ارسال اطلاعات محرمانه برای مشتریان به صورت امن

[mbsmt]

نیازی به لینک ویکی پدیا نبود بنده منظورم این نبوده که یک طرفه باشه این کار منظور من این بود که اگر به هر نحوی یک شخص سوم بیاد بین سرور شما و شخص دومی که قراره اطلاعات بهش برسه قرار بگیره اون شخص خیلی راحت میتونه الگوریتم رمزنگاری شما رو بشکنه ...
از میون اون حملات بنده csrf رو نام بردم چون بارز ترین حمله ای که برای شما میشه در نظر گرفت همین هست زیرا که تنها عاملی که باعث دیده شدن اطلاعات میشه یک بک لینک + یک رمز هست که اونم اختیاری هست.
بنده یک نگاهی به سایت شما انداختم بار اول اطلاعات رو بدون رمز وارد کردن زدم و بعد از مشاهده خودکار پاک شد بک لینک اما وقتی رمز گذاشتم و دو بار رمز رو اشتباه زدم بک لینک پاک نشده بود لینک وجود داشت و باز هم پسورد دریافت میکرد اما بعد از وارد کردن پسورد درست رفرش میشد بر روی ایندکس لطفا بررسی بفرمایید.

از بابت موردی که دیده بودین و اعلام کردین ممنونم. رفع کردمش
در مورد شنود دیتا بین سرور و کلاینت سعی شده از طریق ssl تا حد امکان، اطلاعات به صورت امن منتقل بشه در این بین. ولی همونطور که عرض کردم به هیچ وجه نمیشه امنیت هیچ سیستمی رو 100% تضمین کرد
و اما کلید رمزگشایی ...
کلید بازگشایی رمز اختیاری هست، اما توصیه شده از اون تا حد امکان برای سخت تر شدن عملیات رمزگشایی استفاده بشه. اگر اطلاعات خیلی محرمانه نیست و یا کاربر تمایلی به افزایش امنیت پیش فرض سیستم نداره، به دلخواه خودش این مورد رو استفاده نمی کنه.

- - - Updated - - -

باسلام
تلاش های شما قابل تقدیر است اما لطفا یک چیز را هم به یاد داشته باشید(بسیار عذر میخواهم که این طور رک میگویم!!):
استفاده از سایت شما برای تیکت هایی که شامل رمز هستند درست مثل قرار دادن اموال در گاوصندوق یک غریبه است.
شاید ان گاوصندوق را د زد نتواند باز کند اما فرد غربیه با کلیدی که دارد میتواند به راحتی ان را باز کند و از پول شما استفاده کند.
-------------------------------------------------
همچنین در whmcs مواردی مثل رمز سرور اصلی و ... نیز موجود است و خیلی موارد دیگر درصورت هک شدن و پیدا شدن رمز سرور ها در 99 درصد اوقات هکر نیازی به رمز کاربران ندارد و کار تمام است
به نظرم استفاده از سیستم شما ریسک بالایی دارد مگر این که کاملا اعتماد سازی صورت گیرد
انشاالله که دلگیر نشده باشید
شب خوش

دوست عزیزم، jahromweb
ممنونم که به این پست لطف داشتی و اون رو بررسی و مشاهده کردی
من یه بار دیگه مثالی رو که می زنم تکرار می کنم تا متوجه بشی که این سایت مشکل امنیتی برای شما و مشتریانتون ایجاذ نمی کنه

من مشتری شما هستم و از شما اطلاعات ورود به پنل ادمینم رو درخواست کردم. شما در جواب تیکت من، نام کاربری من رو به صورت خام (plain text) برام ارسال می کنی، اما برای رمز عبور از secretinfo.ir استفاده می کنی. این اطلاعات برای من از طریق تیکت (یا ایمیل) ارسال میشه. اما چه اطلاعاتی در سکرت اینفو ثبت شده ؟ فقط یک رمز عبور ...
خوب حالا در بدترین حالت، به فرض اینکه این سایت هک بشه یا کسی بخواد از اطلاعات اون سوء استفاده کنه، فقط یک رمز عبور از شما دستش هست. حالا سئوال اینه: این رمز عبور مربوط به ورود به چه سیستمی هست؟ کلمه عبور مرتبط باهاش چیه؟ برای استفاده از اون باید وارد چه صفحه لاگینی و در چه آدرسی شد؟ و ...
همونطور که می بینی، صرف داشتن یک سری اطلاعات رمز گشایی شده، به شرط اینکه شما همه اطلاعات مرتبط با هم رو در یک لحظه رمز نکرده باشی (همونطور که در سایت اکیداً توصیه شده)، به هیچ دردی نمی خوره ...
در این سایت تا حد امکان سعی شده از روش ها و ابزارهایی استفاده بشه که اعتماد سازی رو بیشتر کنه برای استفاده کنندگانش. اما در هر حال انتخاب با خود کاربران هست ...

امیدوارم تونسته باشم پاسخ بدم به موردی که بیان کرده بودی