ارسال اطلاعات محرمانه برای مشتریان به صورت امن

**mbsmt** · March 26th, 2015, 16:39

دوستان سلام.
همونطور که می دونید، شرکت ها و تیم های ارائه دهنده خدمات میزبانی وب همه روزه به تیکت های مختلفی از مشتریانشون جواب میدن و قسمت مهم و زیادی از این تیکت ها مربوط میشه به ارسال مجدد کلمات عبور (password) و مواردی مثل اون که به لحاظ امنیتی، جزو اطلاعات محرمانه به حساب میان.
این اطلاعات محرمانه در صورت باقی موندن در آرشیو بانک های اطلاعاتی، ایمیل ها و یا سیستم های تیکتینگ ممکن هست علیرغم امنیت بالای این سیستم ها، روزی توسط افراد غیر مجازی مورد سوء استفاده قرار بگیره.
برای جلوگیری از این مشکل، وب سایت سکرت اینفو (https://secretinfo.ir) راه اندازی شده که می تونید این اطلاعات محرمانه رو از طریق اون، ضمن رمزنگاری کردن، به شکل یک لینک یک بار مصرف در بیارید و این لینک رو به جای اطلاعات محرمانه خام برای مشتریان ارسال کنید. اطلاعات مرتبط با این لینک بعد از اولین بار دیده شدن، برای همیشه از بانک اطلاعاتی سایت حذف میشن و دیگه قابل دسترس و نمایش نیستن.
ممکن هست براتون این سئوال پیش بیاد که چجوری میشه به این سایت اعتماد کرد و یا اینکه به چه روش هایی از این اطلاعات محافظت میشه. جواب تمام این سئوالات رو می تونید در این سایت مشاهده کنید.
موفق و سربلند باشید.

**ali0000** · March 26th, 2015, 16:45

سلام و درود
ضمن آرزوی موفقیت برای شما
از نظر بنده هر لینک خروجی از سایت یعنی 1 امتیاز منفی و کاهش امنیت ، جدا از بحثی که نوع ارتباط بین کلاینت و سرور و عکس اون چیه و بر چه اساس و الگوریتمی ارتباط بر قرار میشه مهمترین مسئله جلوگیری از خروج اطلاعات مهم از دیتابیس و داخل سایته حال میخواد کد شده باشه یا خیر بهترین روش بالا بردن امنیت و جلوگیری از راههای نفوذ هست و همین شیوه رمز نگاری و کد کردن اطلاعات رو میشه بروی خود سایت اعمال کرد

**mbsmt** · March 26th, 2015, 16:53

نوشته اصلی توسط ali0000

سلام و درود
ضمن آرزوی موفقیت برای شما
از نظر بنده هر لینک خروجی از سایت یعنی 1 امتیاز منفی و کاهش امنیت ، جدا از بحثی که نوع ارتباط بین کلاینت و سرور و عکس اون چیه و بر چه اساس و الگوریتمی ارتباط بر قرار میشه مهمترین مسئله جلوگیری از خروج اطلاعات مهم از دیتابیس و داخل سایته حال میخواد کد شده باشه یا خیر بهترین روش بالا بردن امنیت و جلوگیری از راههای نفوذ هست و همین شیوه رمز نگاری و کد کردن اطلاعات رو میشه بروی خود سایت اعمال کرد

درسته دوست عزیزم. این سایت بر این اساس کار می کنه که به جای اطلاعات خام، که اگر کسی به اونها به هر روشی دسترسی پیدا کنه می تونه خیلی راحت ازشون استفاده کنه، یک لینک یک بار مصرف ارائه میده که بعد از بار اول دیگه قابل استفاده نیست. به عبارت دیگه شما می تونید بین اینکه اطلاعاتتون رو خام ارسال کنید، یا اینکه حداقل یک مرحله به امنیت و سطح محافظتی از اونها اضافه کنید ، یکی رو انتخاب کنید. روش ساده، یا یک روش حداقل یکم پیچیده تر.
از طرف دیگه فرض کنید قرار هست شما یک نام کاربری و کلمه عبور رو برای کسی ارسال کنید. اگر شما از طریق این سیستم فقط کلمه عبور خودتون رو به لینک رمز تبدیل کنید، و به فرض اینکه کسی هم به این اطلاعات رمز شده دسترسی پیدا کنه و اون رو رمزگشایی کنه، صرف داشتن یک رشته متنی که معلوم نیست چی هست، کجا باید ازش استفاده بشه و اطلاعات مرتبط با اون چی هست، فایده ای برای کسی نداره.

