دومین سالگرد انتشار سامانه مدیریت مجازی ساز AutoVM (کنترل پنل VMware ESXI)

[Yas-Host]

با سلام
اسرار شما به جهت تخریب پلتفرم را نمی دانم (شاید شکست شما در راه اندازی پروژه مشابه دلیل آن باشد) اما ما برای شرکت های معتبر، نود داخلی به صورت ارتباط لوکال راه اندازی میکنیم.
جدا از این موضوع، بیشتر در ارتباط با رمزنگرای aes مطالعه بفرمایید.
موفق باشید

از قدیم گفتند بگذار آب از آسیاب بیافته بعد ..

بعد از چند ماه اومدید پاسخ میدید؟ چطور اون روز پاسخ ندادید؟

اسرار؟ بارها دوستان و همکاران اعلام کردند "اصرار" صحیح است .

صدرصد اگر قرار باشد پروژه ای مانند پروژه شما اجرا شود همه فایل ها را در سرور کاربران قرار میدهیم امنیت کاربران را به خطر نمیندازیم و آپدیت هایی که شما طی یکسال برای کاربران خود فراهم کردید را در نسخه اول ارائه میکنیم چون طبق sdk که در لینک https://github.com/vmware/pyvmomi موجود می باشد تمامی ابزاری که شما در طول دوسال در حال ارائه آن بودید در این sdk برآورده گردیده است .

در رابطه با الگو رمزنگاری که ارائه کردید لطفا پیام بنده را نیز مجددا مطالعه کنید! بنده عرض کردم اگر یک نفر به شما نفوذ کند و کانکشن ها را رصد و request/response را مشاهده کند باز بدون هیچ مشکلی طی 24 ساعت می تواند تمامی دسترسی سرور ها را در اختیار بگیرد.

در رابطه با ارتباط لوکال نیز بله در جریان هستیم که با قرارداد بستن اقدام به ارائه سرویس به شرکت ها می کنید اما همان شرکت ها باید هر روز استرس داشته باشند که تصمیمات شما باعث ایجاد مشکل برایشان نشود.

موفق و پیروز

[nikit]

از قدیم گفتند بگذار آب از آسیاب بیافته بعد ..

بعد از چند ماه اومدید پاسخ میدید؟ چطور اون روز پاسخ ندادید؟

اسرار؟ بارها دوستان و همکاران اعلام کردند "اصرار" صحیح است .

صدرصد اگر قرار باشد پروژه ای مانند پروژه شما اجرا شود همه فایل ها را در سرور کاربران قرار میدهیم امنیت کاربران را به خطر نمیندازیم و آپدیت هایی که شما طی یکسال برای کاربران خود فراهم کردید را در نسخه اول ارائه میکنیم چون طبق sdk که در لینک https://github.com/vmware/pyvmomi موجود می باشد تمامی ابزاری که شما در طول دوسال در حال ارائه آن بودید در این sdk برآورده گردیده است .

در رابطه با الگو رمزنگاری که ارائه کردید لطفا پیام بنده را نیز مجددا مطالعه کنید! بنده عرض کردم اگر یک نفر به شما نفوذ کند و کانکشن ها را رصد و request/response را مشاهده کند باز بدون هیچ مشکلی طی 24 ساعت می تواند تمامی دسترسی سرور ها را در اختیار بگیرد.

در رابطه با ارتباط لوکال نیز بله در جریان هستیم که با قرارداد بستن اقدام به ارائه سرویس به شرکت ها می کنید اما همان شرکت ها باید هر روز استرس داشته باشند که تصمیمات شما باعث ایجاد مشکل برایشان نشود.

موفق و پیروز

با سلام مجدد و تشکر از بابت تصحیح لغت بکار برده شده.
قبلا در ارتباط با موضوع pyvmomi برای شما داخل تلگرام توضیح دادیم و لزومی ندارد که هربار برای شما این موارد را تکرار کنیم. همانطور که گفته شد، SDK pyvmomi در زمانی که ما استارت برنامه نویسی پلتفرم را داشتیم، منتشر نشده بود و یا بسیار ساده تر از SDK فعلی بوده که جوابگوی پلتفرم ما نبوده، به همین دلیل ما SDK خودمان را راه اندازی کردیم.

در ارتباط با رمزنگاری،‌ بارها نیز به شما توضیح داده شده است و دلیل کاسه داغ تر از آش شدن شما کاملا مشهود است. ما از روش رمزنگاری AES به همراه SHA256 استفاده میکنیم، در صورت نفوذ به سرور لایسنس ما و ایجاد هرگونه تغییر در سورس کد (حتی به مقدار 1 بایت) رشته کد تغییر یافته و با توجه به هماهنگی این بخش با کد لایسنس، هرگونه تغییر موجب غیر فعال سازی و عدم ارسال request از جانب پنل کلاینت می شود. چه بسا شما دسترسی روت به یکی از سرور های کلاینت و یا لایسنس را برخودار باشید نیز همچنان رمزعبور سرور ها غیر قابل دستیابی می باشد.

