Comments on: بالاترین احترام من کو ؟ http://www.sheida.com/2007/10/07/%d8%a8%d8%a7%d9%84%d8%a7%d8%aa%d8%b1%db%8c%d9%86-%d8%a7%d8%ad%d8%aa%d8%b1%d8%a7%d9%85-%d9%85%d9%86-%da%a9%d9%88-%d8%9f/ در همه دیر مغان نیست چو من شیدایی - خرقه جایی گرو باده و دفتر جایی Wed, 08 Oct 2008 07:16:20 +0000 http://wordpress.org/?v=abc By: شیدا » بالاترین و احترام به دیگر ادیان http://www.sheida.com/2007/10/07/%d8%a8%d8%a7%d9%84%d8%a7%d8%aa%d8%b1%db%8c%d9%86-%d8%a7%d8%ad%d8%aa%d8%b1%d8%a7%d9%85-%d9%85%d9%86-%da%a9%d9%88-%d8%9f/#comment-1028 شیدا » بالاترین و احترام به دیگر ادیان Sat, 13 Oct 2007 11:11:11 +0000 http://www.sheida.com/2007/10/07/%d8%a8%d8%a7%d9%84%d8%a7%d8%aa%d8%b1%db%8c%d9%86-%d8%a7%d8%ad%d8%aa%d8%b1%d8%a7%d9%85-%d9%85%d9%86-%da%a9%d9%88-%d8%9f/#comment-1028 [...] 10, 2007 | جشن, زرتشتی, ایرانی, تکنولوژی | نوشته : شیدا آن از لحن حرف زدنت و این هم لوگو عوض کردنت، چرا فکر نمی‌کنی اگر یک سوال از [...] [...] ۱۰, ۲۰۰۷ | جشن, زرتشتی, ایرانی, تکنولوژی | نوشته : شیدا آن از لحن حرف زدنت و این هم لوگو عوض کردنت، چرا فکر نمی‌کنی اگر یک سوال از [...]

]]> By: عزیز http://www.sheida.com/2007/10/07/%d8%a8%d8%a7%d9%84%d8%a7%d8%aa%d8%b1%db%8c%d9%86-%d8%a7%d8%ad%d8%aa%d8%b1%d8%a7%d9%85-%d9%85%d9%86-%da%a9%d9%88-%d8%9f/#comment-1024 عزیز Thu, 11 Oct 2007 23:48:43 +0000 http://www.sheida.com/2007/10/07/%d8%a8%d8%a7%d9%84%d8%a7%d8%aa%d8%b1%db%8c%d9%86-%d8%a7%d8%ad%d8%aa%d8%b1%d8%a7%d9%85-%d9%85%d9%86-%da%a9%d9%88-%d8%9f/#comment-1024 مرسی که منتشر شد. من متن رو ننوشته بودم ولی متن با اینکه حسن نیت داشت لحن خوبی نداشت متن را عوض کردم و کمی بیشتر توضیح دادم تا مشکل حل بشه. مرسی که اشاره کردی مرسی که منتشر شد. من متن رو ننوشته بودم ولی متن با اینکه حسن نیت داشت لحن خوبی نداشت متن را عوض کردم و کمی بیشتر توضیح دادم تا مشکل حل بشه. مرسی که اشاره کردی

]]> By: شیدا http://www.sheida.com/2007/10/07/%d8%a8%d8%a7%d9%84%d8%a7%d8%aa%d8%b1%db%8c%d9%86-%d8%a7%d8%ad%d8%aa%d8%b1%d8%a7%d9%85-%d9%85%d9%86-%da%a9%d9%88-%d8%9f/#comment-1023 شیدا Thu, 11 Oct 2007 22:13:07 +0000 http://www.sheida.com/2007/10/07/%d8%a8%d8%a7%d9%84%d8%a7%d8%aa%d8%b1%db%8c%d9%86-%d8%a7%d8%ad%d8%aa%d8%b1%d8%a7%d9%85-%d9%85%d9%86-%da%a9%d9%88-%d8%9f/#comment-1023 <p>مرسی عزیز جان بابت اطلاعاتی که دادی<br /> آن‌قدر اطلاعاتم قد نمی‌ده که بدانم salted چی هستش</p> <p>بحث من این بود که هنگامی که کاربر کلمه‌ی عبورش را انتخاب کرده کار قشنگی نیست که بیاییم و با ان نحوه‌ی بیان ازش بخواهیم که رمزش را عوض کنه</p> <p>بله شما حق دارید در صورتی که به سرورتان حمله شد حساب کاربری را که حمله کردید ببندید (چه هک شده باشه و چه نه) ولی فکر نکنم این درست باشه که به خاطر داشتن پسورد ساده حساب کاربری را ببندید. راستی خیلی خوشحالم که شنیدم "امنیت و حریم شخصی برای ما از همه چیز مهم تر است"</p> مرسی عزیز جان بابت اطلاعاتی که دادی
آن‌قدر اطلاعاتم قد نمی‌ده که بدانم salted چی هستش

