سلام دوستان.توی صفحه لاگین پیغام زیر رو میده(البته توی فایرباگ) و کاری نمیکنه.چرا؟مگه حتما باید https باشه؟؟؟

Password fields present on an insecure (http://) page. This is a security risk that allows user login credentials to be stolen

این پیغام خطا نیست بیشتر یه نوع اخطاره که میگه برای ارسال فرم هایی که پسورد دارن بهتره که از پروتکل امن https استفاده بشه

اگر بر طبق نظر کارشناسان امنیت بخواد باشه، بیشتر سایتها باید از https استفاده کنن. لزومی هم نداره که حتما ورودی پسورد در اون صفحه باشه تا این کار ضروری باشه.
ولی کی گوش کرده تاحالا و گوش میکنه؟!
خب https بخاطر یخورده دنگ و فنگ بیشتری که داره، و از اونور هم به میزان محسوسی سنگین تر و کندتره، خیلی ها دوست ندارن یا براشون صرف نمیکنه ازش استفاده کنن.

اینترنت و پروتکل هاش یه زمانی بوجود اومد که اینترنت اینقدر گسترده و پیچیده و دارای اهمیت نبود.
با گسترش و افزایش پیچیدگی و کاربردها و اهمیت اینترنت، تهدیدهای امنیتی هم به مراتب بیشتر شدن، اما بخش بزرگی از اینترنت همونطور ناامن باقی مونده.

وقتی ارتباطات https نباشه، خیلی ها ممکنه به کانال ارتباطی دسترسی داشته باشن و بتونن تقریبا همه کاری بکنن. براحتی میشه محتوای اطلاعات رد و بدل شده رو خوند یا دستکاری/جعل کرد. از این بینهایت سوء استفاده میشه کرد. یعنی تقریبا هیچ امنیت واقعی/مطمئنی وجود نداره!

بحث خطا و اخطار نیست.من چک میکنم که نام کاربری و کلمه عبور درست هست یا نه.بعد با استفاده از کد زیر میفرستمش صفحه پیش فرض.مشکل من اینه که کد زیر کار نمیکنه اصلا خطایی هم نمیده که صفحه وجود نداره


header('Location:index.php');

من معمولاً برای عمل Redirect یک function مینویسم:


function Redirect($url) {
header('Location: ' . $url);
die('<meta http-equiv="Refresh" content="0; url=' . $url . '" />' . PHP_EOL);
}

و اینطوری صداش میزنم:

Redirect('index.php');
اینطوری اگه به هر دلیلی، دستور header کار نکنه، تگ meta بعدش حتماً کار میکنه. اما علت اینکه چرا کدتون کار نمیکنه هم میتونه این باشه که فایلتون با کدگذاری UTF-8 معمولی (و نه UTF-8 without BOM) ذخیره شده یا کلاً قبل از دستور header چیزی برای کلاینت ارسال شده که دیگه نمیگذاره هدرها رو تغییر بدین.

اگر بر طبق نظر کارشناسان امنیت بخواد باشه، بیشتر سایتها باید از https استفاده کنن. لزومی هم نداره که حتما ورودی پسورد در اون صفحه باشه تا این کار ضروری باشه.
ولی کی گوش کرده تاحالا و گوش میکنه؟!
خب https بخاطر یخورده دنگ و فنگ بیشتری که داره، و از اونور هم به میزان محسوسی سنگین تر و کندتره، خیلی ها دوست ندارن یا براشون صرف نمیکنه ازش استفاده کنن.

اینترنت و پروتکل هاش یه زمانی بوجود اومد که اینترنت اینقدر گسترده و پیچیده و دارای اهمیت نبود.
با گسترش و افزایش پیچیدگی و کاربردها و اهمیت اینترنت، تهدیدهای امنیتی هم به مراتب بیشتر شدن، اما بخش بزرگی از اینترنت همونطور ناامن باقی مونده.

وقتی ارتباطات https نباشه، خیلی ها ممکنه به کانال ارتباطی دسترسی داشته باشن و بتونن تقریبا همه کاری بکنن. براحتی میشه محتوای اطلاعات رد و بدل شده رو خوند یا دستکاری/جعل کرد. از این بینهایت سوء استفاده میشه کرد. یعنی تقریبا هیچ امنیت واقعی/مطمئنی وجود نداره!

