دوستان سلام.
همونطور که می دونید، شرکت ها و تیم های ارائه دهنده خدمات میزبانی وب همه روزه به تیکت های مختلفی از مشتریانشون جواب میدن و قسمت مهم و زیادی از این تیکت ها مربوط میشه به ارسال مجدد کلمات عبور (password) و مواردی مثل اون که به لحاظ امنیتی، جزو اطلاعات محرمانه به حساب میان.
این اطلاعات محرمانه در صورت باقی موندن در آرشیو بانک های اطلاعاتی، ایمیل ها و یا سیستم های تیکتینگ ممکن هست علیرغم امنیت بالای این سیستم ها، روزی توسط افراد غیر مجازی مورد سوء استفاده قرار بگیره.
برای جلوگیری از این مشکل، وب سایت سکرت اینفو (https://secretinfo.ir (https://secretinfo.ir/?utm_source=webhostingtalk&utm_medium=post&utm_campaign=promo)) راه اندازی شده که می تونید این اطلاعات محرمانه رو از طریق اون، ضمن رمزنگاری کردن، به شکل یک لینک یک بار مصرف در بیارید و این لینک رو به جای اطلاعات محرمانه خام برای مشتریان ارسال کنید. اطلاعات مرتبط با این لینک بعد از اولین بار دیده شدن، برای همیشه از بانک اطلاعاتی سایت حذف میشن و دیگه قابل دسترس و نمایش نیستن.
ممکن هست براتون این سئوال پیش بیاد که چجوری میشه به این سایت اعتماد کرد و یا اینکه به چه روش هایی از این اطلاعات محافظت میشه. جواب تمام این سئوالات رو می تونید در این سایت مشاهده کنید.
موفق و سربلند باشید.
سلام و درود
ضمن آرزوی موفقیت برای شما
از نظر بنده هر لینک خروجی از سایت یعنی 1 امتیاز منفی و کاهش امنیت ، جدا از بحثی که نوع ارتباط بین کلاینت و سرور و عکس اون چیه و بر چه اساس و الگوریتمی ارتباط بر قرار میشه مهمترین مسئله جلوگیری از خروج اطلاعات مهم از دیتابیس و داخل سایته حال میخواد کد شده باشه یا خیر بهترین روش بالا بردن امنیت و جلوگیری از راههای نفوذ هست و همین شیوه رمز نگاری و کد کردن اطلاعات رو میشه بروی خود سایت اعمال کرد
mbsmt
March 26th, 2015, 16:53
سلام و درود
ضمن آرزوی موفقیت برای شما
از نظر بنده هر لینک خروجی از سایت یعنی 1 امتیاز منفی و کاهش امنیت ، جدا از بحثی که نوع ارتباط بین کلاینت و سرور و عکس اون چیه و بر چه اساس و الگوریتمی ارتباط بر قرار میشه مهمترین مسئله جلوگیری از خروج اطلاعات مهم از دیتابیس و داخل سایته حال میخواد کد شده باشه یا خیر بهترین روش بالا بردن امنیت و جلوگیری از راههای نفوذ هست و همین شیوه رمز نگاری و کد کردن اطلاعات رو میشه بروی خود سایت اعمال کرد
درسته دوست عزیزم. این سایت بر این اساس کار می کنه که به جای اطلاعات خام، که اگر کسی به اونها به هر روشی دسترسی پیدا کنه می تونه خیلی راحت ازشون استفاده کنه، یک لینک یک بار مصرف ارائه میده که بعد از بار اول دیگه قابل استفاده نیست. به عبارت دیگه شما می تونید بین اینکه اطلاعاتتون رو خام ارسال کنید، یا اینکه حداقل یک مرحله به امنیت و سطح محافظتی از اونها اضافه کنید ، یکی رو انتخاب کنید. روش ساده، یا یک روش حداقل یکم پیچیده تر.