**sajjadsec** · March 26th, 2015, 17:53

عزیز شما نوشتید اطلاعات رمز نگاری میشن در حالی که ورودی اولیه و خروجی پایانی رمزنگاری نشده خوب پس این رمز نگاری که عرض کردید رمزنگاری یک طرفه نیست و قابل بازگشایی هست.
این که شما هرگز نمیتونید هیچ اطلاعاتی رو به طور کامل حذف کنید یک طرف اینکه پکت های ارسالی سایتتون شنود بشوند یک طرف اینکه به سایت شما نفوذ کنند یک طرف همه اینها یک طرف اما شما چه تضمینی میدید که این اطلاعات که رمزنگاری شده و از حالت رمز در اومده و در صفحه ای برای کاربر به نمایش در میاد جای دیگه ای سیو نمیشه ‌؟ بک لینک ها به شکل رندوم ساخته میشوند ؟‌ به چه شکلی میخواید از حملات csrf به سایتتون جلوگیری کنید ؟ همین که پستتون رو میخوندم و سایتتون رو میدیدم یک سناریو حمله در ذهن من که کلا از هکینگ به دور هستم ایجاد شد حالا فکر کنید این سایت پابلیک شما رو هر کسی میتونه ببینه و سناریو های بسیار قشنگ تر و کامل تری میرسه به ذهنشون ...
ممنون میشم پاسخ بدید.

**mbsmt** · March 26th, 2015, 19:55

نوشته اصلی توسط sajjadsec

عزیز شما نوشتید اطلاعات رمز نگاری میشن در حالی که ورودی اولیه و خروجی پایانی رمزنگاری نشده خوب پس این رمز نگاری که عرض کردید رمزنگاری یک طرفه نیست و قابل بازگشایی هست.
این که شما هرگز نمیتونید هیچ اطلاعاتی رو به طور کامل حذف کنید یک طرف اینکه پکت های ارسالی سایتتون شنود بشوند یک طرف اینکه به سایت شما نفوذ کنند یک طرف همه اینها یک طرف اما شما چه تضمینی میدید که این اطلاعات که رمزنگاری شده و از حالت رمز در اومده و در صفحه ای برای کاربر به نمایش در میاد جای دیگه ای سیو نمیشه ‌؟ بک لینک ها به شکل رندوم ساخته میشوند ؟‌ به چه شکلی میخواید از حملات csrf به سایتتون جلوگیری کنید ؟ همین که پستتون رو میخوندم و سایتتون رو میدیدم یک سناریو حمله در ذهن من که کلا از هکینگ به دور هستم ایجاد شد حالا فکر کنید این سایت پابلیک شما رو هر کسی میتونه ببینه و سناریو های بسیار قشنگ تر و کامل تری میرسه به ذهنشون ...
ممنون میشم پاسخ بدید.

سلام دوست من.
همونطور که فرمودید، روشی که در این سیستم استفاده شده، یک روش رمزنگاری دو طرفه هست. یعنی میشه از روی رمز اصل محتوا رو برگردوند. ذات این سیستم هم باید همینجوری باشه. اگرنه چجوری باید اطلاعات ارسالی شما به مخاطبتون نمایش داده بشه ؟ برای توضیحات بیشتر لطفا این لینک رو مطالعه بفرمایید.
نکته دیگه این هست که در این سایت از روش های مختلفی برای محافظت از اطلاعات و همچنین خود هسته نرم افزاری استفاده شده. برای این موضوع لطفا صفحه https://secretinfo.ir/how/ رو مشاهده کنید.
و اما در مورد اینکه چرا باید به این سایت اعتماد کنین ... جواب این سئوال هم در https://secretinfo.ir/why/ وجود داره.
سایر اطلاعات و نحوه عملکرد وب سایت رو به دلیل مسائل امنیتی نمی تونم توضیح بدم.
همونجوری که اشاره کردید، حملات زیادی ممکن هست روی این وب سایت رخ بده که csrf فقط یکی از اونهاست. در طراحی این سایت سعی شده تا حد امکان از تکنیک های مختلف برای جلوگیری از نفوذ استفاده بشه، ولی این سایت که هیچ، سایت های بزرگترین کمپانی ها و سازمانهای دنیا هم هک می تونن بشن. بنابراین هیچ گارانتی 100% برای حفظ امنیت این سایت و هیچ سایت دیگه ای وجود نداره. بنابراین انتخاب با خود استفاده کنندگان از این سایت هست. می تونن اطلاعات محرمانه خودشون رو به صورت plain text برای سایرین ارسال کنن. یا اینکه از این سایت استفاده کنن. سعی ما این هست که یک سایت مطمئن داشته باشیم، همونطور که خدا رو شکر تا الان هم شرکت های خوبی به استفاده از اون روی آوردن. اما مسئولیت کامل استفاده از این سرویس با استفاده کنندگانش هست