بحث من این بود که هنگامی که کاربر کلمه‌ی عبورش را انتخاب کرده کار قشنگی نیست که بیاییم و با ان نحوه‌ی بیان ازش بخواهیم که رمزش را عوض کنه

بله شما حق دارید در صورتی که به سرورتان حمله شد حساب کاربری را که حمله کردید ببندید (چه هک شده باشه و چه نه) ولی فکر نکنم این درست باشه که به خاطر داشتن پسورد ساده حساب کاربری را ببندید.
راستی خیلی خوشحالم که شنیدم “امنیت و حریم شخصی برای ما از همه چیز مهم تر است”

]]> By: عزیز http://www.sheida.com/2007/10/07/%d8%a8%d8%a7%d9%84%d8%a7%d8%aa%d8%b1%db%8c%d9%86-%d8%a7%d8%ad%d8%aa%d8%b1%d8%a7%d9%85-%d9%85%d9%86-%da%a9%d9%88-%d8%9f/#comment-1022 عزیز Thu, 11 Oct 2007 22:07:46 +0000 http://www.sheida.com/2007/10/07/%d8%a8%d8%a7%d9%84%d8%a7%d8%aa%d8%b1%db%8c%d9%86-%d8%a7%d8%ad%d8%aa%d8%b1%d8%a7%d9%85-%d9%85%d9%86-%da%a9%d9%88-%d8%9f/#comment-1022 با تشکر از مانی عزیز به خاطر کامنت خوبش. هر چند امیدی ندارم شاهین عزیزم کامنت قبلی منو منتشر کنه. ما الان برای حفاظت از کاربرها چندین کار جدید کردیم. اولا اینکه لاگین روی ssl‌ رفته دوما اینکه با دو بار اشتباه زدن کلمه عبور باید Capcha‌ تست رو هم رد کنید. امنیت و حریم شخصی برای ما از همه چیز مهم تر است. با تشکر از مانی عزیز به خاطر کامنت خوبش. هر چند امیدی ندارم شاهین عزیزم کامنت قبلی منو منتشر کنه. ما الان برای حفاظت از کاربرها چندین کار جدید کردیم. اولا اینکه لاگین روی ssl‌ رفته دوما اینکه با دو بار اشتباه زدن کلمه عبور باید Capcha‌ تست رو هم رد کنید. امنیت و حریم شخصی برای ما از همه چیز مهم تر است.