از طرف دیگه فرض کنید قرار هست شما یک نام کاربری و کلمه عبور رو برای کسی ارسال کنید. اگر شما از طریق این سیستم فقط کلمه عبور خودتون رو به لینک رمز تبدیل کنید، و به فرض اینکه کسی هم به این اطلاعات رمز شده دسترسی پیدا کنه و اون رو رمزگشایی کنه، صرف داشتن یک رشته متنی که معلوم نیست چی هست، کجا باید ازش استفاده بشه و اطلاعات مرتبط با اون چی هست، فایده ای برای کسی نداره.
sajjadsec
March 26th, 2015, 17:53
عزیز شما نوشتید اطلاعات رمز نگاری میشن در حالی که ورودی اولیه و خروجی پایانی رمزنگاری نشده خوب پس این رمز نگاری که عرض کردید رمزنگاری یک طرفه نیست و قابل بازگشایی هست.
این که شما هرگز نمیتونید هیچ اطلاعاتی رو به طور کامل حذف کنید یک طرف اینکه پکت های ارسالی سایتتون شنود بشوند یک طرف اینکه به سایت شما نفوذ کنند یک طرف همه اینها یک طرف اما شما چه تضمینی میدید که این اطلاعات که رمزنگاری شده و از حالت رمز در اومده و در صفحه ای برای کاربر به نمایش در میاد جای دیگه ای سیو نمیشه ؟ بک لینک ها به شکل رندوم ساخته میشوند ؟ به چه شکلی میخواید از حملات csrf به سایتتون جلوگیری کنید ؟ همین که پستتون رو میخوندم و سایتتون رو میدیدم یک سناریو حمله در ذهن من که کلا از هکینگ به دور هستم ایجاد شد حالا فکر کنید این سایت پابلیک شما رو هر کسی میتونه ببینه و سناریو های بسیار قشنگ تر و کامل تری میرسه به ذهنشون ...
ممنون میشم پاسخ بدید.
mbsmt
March 26th, 2015, 19:55
عزیز شما نوشتید اطلاعات رمز نگاری میشن در حالی که ورودی اولیه و خروجی پایانی رمزنگاری نشده خوب پس این رمز نگاری که عرض کردید رمزنگاری یک طرفه نیست و قابل بازگشایی هست.
این که شما هرگز نمیتونید هیچ اطلاعاتی رو به طور کامل حذف کنید یک طرف اینکه پکت های ارسالی سایتتون شنود بشوند یک طرف اینکه به سایت شما نفوذ کنند یک طرف همه اینها یک طرف اما شما چه تضمینی میدید که این اطلاعات که رمزنگاری شده و از حالت رمز در اومده و در صفحه ای برای کاربر به نمایش در میاد جای دیگه ای سیو نمیشه ؟ بک لینک ها به شکل رندوم ساخته میشوند ؟ به چه شکلی میخواید از حملات csrf به سایتتون جلوگیری کنید ؟ همین که پستتون رو میخوندم و سایتتون رو میدیدم یک سناریو حمله در ذهن من که کلا از هکینگ به دور هستم ایجاد شد حالا فکر کنید این سایت پابلیک شما رو هر کسی میتونه ببینه و سناریو های بسیار قشنگ تر و کامل تری میرسه به ذهنشون ...
ممنون میشم پاسخ بدید.
سلام دوست من.
همونطور که فرمودید، روشی که در این سیستم استفاده شده، یک روش رمزنگاری دو طرفه هست. یعنی میشه از روی رمز اصل محتوا رو برگردوند. ذات این سیستم هم باید همینجوری باشه. اگرنه چجوری باید اطلاعات ارسالی شما به مخاطبتون نمایش داده بشه ؟ برای توضیحات بیشتر لطفا این لینک (http://goo.gl/y3WO7W) رو مطالعه بفرمایید.
نکته دیگه این هست که در این سایت از روش های مختلفی برای محافظت از اطلاعات و همچنین خود هسته نرم افزاری استفاده شده. برای این موضوع لطفا صفحه https://secretinfo.ir/how/ رو مشاهده کنید.
و اما در مورد اینکه چرا باید به این سایت اعتماد کنین ... جواب این سئوال هم در https://secretinfo.ir/why/ وجود داره.
