۱۳۸۶-۰۹-۴
عدم رمزنگاری پسورد
* یکی از چیزهایی که الان فهمیدم (شاید خیلی از شماها از قبل میدونستین) ولی من تا به حال به این موضوع دقت نکرده بودم اینه که بسیاری از سایتهای ایرانی و حتی خارجی نظیر پرشین بلاگ، بلاگفا، و حتی وردپرس!!! اطلاعات هویت شناسی کاربر یعنی نام کاربری و حتی پسوورد رو بدون رمزنگاری و به صورت متن ساده می فرستن روی شبکه! واقعا که خیلی افتضاحه و خیلی خورد توی ذوقم! چون وردپرس و وبلاگ خودمم از این قاعده مستثنا نیست!!!
می دونین این یعنی چی؟ یعنی حتی اگه یه پسوورد قوی ای انتخاب کرده باشید که خیلیم پیچیده باشه و هر چقدر امنیت رو رعایت کرده باشید بازم هم اگه کسی IP شما رو شنود کنه براحتی این اطلاعات رو بدست میاره!
برای اثبات این ادعا اینجا مینویسم که برخی از این سایتها بعد از اینکه کاربر لاگین کرد درخواستی رو که به سرور می فرستن حاوی چه داده هایی است. برای اینکه مشکلی پیش نیاد به جای نام کاربری و پسورد کلمه test رو گذاشتم به قسمتهایی از درخواست که بولد کردم دقت کنین!!
پرشین بلاگ:
username=test&btnLogin=%D9%88%D8%B1%D9%88%D8%AF&password=test&md5hash=390812A670305DB0FD29A8B682531373
وردپرس:
log=test&pwd=test&testcookie=1&submit=Login
بلاگفا:
username=test&password=test&btnSubmit=%D9%88%D8%B1%D9%88%D8%AF
بلاگ اسپات/بلاگر (این یکی وضعش خیلی خرابه!!! چون یوزر ایمیل جیمیل رو به همراه پسوورد می فرسته!!!):
continue=http%3A%2F%2Fwww.blogger.com%2Floginz%3Fd%3Dhttp%253A%252F%252Fwww.blogger.com%252Fhome%26a%3DADD_SERVICE_FLAG&service=blogger&naui=8&fpui=2&skipvpage=true&rm=false
&hl=en&alwf=true&alinsu=0&GALX=bS3al0PMZYA&Email=test&Passwd=test
&rmShown=1&signIn=Sign+in
* چند نکته:
۱- ابزارهایی که برای جمع آوری اطلاعات بالا استفاده شدن رایج و برخی از اونها رایگان هستند! بهتره اگه میدونیم برای عدم سوء استفاده اونها رو اسم نبریم!
۲- بدست آوردن IP دیگران برای شنود سخته ولی ناممکن نیست! بیشتر این مورد متوجه کاربران خانگی است تا اونهایی که پشت فایروال هستند و IP فایروال در شبکه ارسال میشه!IP.
3- سایتهایی که گواهینامه معتبر (certificate) دارند و از ssl استفاده می کنن اصولا ارتباطاتشون رمزنگاری شده است و براحتی نمی تونین این اطلاعات رو بدست بیارین مثلا یاهو و یا جیمیل
۴- با همه این تفاسیر اگه سایتی از الگوریتمهای رمزنگاری متداول استفاده کرده باشه باز هم میشه با ابزارهای خاصی رمز پسوورد رو شکست! به نظرم بهتره اگه میخواین این اطلاعات رو رمز کنین از hash های کلید دار استفاده کنید.
۵- به احتمال خیلی زیاد وقتی که پسوورد همین طوری داره توی درخواست فرستاده میشه همین طوری هم رمز نشده در پایگاه داده ذخیره شده! در این صورت حتی اگه از SSL استفاده بشه در محل ذخیره سازی آسیب پذیری وجود داره! چون SSL فقط برای تو راه مفیده نه در محل ذخیره سازی
۶- در پایان اینکه ما هیچ اطلاعی از دانش و ابزارهای هکرها نداریم! پس بهتره واقعیت رو قبول کنیم و کلامون رو سفت بگیریم تا همسایه مون رو دزد ندونیم!!! (درست گفتم ضرب المثل رو؟)
۷- هرگاه اطلاعاتی رو ما بدست آوردیم یعنی حتما دیگرانی قبل از ما بدست آورده اند و دیگرانی هم بعد از ما بدست خواهند آورد!!!
* اگه اطلاعاتی بدست آوردیم بهتره ازشون سوء استفاده نکنیم چون سایتها و وبلاگای اکثر ماها همیشه در خطر این هست که اطلاعاتشون دست افراد غیر مجاز بیفته! پس بهتره عاقبت اندیشی کنیم! مثلا هر آن ممکنه کسی الان توی شبکه شما از ابزارهای رایج استراق سمع استفاده کنه و بسته های شبکه رو دریافت کنه و توی این بسته ها دنبال نام های کاربری و یا پسوورد باشه.
علاوه بر این ابزارها که فراوان در اینترنت به صورت رایگان هم ریخته شدن یک سری ابزارهای قوی هم هستند که ارتباطات http رو فقط برای پیدا کردن کلمات خاصی مثل username ، password ، pass ، pw، pwd، un و نظایر اینها می گردن و به صورت متن ساده به مهاجم نشون میدن!