]]> By: عزیز http://www.sheida.com/2007/10/07/%d8%a8%d8%a7%d9%84%d8%a7%d8%aa%d8%b1%db%8c%d9%86-%d8%a7%d8%ad%d8%aa%d8%b1%d8%a7%d9%85-%d9%85%d9%86-%da%a9%d9%88-%d8%9f/#comment-1021 عزیز Thu, 11 Oct 2007 21:56:31 +0000 http://www.sheida.com/2007/10/07/%d8%a8%d8%a7%d9%84%d8%a7%d8%aa%d8%b1%db%8c%d9%86-%d8%a7%d8%ad%d8%aa%d8%b1%d8%a7%d9%85-%d9%85%d9%86-%da%a9%d9%88-%d8%9f/#comment-1021 متاسفم شاهین جان. کلمه‌های عبور در بالاترین نه تنها hash شده است بلکه salted‌ هم هست. امیدوارم کمی در این مورد مطالعه کنی. ما تنها با query گرفتن می‌تونیم تنها کسایی که کلمه عبورشان برابر کلمه خاصی هست را پیدا کنیم. تاکید می‌کنم این کار تنها یک طرفه است یعنی نمی‌شود کلمه عبور کسی را دید و این کاری است که در تمام سرویس‌های وب دنیا امکان پذیر است (دقیقا همان کاری است که در هنگام ورود رخ می‌دهد و کلمه عبور شما در مقابل کلمه عبور کد شده در دیتابیس چک میشود) این کار تنها برای احترام به حریم شخصی و جلوگیری از دزدیده شدن حساب انجام شده. امیدوارم کمی بیشتر در این مورد مطالعه کنی و اگه مشکل شخصی با بالاترین داری اخلاقیات رو فراموش نکنی و دروغ منتشر نکنی که بعدا خودت شرمنده بشی. ممنونم. متاسفم شاهین جان. کلمه‌های عبور در بالاترین نه تنها hash شده است بلکه salted‌ هم هست. امیدوارم کمی در این مورد مطالعه کنی. ما تنها با query گرفتن می‌تونیم تنها کسایی که کلمه عبورشان برابر کلمه خاصی هست را پیدا کنیم. تاکید می‌کنم این کار تنها یک طرفه است یعنی نمی‌شود کلمه عبور کسی را دید و این کاری است که در تمام سرویس‌های وب دنیا امکان پذیر است (دقیقا همان کاری است که در هنگام ورود رخ می‌دهد و کلمه عبور شما در مقابل کلمه عبور کد شده در دیتابیس چک میشود) این کار تنها برای احترام به حریم شخصی و جلوگیری از دزدیده شدن حساب انجام شده. امیدوارم کمی بیشتر در این مورد مطالعه کنی و اگه مشکل شخصی با بالاترین داری اخلاقیات رو فراموش نکنی و دروغ منتشر نکنی که بعدا خودت شرمنده بشی. ممنونم.

]]> By: شیدا http://www.sheida.com/2007/10/07/%d8%a8%d8%a7%d9%84%d8%a7%d8%aa%d8%b1%db%8c%d9%86-%d8%a7%d8%ad%d8%aa%d8%b1%d8%a7%d9%85-%d9%85%d9%86-%da%a9%d9%88-%d8%9f/#comment-1020 شیدا Thu, 11 Oct 2007 21:55:35 +0000 http://www.sheida.com/2007/10/07/%d8%a8%d8%a7%d9%84%d8%a7%d8%aa%d8%b1%db%8c%d9%86-%d8%a7%d8%ad%d8%aa%d8%b1%d8%a7%d9%85-%d9%85%d9%86-%da%a9%d9%88-%d8%9f/#comment-1020 باهات موافقم با این حرفت کاملا موافقم : موقع انتخاب پسورد کمی بیشتر سخت گیری می کنند من هم منظورم این نبود که بالاترین این حق را نداره که از کاربرهایش بخواهد که پسورد مناسب انتخاب کنند ولی این حق را نداره که بعد از انتخاب پسورد به کاربرش بگوید که اگر پسوردت را عوض نکنی اکانتت را می‌بندم، چیزی که یکی از دوستان این چند مدت برایش پیش آمده درصورتی که پسوردی هم که استفاده می‌شده (طبق گفته‌ی خودش) پسورد آسانی هم نبوده با این هم که حتی هش باشند راه هست موافقم ولی بالاترین چه جوری می‌خواهد بفهمه که پسورد کی ساده بوده بعد از این که هش شده باشه و در دیتابیس ذخیره شده باشد (اگر این هش به نام کاربری هم مربوط باشه که دیگر غیر قابل حدس می‌شه) برای همین گفتم که بالاترین این حق را ندارد که این کار را بکنه باهات موافقم

با این حرفت کاملا موافقم : موقع انتخاب پسورد کمی بیشتر سخت گیری می کنند

من هم منظورم این نبود که بالاترین این حق را نداره که از کاربرهایش بخواهد که پسورد مناسب انتخاب کنند
ولی این حق را نداره که بعد از انتخاب پسورد به کاربرش بگوید که اگر پسوردت را عوض نکنی اکانتت را می‌بندم، چیزی که یکی از دوستان این چند مدت برایش پیش آمده درصورتی که پسوردی هم که استفاده می‌شده (طبق گفته‌ی خودش) پسورد آسانی هم نبوده