سایر اطلاعات و نحوه عملکرد وب سایت رو به دلیل مسائل امنیتی نمی تونم توضیح بدم.
همونجوری که اشاره کردید، حملات زیادی ممکن هست روی این وب سایت رخ بده که csrf فقط یکی از اونهاست. در طراحی این سایت سعی شده تا حد امکان از تکنیک های مختلف برای جلوگیری از نفوذ استفاده بشه، ولی این سایت که هیچ، سایت های بزرگترین کمپانی ها و سازمانهای دنیا هم هک می تونن بشن. بنابراین هیچ گارانتی 100% برای حفظ امنیت این سایت و هیچ سایت دیگه ای وجود نداره. بنابراین انتخاب با خود استفاده کنندگان از این سایت هست. می تونن اطلاعات محرمانه خودشون رو به صورت plain text برای سایرین ارسال کنن. یا اینکه از این سایت استفاده کنن. سعی ما این هست که یک سایت مطمئن داشته باشیم، همونطور که خدا رو شکر تا الان هم شرکت های خوبی به استفاده از اون روی آوردن. اما مسئولیت کامل استفاده از این سرویس با استفاده کنندگانش هست
ممنونم که به این پست توجه و در مورد نظر داده بودین
sajjadsec
March 26th, 2015, 20:25
نیازی به لینک ویکی پدیا نبود بنده منظورم این نبوده که یک طرفه باشه این کار منظور من این بود که اگر به هر نحوی یک شخص سوم بیاد بین سرور شما و شخص دومی که قراره اطلاعات بهش برسه قرار بگیره اون شخص خیلی راحت میتونه الگوریتم رمزنگاری شما رو بشکنه ...
از میون اون حملات بنده csrf رو نام بردم چون بارز ترین حمله ای که برای شما میشه در نظر گرفت همین هست زیرا که تنها عاملی که باعث دیده شدن اطلاعات میشه یک بک لینک + یک رمز هست که اونم اختیاری هست.
بنده یک نگاهی به سایت شما انداختم بار اول اطلاعات رو بدون رمز وارد کردن زدم و بعد از مشاهده خودکار پاک شد بک لینک اما وقتی رمز گذاشتم و دو بار رمز رو اشتباه زدم بک لینک پاک نشده بود لینک وجود داشت و باز هم پسورد دریافت میکرد اما بعد از وارد کردن پسورد درست رفرش میشد بر روی ایندکس لطفا بررسی بفرمایید.
jahromweb
March 26th, 2015, 20:30
باسلام
تلاش های شما قابل تقدیر است اما لطفا یک چیز را هم به یاد داشته باشید(بسیار عذر میخواهم که این طور رک میگویم!!):
استفاده از سایت شما برای تیکت هایی که شامل رمز هستند درست مثل قرار دادن اموال در گاوصندوق یک غریبه است.
شاید ان گاوصندوق را د زد نتواند باز کند اما فرد غربیه با کلیدی که دارد میتواند به راحتی ان را باز کند و از پول شما استفاده کند.
-------------------------------------------------
همچنین در whmcs مواردی مثل رمز سرور اصلی و ... نیز موجود است و خیلی موارد دیگر درصورت هک شدن و پیدا شدن رمز سرور ها در 99 درصد اوقات هکر نیازی به رمز کاربران ندارد و کار تمام است
به نظرم استفاده از سیستم شما ریسک بالایی دارد مگر این که کاملا اعتماد سازی صورت گیرد
انشاالله که دلگیر نشده باشید
شب خوش
mbsmt
March 26th, 2015, 23:34
نیازی به لینک ویکی پدیا نبود بنده منظورم این نبوده که یک طرفه باشه این کار منظور من این بود که اگر به هر نحوی یک شخص سوم بیاد بین سرور شما و شخص دومی که قراره اطلاعات بهش برسه قرار بگیره اون شخص خیلی راحت میتونه الگوریتم رمزنگاری شما رو بشکنه ...
از میون اون حملات بنده csrf رو نام بردم چون بارز ترین حمله ای که برای شما میشه در نظر گرفت همین هست زیرا که تنها عاملی که باعث دیده شدن اطلاعات میشه یک بک لینک + یک رمز هست که اونم اختیاری هست.