لطفا شما دلسوز شرکت های طرف قرار داد با ما نباشید. اگر چنین بود، شرکت طرف قرارداد، خود نگرانی اش را در این رابطه ابراز می کرد. لزومی به پیگیری از جانب شما نیست.

موفق باشید

[Yas-Host]

با سلام مجدد و تشکر از بابت تصحیح لغت بکار برده شده.
قبلا در ارتباط با موضوع pyvmomi برای شما داخل تلگرام توضیح دادیم و لزومی ندارد که هربار برای شما این موارد را تکرار کنیم. همانطور که گفته شد، SDK pyvmomi در زمانی که ما استارت برنامه نویسی پلتفرم را داشتیم، منتشر نشده بود و یا بسیار ساده تر از SDK فعلی بوده که جوابگوی پلتفرم ما نبوده، به همین دلیل ما SDK خودمان را راه اندازی کردیم.

در ارتباط با رمزنگاری،‌ بارها نیز به شما توضیح داده شده است و دلیل کاسه داغ تر از آش شدن شما کاملا مشهود است. ما از روش رمزنگاری AES به همراه SHA256 استفاده میکنیم، در صورت نفوذ به سرور لایسنس ما و ایجاد هرگونه تغییر در سورس کد (حتی به مقدار 1 بایت) رشته کد تغییر یافته و با توجه به هماهنگی این بخش با کد لایسنس، هرگونه تغییر موجب غیر فعال سازی و عدم ارسال request از جانب پنل کلاینت می شود. چه بسا شما دسترسی روت به یکی از سرور های کلاینت و یا لایسنس را برخودار باشید نیز همچنان رمزعبور سرور ها غیر قابل دستیابی می باشد.

لطفا شما دلسوز شرکت های طرف قرار داد با ما نباشید. اگر چنین بود، شرکت طرف قرارداد، خود نگرانی اش را در این رابطه ابراز می کرد. لزومی به پیگیری از جانب شما نیست.

موفق باشید

باسلام.

مطمئنا اینکه اگر یک رشته حتی 1 بایت نیز تغییر نکند را صدرصد اخیرا ممکن است اضافه کردید(در فرجه ای که در طول چند ماه گذشته بعد از اخرین پاسخ بنده داشته اید! چون چنین چیزی در سیستم شما وجود نداشته بوده است) این مدل نیز قابل دور زدن می باشد با اینکه شما می فرمایید حتی اگر سرور کاربر نیز نفوذ صورت بگیرد و سرور اصلی نیز دسترسی وجود داشته باشد باز هم هکر قابلیت دسترسی به سرور کاربر را ندارد بسیار تعجب آور است . زیرا دلیل مشخص است یک هکر می تواند براحتی کد هایی که شما برای وریفای قرار دادید را بردارد یا غیرفعال کند (از هر دو طرف).

بنده بار ها سوال خودم را بصورت آسان تر پرسیدم اما جواب قانع کننده ای دریافت نکردم . بنده عرض کردم در صورتی که به سرور شما نفوذ صورت بگیرد و request/response ها ذخیره شود چگونه عمل می شود؟ برای شنود نیاز به ویرایش کد های سمت سرور نیست فقط کمی دانش لینوکس نیاز است.

لطفا اطلاعات خود را ارتقا دهید و سناریو امنیتی خود را همیشه امن ندونید.

ما کاسه داغ تر آش نیستیم. در زمینه برنامه نویسی در هر زبانی نیز تخصص کافی داریم فقط به دنبال این هستیم شما با تغییرات در سیستم خود امنیت کاربران خود را ارتقا دهید . حال می توانید قبول کنید یا خیر.. در صورت نیاز به همکاری می توانیم بصورت رایگان نیز به شما راه حل هایی کامل ارائه کنیم.

https://github.com/vmware/pyvmomi-co...master/samples

تمامی Sample ها حداقل مربوط به 2 سال پیش بوده است پس زمانی شما استارت کار خود را زدید اکثر SDK ها موجود بوده است و ساده نبوده اند . استفاده از SDK موجود در سطح اینترنت کار اشتباهی نیست و اکثر برنامه نویس ها از آنها استفاده می کنند اما اینکه تمایل دارید سعی کنید تمامی کار را خودتان 0 تا 100 در حال انجام هستید کاری بس اشتباه است.

موفق و پیروز.