بالاترین احترام من کو ؟
شما هم حتما تذکر پایین را دیدهاید ؟ خیلی درخواست سادهای به نظر میآید ولی اگر دقیق بهش فکر کنید بالاترین دارد به حریم شخصی من و تو وارد میشه و به خودش اجازه میدهد که کاربرانی را که رمز عبورشان یک سری عبارات خاص میباشد مجبور و وادار به عوض کردن آنها بکند.
معمولا دو راه برای استفاده از رمز عبور در وب سایتها وجود دارد یکی این که قبل از این که پسورد وارد دیتابیس سایت بشود Hash میشود (Hash روشی است که باعث میشود رمز عبور شما را کسی نتواند بخواند و تبدیل به یک سری عبارات خاص میکند و ویژگیاش اینه که برگشتپذیر نیست یعنی اگر کسی Hash شدهی رمز عبور شما را بداند احتمال به دست آوردن رمز اولیه نزدیک به صفر میباشد)، در این حالت دارندهی سایت و مدیر سایت نیز نمیتواند حدس بزند که کدام رمز عبور Hash شده مثلا رمز عبور ۱۲۳ بوده است.
روش دیگر این است که رمز عبور را به صورت غیر Hashشده در دیتابیس سایت نگه داریم در این روش به راحتی میتوان رمز عبور کاربر را خواند و اگر شما هم مثل من رمز عبور اکثر سایتهایی که استفاده میکنید یکی باشد، مدیر سایت بالاترین به راحتی میتواند با خواندن آن رمز عبور و رفتن به دیگر سایتها از حساب کاربری من در دیگر سایتها استفاده کند.
این چیزی است که بالاترین را باز به یک سایت تماما ایرانی تبدیل میکند، استفاده نکردن از روشهای درست نگهداری اطلاعات کاربران و لحن حرف زدن خصمانه با آنها : “باید رمز عبورتان را عوض کنید”.
پس نوشت : به دلیل توضیحات مدیر بالاترین (عزیز) قسمتی از متن، حذف شد
Loading ...
بله. توابع یک طرفه ی هاش دیگه خیلی مرسوم هستند. یادمه چند سال پیش در موردش مقاله یی خونده بودم. متاسفم که هنوز سایت های ایرانی امنیتشان را وابسته به تعیین کلمات عبور سنگین و دشوار هستند
من خودم از ام۵ استفاده کردم و حرفی که در مورد بالاترین زدی کاملا اشتباه است چون می شود عدد ۱۲۳ را به تابع داد و خروجی را گرفت و در پسوردها گشت و پسوردهایی که خروجیشان هش شده ۱۲۳ است رو پیدا کرد.
ولی اگر دو تا ۱۲۳ باشه که نمیشه که
و برای بالاترین فکر کنم این جوری باشه
دوما آنی که پسورد ساده انتخاب کرده آره حقشه که اطلاعاتش لو بره ولی کسی که پسورد انتخاب میکنه انتظار داره امنیتش از طرف سایت تضمین شه
ثانیا مگر کسی به جز بالاترینها به دیتابیس سایت دسترسی دارند که نگران این باشند که با جستجوی ۱۲۳ هش شده بتوانند کاربران را هک کنند، اگر این طوری باشه که واقعا بالاترین تعطیله
جالب بود. یک سوال… این همه لینک توی این بغل به نظرتون لازمه؟
چرا ؟ اذیت میکنه ؟ یا این که مشکل در بارگذاری صفحه به وجود میآورد ؟
به نکته جالبی اشاره کردید. فکر میکنم کم کم همه دارن به این نتیجه میرسن که بالاترین راه خودشو گم کرده یا لااقل اشتباهاتش زیاد شده.
اذیت که نمیکنه ولی جلوی پیشرفت بلاگ رو میگیره. به نظر میرسه تو ایران زندگی نمیکنی چون فید انگلیسی انداختی و در کل اخلاق بلاگ نویسی ایرانی رو نداری!
من با استدلال شما موافق نیستم. حتی اگر کلمات عبور هش هم بشند باز هم راه هست که برای بالاترین مشکل ایجاد کرد.
ببینید … این می تونه روند کار یک اسکریپت ساده پرل/پایتون/پی اچ پی باشه :
۱. صفحات بالاترین رو تا ۲ سطح داخلی بگرد.
۲. طبق ساختار صفحات اسامی کاربران بالاترین رو پیدا کن. (با استفاده از regex کار سختی نیست)
فرض کن تا این مرحله n تا نام کاربری پیدا می شه،
۳. برای هر نام کاربری کلمات عبور ساده رو امتحان کن و سعی کن که لاگین کنی.
۴. در صورت موفقیت نام کاربری رو به لیست اضافه کن.