بنده یک نگاهی به سایت شما انداختم بار اول اطلاعات رو بدون رمز وارد کردن زدم و بعد از مشاهده خودکار پاک شد بک لینک اما وقتی رمز گذاشتم و دو بار رمز رو اشتباه زدم بک لینک پاک نشده بود لینک وجود داشت و باز هم پسورد دریافت میکرد اما بعد از وارد کردن پسورد درست رفرش میشد بر روی ایندکس لطفا بررسی بفرمایید.
از بابت موردی که دیده بودین و اعلام کردین ممنونم. رفع کردمش
در مورد شنود دیتا بین سرور و کلاینت سعی شده از طریق ssl تا حد امکان، اطلاعات به صورت امن منتقل بشه در این بین. ولی همونطور که عرض کردم به هیچ وجه نمیشه امنیت هیچ سیستمی رو 100% تضمین کرد
و اما کلید رمزگشایی ...
کلید بازگشایی رمز اختیاری هست، اما توصیه شده از اون تا حد امکان برای سخت تر شدن عملیات رمزگشایی استفاده بشه. اگر اطلاعات خیلی محرمانه نیست و یا کاربر تمایلی به افزایش امنیت پیش فرض سیستم نداره، به دلخواه خودش این مورد رو استفاده نمی کنه.
- - - Updated - - -
باسلام
تلاش های شما قابل تقدیر است اما لطفا یک چیز را هم به یاد داشته باشید(بسیار عذر میخواهم که این طور رک میگویم!!):
استفاده از سایت شما برای تیکت هایی که شامل رمز هستند درست مثل قرار دادن اموال در گاوصندوق یک غریبه است.
شاید ان گاوصندوق را د زد نتواند باز کند اما فرد غربیه با کلیدی که دارد میتواند به راحتی ان را باز کند و از پول شما استفاده کند.
-------------------------------------------------
همچنین در whmcs مواردی مثل رمز سرور اصلی و ... نیز موجود است و خیلی موارد دیگر درصورت هک شدن و پیدا شدن رمز سرور ها در 99 درصد اوقات هکر نیازی به رمز کاربران ندارد و کار تمام است
به نظرم استفاده از سیستم شما ریسک بالایی دارد مگر این که کاملا اعتماد سازی صورت گیرد
انشاالله که دلگیر نشده باشید
شب خوش
دوست عزیزم، jahromweb
ممنونم که به این پست لطف داشتی و اون رو بررسی و مشاهده کردی
من یه بار دیگه مثالی رو که می زنم تکرار می کنم تا متوجه بشی که این سایت مشکل امنیتی برای شما و مشتریانتون ایجاذ نمی کنه
من مشتری شما هستم و از شما اطلاعات ورود به پنل ادمینم رو درخواست کردم. شما در جواب تیکت من، نام کاربری من رو به صورت خام (plain text) برام ارسال می کنی، اما برای رمز عبور از secretinfo.ir (https://secretinfo.ir) استفاده می کنی. این اطلاعات برای من از طریق تیکت (یا ایمیل) ارسال میشه. اما چه اطلاعاتی در سکرت اینفو ثبت شده ؟ فقط یک رمز عبور ...
خوب حالا در بدترین حالت، به فرض اینکه این سایت هک بشه یا کسی بخواد از اطلاعات اون سوء استفاده کنه، فقط یک رمز عبور از شما دستش هست. حالا سئوال اینه: این رمز عبور مربوط به ورود به چه سیستمی هست؟ کلمه عبور مرتبط باهاش چیه؟ برای استفاده از اون باید وارد چه صفحه لاگینی و در چه آدرسی شد؟ و ...
همونطور که می بینی، صرف داشتن یک سری اطلاعات رمز گشایی شده، به شرط اینکه شما همه اطلاعات مرتبط با هم رو در یک لحظه رمز نکرده باشی (همونطور که در سایت اکیداً توصیه شده)، به هیچ دردی نمی خوره ...