با این هم که حتی هش باشند راه هست موافقم ولی بالاترین چه جوری می‌خواهد بفهمه که پسورد کی ساده بوده بعد از این که هش شده باشه و در دیتابیس ذخیره شده باشد (اگر این هش به نام کاربری هم مربوط باشه که دیگر غیر قابل حدس می‌شه)
برای همین گفتم که بالاترین این حق را ندارد که این کار را بکنه

]]> By: مانی http://www.sheida.com/2007/10/07/%d8%a8%d8%a7%d9%84%d8%a7%d8%aa%d8%b1%db%8c%d9%86-%d8%a7%d8%ad%d8%aa%d8%b1%d8%a7%d9%85-%d9%85%d9%86-%da%a9%d9%88-%d8%9f/#comment-1019 مانی Thu, 11 Oct 2007 20:20:46 +0000 http://www.sheida.com/2007/10/07/%d8%a8%d8%a7%d9%84%d8%a7%d8%aa%d8%b1%db%8c%d9%86-%d8%a7%d8%ad%d8%aa%d8%b1%d8%a7%d9%85-%d9%85%d9%86-%da%a9%d9%88-%d8%9f/#comment-1019 من با استدلال شما موافق نیستم. حتی اگر کلمات عبور هش هم بشند باز هم راه هست که برای بالاترین مشکل ایجاد کرد. ببینید ... این می تونه روند کار یک اسکریپت ساده پرل/پایتون/پی اچ پی باشه : 1. صفحات بالاترین رو تا 2 سطح داخلی بگرد. 2. طبق ساختار صفحات اسامی کاربران بالاترین رو پیدا کن. (با استفاده از regex کار سختی نیست) فرض کن تا این مرحله n تا نام کاربری پیدا می شه، 3. برای هر نام کاربری کلمات عبور ساده رو امتحان کن و سعی کن که لاگین کنی. 4. در صورت موفقیت نام کاربری رو به لیست اضافه کن. حالا کسایی که نام کاربریشون و پسوردشون یکی باشه یا کلمات عبورشون ساده باشه، پسوردشون لو می ره. 5. یه اسکریپت دیگه از این لیست استفاده می کنه و تو بالاترین با اکانت این کاربرها خرابکاری می کنه. نوشتن چنین اسکریپتی با استفاده از PHP و class-snoopy یک روز هم طول نمی کشه. برای اجراش هم، یه سرور خوب با اینترنت پرسرعت می تونه میلیونها درخواست ارسال کنه. با این حساب، بهتره که کاربرهای بالاترین کلمات عبورشون رو پیچیده انتخاب کنند تا مشکلی به وجود نیاد. برای حل این مشکل چند تا راه هست، یکیش مثلا می تونه On The Fly Hashing باشه. یکی دیگه می تونه این باشه که اگر کاربری 3 بار کلمه عبورش رو اشتباه زد، یه Image Verification اجرا بشه. گوگل از روش دوم استفاده می کنه. خیلی از سایت های بزرگ هم موقع انتخاب پسورد کمی بیشتر سخت گیری می کنند. من با استدلال شما موافق نیستم. حتی اگر کلمات عبور هش هم بشند باز هم راه هست که برای بالاترین مشکل ایجاد کرد.

ببینید … این می تونه روند کار یک اسکریپت ساده پرل/پایتون/پی اچ پی باشه :

۱. صفحات بالاترین رو تا ۲ سطح داخلی بگرد.
۲. طبق ساختار صفحات اسامی کاربران بالاترین رو پیدا کن. (با استفاده از regex کار سختی نیست)

فرض کن تا این مرحله n تا نام کاربری پیدا می شه،

۳. برای هر نام کاربری کلمات عبور ساده رو امتحان کن و سعی کن که لاگین کنی.
۴. در صورت موفقیت نام کاربری رو به لیست اضافه کن.

حالا کسایی که نام کاربریشون و پسوردشون یکی باشه یا کلمات عبورشون ساده باشه، پسوردشون لو می ره.

۵. یه اسکریپت دیگه از این لیست استفاده می کنه و تو بالاترین با اکانت این کاربرها خرابکاری می کنه.

نوشتن چنین اسکریپتی با استفاده از PHP و class-snoopy یک روز هم طول نمی کشه.

