی خیلی خوشحالم که شنیدم “امنیت و حریم شخصی برای ما از همه چیز مهم تر است”

  شیدا درتاریخ October 11th, 2007 به وسیله‌ی کامنت گفت
• 13

  مرسی که منتشر شد. من متن رو ننوشته بودم ولی متن با اینکه حسن نیت داشت لحن خوبی نداشت متن را عوض کردم و کمی بیشتر توضیح دادم تا مشکل حل بشه. مرسی که اشاره کردی

  عزیز درتاریخ October 11th, 2007 به وسیله‌ی کامنت گفت
• 14

  [...] ۱۰, ۲۰۰۷ | جشن, زرتشتی, ایرانی, تکنولوژی | نوشته : شیدا آن از لحن حرف زدنت و این هم لوگو عوض کردنت، چرا فکر نمی‌کنی اگر یک سوال از [...]

  شیدا » بالاترین و احترام به دیگر ادیان درتاریخ October 13th, 2007 به وسیله‌ی پینگ بک گفت

آر اس اس فید برای کامنتهای این نوشته | ترک‌ بک URI