در این سایت تا حد امکان سعی شده از روش ها و ابزارهایی استفاده بشه که اعتماد سازی رو بیشتر کنه برای استفاده کنندگانش. اما در هر حال انتخاب با خود کاربران هست ...
امیدوارم تونسته باشم پاسخ بدم به موردی که بیان کرده بودی
reza21biologist
March 30th, 2015, 12:50
سلام
بهتون تبریک می گم برای داشتن این سایت و امیدوارم در آینده ای نزدیک شاهد پیشرفت آن در سرویس هایی که ارائه می کند باشیم
با تشکر
us12
March 30th, 2015, 23:03
ایده جالبی است به شرط اینکه گیرنده بعد از دیدن پسورد اون را کپی نکنه داخل فایل تکس و در یک مکان نا امن ذخیره اش نکنه :)
ولی حتما از کد کپتچا استفاده کنید ربات ها در کمین هستند :65:
mahdiazarnia
March 31st, 2015, 00:23
با سلام
تبریک میگم ایده حذابی هستش
کم کم اعتماد سازی میشه ، آینده پرباری رو براتون آرزو می کنم
k0tkin
March 31st, 2015, 09:55
استفاده از این سرویس اصلا منطقی نیست من اطلاعات رو به کاربر ایمیل میکنم و بر روی سرور خودم هش sha1 پسورد رو نگه میدارم و این وظیفه کاربر هست که از ایمیلش محافظت کنه حالا اینجوری که شما میگید باید نگران اینکه یا خود شما یا کسی که سایت شما رو هک کرده هم به اطلاعات کاربر من دسترسی داره باشم ولی در روش فعلی همه چیز متوجه امنیت رمز عبور ایمیل کاربر هست
mbsmt
April 7th, 2015, 09:21
ایده جالبی است به شرط اینکه گیرنده بعد از دیدن پسورد اون را کپی نکنه داخل فایل تکس و در یک مکان نا امن ذخیره اش نکنه :)
ولی حتما از کد کپتچا استفاده کنید ربات ها در کمین هستند :65:
ممنونم دوست عزیز. از کپچا هم استفاده شده در این وب سایت، البته نه به شکل کپچا های تصویری
- - - Updated - - -
با سلام
تبریک میگم ایده حذابی هستش
کم کم اعتماد سازی میشه ، آینده پرباری رو براتون آرزو می کنم
خیلی ممنونم دوست عزیز :)
- - - Updated - - -
استفاده از این سرویس اصلا منطقی نیست من اطلاعات رو به کاربر ایمیل میکنم و بر روی سرور خودم هش sha1 پسورد رو نگه میدارم و این وظیفه کاربر هست که از ایمیلش محافظت کنه حالا اینجوری که شما میگید باید نگران اینکه یا خود شما یا کسی که سایت شما رو هک کرده هم به اطلاعات کاربر من دسترسی داره باشم ولی در روش فعلی همه چیز متوجه امنیت رمز عبور ایمیل کاربر هست
استفاده از این سرویس کاملاً بسته به تشخیص کاربران هست. خدا رو شکر برای خیلی از دوستانی که تا الان با این وب سایت آشنا شدن اعتماد سازی شده و دارن ازش استفاده می کنن. اما اگر شما تشخیص دادید که نباید استفاده کرد، نظرتون برای من محترمه. اما در مورد اینکه اطلاعات هک بشه یا هر کس دیگه ای بخواد ازش استفاده کنه، لطفا یه نگاه به https://secretinfo.ir/how/ بندازید و مطالبی که توش نوشته شده رو مطالعه کنید.