برای اجراش هم، یه سرور خوب با اینترنت پرسرعت می تونه میلیونها درخواست ارسال کنه.

با این حساب، بهتره که کاربرهای بالاترین کلمات عبورشون رو پیچیده انتخاب کنند تا مشکلی به وجود نیاد.

برای حل این مشکل چند تا راه هست، یکیش مثلا می تونه On The Fly Hashing باشه. یکی دیگه می تونه این باشه که اگر کاربری ۳ بار کلمه عبورش رو اشتباه زد، یه Image Verification اجرا بشه.

گوگل از روش دوم استفاده می کنه.

خیلی از سایت های بزرگ هم موقع انتخاب پسورد کمی بیشتر سخت گیری می کنند.

]]> By: سینا حسین زاده http://www.sheida.com/2007/10/07/%d8%a8%d8%a7%d9%84%d8%a7%d8%aa%d8%b1%db%8c%d9%86-%d8%a7%d8%ad%d8%aa%d8%b1%d8%a7%d9%85-%d9%85%d9%86-%da%a9%d9%88-%d8%9f/#comment-1017 سینا حسین زاده Wed, 10 Oct 2007 07:47:49 +0000 http://www.sheida.com/2007/10/07/%d8%a8%d8%a7%d9%84%d8%a7%d8%aa%d8%b1%db%8c%d9%86-%d8%a7%d8%ad%d8%aa%d8%b1%d8%a7%d9%85-%d9%85%d9%86-%da%a9%d9%88-%d8%9f/#comment-1017 اذیت که نمیکنه ولی جلوی پیشرفت بلاگ رو میگیره. به نظر میرسه تو ایران زندگی نمیکنی چون فید انگلیسی انداختی و در کل اخلاق بلاگ نویسی ایرانی رو نداری! اذیت که نمیکنه ولی جلوی پیشرفت بلاگ رو میگیره. به نظر میرسه تو ایران زندگی نمیکنی چون فید انگلیسی انداختی و در کل اخلاق بلاگ نویسی ایرانی رو نداری!

]]> By: حامد http://www.sheida.com/2007/10/07/%d8%a8%d8%a7%d9%84%d8%a7%d8%aa%d8%b1%db%8c%d9%86-%d8%a7%d8%ad%d8%aa%d8%b1%d8%a7%d9%85-%d9%85%d9%86-%da%a9%d9%88-%d8%9f/#comment-1015 حامد Tue, 09 Oct 2007 13:13:34 +0000 http://www.sheida.com/2007/10/07/%d8%a8%d8%a7%d9%84%d8%a7%d8%aa%d8%b1%db%8c%d9%86-%d8%a7%d8%ad%d8%aa%d8%b1%d8%a7%d9%85-%d9%85%d9%86-%da%a9%d9%88-%d8%9f/#comment-1015 به نکته جالبی اشاره کردید. فکر میکنم کم کم همه دارن به این نتیجه میرسن که بالاترین راه خودشو گم کرده یا لااقل اشتباهاتش زیاد شده. به نکته جالبی اشاره کردید. فکر میکنم کم کم همه دارن به این نتیجه میرسن که بالاترین راه خودشو گم کرده یا لااقل اشتباهاتش زیاد شده.

]]> By: شیدا http://www.sheida.com/2007/10/07/%d8%a8%d8%a7%d9%84%d8%a7%d8%aa%d8%b1%db%8c%d9%86-%d8%a7%d8%ad%d8%aa%d8%b1%d8%a7%d9%85-%d9%85%d9%86-%da%a9%d9%88-%d8%9f/#comment-1014 شیدا Tue, 09 Oct 2007 11:29:15 +0000 http://www.sheida.com/2007/10/07/%d8%a8%d8%a7%d9%84%d8%a7%d8%aa%d8%b1%db%8c%d9%86-%d8%a7%d8%ad%d8%aa%d8%b1%d8%a7%d9%85-%d9%85%d9%86-%da%a9%d9%88-%d8%9f/#comment-1014 چرا ؟ اذیت می‌کنه ؟ یا این که مشکل در بارگذاری صفحه به وجود می‌آورد ؟ چرا ؟ اذیت می‌کنه ؟ یا این که مشکل در بارگذاری صفحه به وجود می‌آورد ؟

]]>