ممنونم که به این پست توجه و در مورد نظر داده بودین

**sajjadsec** · March 26th, 2015, 20:25

نیازی به لینک ویکی پدیا نبود بنده منظورم این نبوده که یک طرفه باشه این کار منظور من این بود که اگر به هر نحوی یک شخص سوم بیاد بین سرور شما و شخص دومی که قراره اطلاعات بهش برسه قرار بگیره اون شخص خیلی راحت میتونه الگوریتم رمزنگاری شما رو بشکنه ...
از میون اون حملات بنده csrf رو نام بردم چون بارز ترین حمله ای که برای شما میشه در نظر گرفت همین هست زیرا که تنها عاملی که باعث دیده شدن اطلاعات میشه یک بک لینک + یک رمز هست که اونم اختیاری هست.
بنده یک نگاهی به سایت شما انداختم بار اول اطلاعات رو بدون رمز وارد کردن زدم و بعد از مشاهده خودکار پاک شد بک لینک اما وقتی رمز گذاشتم و دو بار رمز رو اشتباه زدم بک لینک پاک نشده بود لینک وجود داشت و باز هم پسورد دریافت میکرد اما بعد از وارد کردن پسورد درست رفرش میشد بر روی ایندکس لطفا بررسی بفرمایید.

**jahromweb** · March 26th, 2015, 20:30

باسلام
تلاش های شما قابل تقدیر است اما لطفا یک چیز را هم به یاد داشته باشید(بسیار عذر میخواهم که این طور رک میگویم!!):
استفاده از سایت شما برای تیکت هایی که شامل رمز هستند درست مثل قرار دادن اموال در گاوصندوق یک غریبه است.
شاید ان گاوصندوق را د زد نتواند باز کند اما فرد غربیه با کلیدی که دارد میتواند به راحتی ان را باز کند و از پول شما استفاده کند.
-------------------------------------------------
همچنین در whmcs مواردی مثل رمز سرور اصلی و ... نیز موجود است و خیلی موارد دیگر درصورت هک شدن و پیدا شدن رمز سرور ها در 99 درصد اوقات هکر نیازی به رمز کاربران ندارد و کار تمام است
به نظرم استفاده از سیستم شما ریسک بالایی دارد مگر این که کاملا اعتماد سازی صورت گیرد
انشاالله که دلگیر نشده باشید
شب خوش

**mbsmt** · March 26th, 2015, 23:34

نوشته اصلی توسط sajjadsec

نیازی به لینک ویکی پدیا نبود بنده منظورم این نبوده که یک طرفه باشه این کار منظور من این بود که اگر به هر نحوی یک شخص سوم بیاد بین سرور شما و شخص دومی که قراره اطلاعات بهش برسه قرار بگیره اون شخص خیلی راحت میتونه الگوریتم رمزنگاری شما رو بشکنه ...
از میون اون حملات بنده csrf رو نام بردم چون بارز ترین حمله ای که برای شما میشه در نظر گرفت همین هست زیرا که تنها عاملی که باعث دیده شدن اطلاعات میشه یک بک لینک + یک رمز هست که اونم اختیاری هست.
بنده یک نگاهی به سایت شما انداختم بار اول اطلاعات رو بدون رمز وارد کردن زدم و بعد از مشاهده خودکار پاک شد بک لینک اما وقتی رمز گذاشتم و دو بار رمز رو اشتباه زدم بک لینک پاک نشده بود لینک وجود داشت و باز هم پسورد دریافت میکرد اما بعد از وارد کردن پسورد درست رفرش میشد بر روی ایندکس لطفا بررسی بفرمایید.

از بابت موردی که دیده بودین و اعلام کردین ممنونم. رفع کردمش
در مورد شنود دیتا بین سرور و کلاینت سعی شده از طریق ssl تا حد امکان، اطلاعات به صورت امن منتقل بشه در این بین. ولی همونطور که عرض کردم به هیچ وجه نمیشه امنیت هیچ سیستمی رو 100% تضمین کرد
و اما کلید رمزگشایی ...
کلید بازگشایی رمز اختیاری هست، اما توصیه شده از اون تا حد امکان برای سخت تر شدن عملیات رمزگشایی استفاده بشه. اگر اطلاعات خیلی محرمانه نیست و یا کاربر تمایلی به افزایش امنیت پیش فرض سیستم نداره، به دلخواه خودش این مورد رو استفاده نمی کنه.