mehrdad2
April 7th, 2015, 14:04
با سلام
ضمن تشكر از زحمتي كه كشيديد كار ، كاره بسيار خوبيه اما از همون قدم اول اشتباه بزرگي كرديد كه از اس اس ال شركت startcom استفاده كرديد، لازم نيست اينو بگم چون همه مي دونن كه اين يك شركت اسراييلي هست و شما بيس شركت رو چك كنيد بجز كلمه private چيزي پيدا نمي كنيد يعني كليه كار هاي كه اين شركت انجام مي ده خصوصي هست و جاسوسي اين كشور از كشوره عزيزمان پوشيده نيست ولي اين كاره نو و فكر آن قابل تحسين مي باشد اميدوارم موفق باشيد و اينو بدانيد موفقيت در اين كار با انتقادات سازنده به سر انجام ميرسد
با سپاس
us12
April 7th, 2015, 18:31
ممنونم دوست عزیز. از کپچا هم استفاده شده در این وب سایت، البته نه به شکل کپچا های تصویری
منظورتان csrf است ؟
csrf توسط ربات قابل دور زدن است ...
mbsmt
April 7th, 2015, 23:54
با سلام
ضمن تشكر از زحمتي كه كشيديد كار ، كاره بسيار خوبيه اما از همون قدم اول اشتباه بزرگي كرديد كه از اس اس ال شركت startcom استفاده كرديد، لازم نيست اينو بگم چون همه مي دونن كه اين يك شركت اسراييلي هست و شما بيس شركت رو چك كنيد بجز كلمه private چيزي پيدا نمي كنيد يعني كليه كار هاي كه اين شركت انجام مي ده خصوصي هست و جاسوسي اين كشور از كشوره عزيزمان پوشيده نيست ولي اين كاره نو و فكر آن قابل تحسين مي باشد اميدوارم موفق باشيد و اينو بدانيد موفقيت در اين كار با انتقاداد سازنده به سر انجام ميرسد
با سپاس
ممنونم دوست عزیز. حتماً پیشنهادات و انتقادات شما دوستان در این موضوع تأثیر گذار هست. ممنون از بابت اعلام نظری که کردی. انشاء الله بشه سرویس دهنده این گواهینامه رو به یک شرکت دیگه تغییر بدیم ...
- - - Updated - - -
منظورتان csrf است ؟
csrf توسط ربات قابل دور زدن است ...
نه فقط این نیست. به دلیل حفظ مسائل امنیتی از روش استفاده شده نمی تونم جزئیات بیشتری اعلام کنم
hioxin
May 16th, 2015, 00:25
باید آزمایش شود کامل و برسی بیشتر شود
mbsmt
June 9th, 2015, 11:36
باید آزمایش شود کامل و برسی بیشتر شود
امیدوارم نتیجه مثبتی داشته باشه و ازش استفاده کنید
tosanpooya
June 10th, 2015, 04:45
خسته نباشید بهتون میگم، به نظرم ایده خیلی خوبیه
AbtinServer
June 10th, 2015, 09:06
کار جالبیه ولی هر جور باشه این یک نوع خروجی محسوب میشه
کار جالبیه ولی هر جور باشه این یک نوع خروجی محسوب میشه
بله آبتین سرور عزیز ، حرفتون کاملاً درسته. ولی اگر در نظر بگیریم که اون خروجی صرفاً یک رمز عبور هست و هیچ اطلاعات دیگه ای همراهش نیست ، به فرض اینکه این خروجی به هر دلیل هم بخواد مورد سوء استفاده قرار بگیره ، اصلا قابل تشخیص نیست که این رشته متنی چی هست ؟ یک رمزه یا ... ؟ نام کاربری مرتبط باهاش چیه؟ برای کجا ازش استفاده شده و ...
samanmo
June 11th, 2015, 01:55
بله ، کاملا درست میگین ، قبلش باید شرکتی که قراره از این سیستم استفاده کنه آموزش بدین که مثلا لینک فقط حاوی رمز باشه ، یا میشه در دو لینک مختلف ارسال بشه مثلا لینک اول یوزر و لینک دوم پسورد ... من فکر میکنم شما با گرفتن یکسری گواهینامه های ایرانی بیشتر مورد اعتماد و توجه قرار خواهید رفت چون بحث بحث اعتماد سازی هست ، خیلی خوب که گواهینامه ssl دارید .... سپاس
In-God-We-Trust
July 21st, 2015, 20:21
ایده اولیه اش جالبه ولی تائیرات بد داره
به عنوان لینک خروجی