حالا کسایی که نام کاربریشون و پسوردشون یکی باشه یا کلمات عبورشون ساده باشه، پسوردشون لو می ره.
۵. یه اسکریپت دیگه از این لیست استفاده می کنه و تو بالاترین با اکانت این کاربرها خرابکاری می کنه.
نوشتن چنین اسکریپتی با استفاده از PHP و class-snoopy یک روز هم طول نمی کشه.
برای اجراش هم، یه سرور خوب با اینترنت پرسرعت می تونه میلیونها درخواست ارسال کنه.
با این حساب، بهتره که کاربرهای بالاترین کلمات عبورشون رو پیچیده انتخاب کنند تا مشکلی به وجود نیاد.
برای حل این مشکل چند تا راه هست، یکیش مثلا می تونه On The Fly Hashing باشه. یکی دیگه می تونه این باشه که اگر کاربری ۳ بار کلمه عبورش رو اشتباه زد، یه Image Verification اجرا بشه.
گوگل از روش دوم استفاده می کنه.
خیلی از سایت های بزرگ هم موقع انتخاب پسورد کمی بیشتر سخت گیری می کنند.
باهات موافقم
با این حرفت کاملا موافقم : موقع انتخاب پسورد کمی بیشتر سخت گیری می کنند
من هم منظورم این نبود که بالاترین این حق را نداره که از کاربرهایش بخواهد که پسورد مناسب انتخاب کنند
ولی این حق را نداره که بعد از انتخاب پسورد به کاربرش بگوید که اگر پسوردت را عوض نکنی اکانتت را میبندم، چیزی که یکی از دوستان این چند مدت برایش پیش آمده درصورتی که پسوردی هم که استفاده میشده (طبق گفتهی خودش) پسورد آسانی هم نبوده
با این هم که حتی هش باشند راه هست موافقم ولی بالاترین چه جوری میخواهد بفهمه که پسورد کی ساده بوده بعد از این که هش شده باشه و در دیتابیس ذخیره شده باشد (اگر این هش به نام کاربری هم مربوط باشه که دیگر غیر قابل حدس میشه)
برای همین گفتم که بالاترین این حق را ندارد که این کار را بکنه
متاسفم شاهین جان. کلمههای عبور در بالاترین نه تنها hash شده است بلکه salted هم هست. امیدوارم کمی در این مورد مطالعه کنی. ما تنها با query گرفتن میتونیم تنها کسایی که کلمه عبورشان برابر کلمه خاصی هست را پیدا کنیم. تاکید میکنم این کار تنها یک طرفه است یعنی نمیشود کلمه عبور کسی را دید و این کاری است که در تمام سرویسهای وب دنیا امکان پذیر است (دقیقا همان کاری است که در هنگام ورود رخ میدهد و کلمه عبور شما در مقابل کلمه عبور کد شده در دیتابیس چک میشود) این کار تنها برای احترام به حریم شخصی و جلوگیری از دزدیده شدن حساب انجام شده. امیدوارم کمی بیشتر در این مورد مطالعه کنی و اگه مشکل شخصی با بالاترین داری اخلاقیات رو فراموش نکنی و دروغ منتشر نکنی که بعدا خودت شرمنده بشی. ممنونم.
با تشکر از مانی عزیز به خاطر کامنت خوبش. هر چند امیدی ندارم شاهین عزیزم کامنت قبلی منو منتشر کنه. ما الان برای حفاظت از کاربرها چندین کار جدید کردیم. اولا اینکه لاگین روی ssl رفته دوما اینکه با دو بار اشتباه زدن کلمه عبور باید Capcha تست رو هم رد کنید. امنیت و حریم شخصی برای ما از همه چیز مهم تر است.
مرسی عزیز جان بابت اطلاعاتی که دادی
آنقدر اطلاعاتم قد نمیده که بدانم salted چی هستش
بحث من این بود که هنگامی که کاربر کلمهی عبورش را انتخاب کرده کار قشنگی نیست که بیاییم و با ان نحوهی بیان ازش بخواهیم که رمزش را عوض کنه
بله شما حق دارید در صورتی که به سرورتان حمله شد حساب کاربری را که حمله کردید ببندید (چه هک شده باشه و چه نه) ولی فکر نکنم این درست باشه که به خاطر داشتن پسورد ساده حساب کاربری را ببندید.
راستی خیلی خوشحالم که شنیدم “امنیت و حریم شخصی برای ما از همه چیز مهم تر است”
مرسی که منتشر شد. من متن رو ننوشته بودم ولی متن با اینکه حسن نیت داشت لحن خوبی نداشت متن را عوض کردم و کمی بیشتر توضیح دادم تا مشکل حل بشه. مرسی که اشاره کردی