- - - Updated - - -

نوشته اصلی توسط jahromweb

باسلام
تلاش های شما قابل تقدیر است اما لطفا یک چیز را هم به یاد داشته باشید(بسیار عذر میخواهم که این طور رک میگویم!!):
استفاده از سایت شما برای تیکت هایی که شامل رمز هستند درست مثل قرار دادن اموال در گاوصندوق یک غریبه است.
شاید ان گاوصندوق را د زد نتواند باز کند اما فرد غربیه با کلیدی که دارد میتواند به راحتی ان را باز کند و از پول شما استفاده کند.
-------------------------------------------------
همچنین در whmcs مواردی مثل رمز سرور اصلی و ... نیز موجود است و خیلی موارد دیگر درصورت هک شدن و پیدا شدن رمز سرور ها در 99 درصد اوقات هکر نیازی به رمز کاربران ندارد و کار تمام است
به نظرم استفاده از سیستم شما ریسک بالایی دارد مگر این که کاملا اعتماد سازی صورت گیرد
انشاالله که دلگیر نشده باشید
شب خوش

دوست عزیزم، jahromweb
ممنونم که به این پست لطف داشتی و اون رو بررسی و مشاهده کردی
من یه بار دیگه مثالی رو که می زنم تکرار می کنم تا متوجه بشی که این سایت مشکل امنیتی برای شما و مشتریانتون ایجاذ نمی کنه

من مشتری شما هستم و از شما اطلاعات ورود به پنل ادمینم رو درخواست کردم. شما در جواب تیکت من، نام کاربری من رو به صورت خام (plain text) برام ارسال می کنی، اما برای رمز عبور از secretinfo.ir استفاده می کنی. این اطلاعات برای من از طریق تیکت (یا ایمیل) ارسال میشه. اما چه اطلاعاتی در سکرت اینفو ثبت شده ؟ فقط یک رمز عبور ...
خوب حالا در بدترین حالت، به فرض اینکه این سایت هک بشه یا کسی بخواد از اطلاعات اون سوء استفاده کنه، فقط یک رمز عبور از شما دستش هست. حالا سئوال اینه: این رمز عبور مربوط به ورود به چه سیستمی هست؟ کلمه عبور مرتبط باهاش چیه؟ برای استفاده از اون باید وارد چه صفحه لاگینی و در چه آدرسی شد؟ و ...
همونطور که می بینی، صرف داشتن یک سری اطلاعات رمز گشایی شده، به شرط اینکه شما همه اطلاعات مرتبط با هم رو در یک لحظه رمز نکرده باشی (همونطور که در سایت اکیداً توصیه شده)، به هیچ دردی نمی خوره ...
در این سایت تا حد امکان سعی شده از روش ها و ابزارهایی استفاده بشه که اعتماد سازی رو بیشتر کنه برای استفاده کنندگانش. اما در هر حال انتخاب با خود کاربران هست ...

امیدوارم تونسته باشم پاسخ بدم به موردی که بیان کرده بودی

**reza21biologist** · March 30th, 2015, 12:50

سلام
بهتون تبریک می گم برای داشتن این سایت و امیدوارم در آینده ای نزدیک شاهد پیشرفت آن در سرویس هایی که ارائه می کند باشیم
با تشکر

**us12** · March 30th, 2015, 23:03

ایده جالبی است به شرط اینکه گیرنده بعد از دیدن پسورد اون را کپی نکنه داخل فایل تکس و در یک مکان نا امن ذخیره اش نکنه

ولی حتما از کد کپتچا استفاده کنید ربات ها در کمین هستند

موضوع: ارسال اطلاعات محرمانه برای مشتریان به صورت امن

ابزارهای موضوع

نحوه نمایش موضوع

ارسال اطلاعات محرمانه برای مشتریان به صورت امن

پاسخ : ارسال اطلاعات محرمانه برای مشتریان به صورت امن

پاسخ : ارسال اطلاعات محرمانه برای مشتریان به صورت امن

تعداد تشکر ها از mbsmt به دلیل پست مفید

پاسخ : ارسال اطلاعات محرمانه برای مشتریان به صورت امن

تعداد تشکر ها از sajjadsec به دلیل پست مفید

پاسخ : ارسال اطلاعات محرمانه برای مشتریان به صورت امن

تعداد تشکر ها از mbsmt به دلیل پست مفید

پاسخ : ارسال اطلاعات محرمانه برای مشتریان به صورت امن

پاسخ : ارسال اطلاعات محرمانه برای مشتریان به صورت امن

تعداد تشکر ها از jahromweb به دلیل پست مفید

پاسخ : ارسال اطلاعات محرمانه برای مشتریان به صورت امن

تعداد تشکر ها ازmbsmt به دلیل پست مفید

پاسخ : ارسال اطلاعات محرمانه برای مشتریان به صورت امن

پاسخ : ارسال اطلاعات محرمانه برای مشتریان به صورت امن

اطلاعات موضوع

کاربرانی که در حال مشاهده این موضوع هستند

موضوعات مشابه

افزونه ی افزایش دسترسی به صورت دستی - نزول دسترسی به صورت اتوماتیک برای وردپرس

درخواست پرداخت صورت حساب PayPal بصورت سند ماني

آموزش بکاپ گیری به صورت روزانه از دیتابیس و صورت هفنگی از فایل ها

پلن ها در whcms نه بصورت خودکار ونه بصورت دستی (create) ایجاد نمیشه

مجوز های ارسال و ویرایش