الان https هم توسط گروه BlackHat هک شده است !

الان https هم توسط گروه BlackHat هک شده است !
دقیق و مسئولانه حرف بزنید.
دقیق، روشن، حرفه ای/مستند و مستدل.
نصف امنیت دنیا با HTTPS تامین میشه؛ اگر کلا هک شده بود که الان مثل توپ همه جا ترکیده بود!!

دوتا خبر میخونید خودتون هم متخصص نیستید و اصلا تحقیق کافی نمیکنید مطمئن نمیشید قضیه چیه، بعد میاید یه چیزی کلی و مطلق میگید! عزیزم درست نیست این کار!

یکسری افراد میان مثلا یه چیزی قبلا بوده و الان فیکس شده میگن هک شده!
یعنی خبر قدیمیه.
بعضی حمله ها هم شرایط و امکانات و دسترسی خاص میخوان و در عمل به این راحتی نیستن. بعد طرف میاد میگه هک شد انگار که کلا سوراخ شد اندازه دروازه فوتبال و رفت پی کارش و فاتحش هم خونده شد!
هک شدن داریم تا هک شدن. باید دید اون هک کردن تحت چه شرایطی و چطوریه چه امکانات و دسترسی های خاصی میخواد یا نمیخواد، چقدر راحته، ضریب/احتمال موفقیتش چقدره، و درجهء هک شدن هم تفاوت میکنه اینکه واقعا چقدر نفوذ میشه و چقدر میشه ازش اطلاعات/کنترل بدست آورد متفاوته.
یه هک شدن میبینی اصلا باگ مرورگرها بوده بعد میان میگن HTTPS هک شد.
هک شدن اگر به معنای شکسته شدن اصل و اساس پروتکل SSL/TLS باشه، اون میشه هک شدن کامل و وخیم.
ولی یوقت هست ضعف درجای دیگری هست یا هرچی هست اساسی نیست و میشه فیکسش کرد.

مثل اینکه توی وردپرس باگ و حفرهء امنیتی درمیاد، بیای بگی وردپرس هم هک شد!
خب این گفته حداقلش خیلی کلی و مبهمه.
همهء نرم افزارها باگ و حفرهء داشتن و دارن.
الگوریتمها و پروتکل های امنیتی هم استثناء نیستن؛ هرچند چون مهمتر و زیربنایی هستن و توسط متخصصان خبره تهیه میشن معمولا روشون بیشتر و علمی تر و بهتر کار میشه و بیشتر میشه حساب کرد. ولی با این حال توی اینا هم باگ و حفرهء امنیتی گهگاهی کشف میشه که اگر از نوع اساسی نباشه میشه فیکس کرد.
همونطور که گفتم باگ و حفره هم با باگ و حفره فرق میکنه. تفاوت از زمین داره تا آسمون!
یوقت هم میبینی باگ اصلا توی خود اون الگوریتم و پروتکل نیست در اصل و جای دیگس، ولی افراد غیرمتخصص متوجه نمیشن و فکر میکنن کلا تمام اون سیستم ضعف داشته و هک شده و دیگه قابل استفاده نیست. مثلا یوقت میبینی باگ در تولید کنندهء اعداد رندوم بوده، و نه الگوریتم/پروتکل رمزنگاری و امنیتی. شما وقتی نتونی کلیدهای رندوم امن تولید کنی، حتی اگر بهترین و قویترین الگوریتم ها و پروتکل های رمزنگاری رو استفاده کنی، سیستمت امنیت بالا نداره.
بعضی موارد هم در اصل مربوط به اهمال برنامه نویسان و کسانی که نقش پیاده سازی رو دارن و باید از استانداردها و توصیه های کاشناسان و مراجع امنیت پیروی کنن هست که کارشون رو درست انجام نمیدن به هر علتی منجمله خطای انسانی یا جدی نگرفتن و غیره. مثلا خیلی وقت پیش سازمانهای مربوط اعلام کردن که کلیدهای RSA با طول 1024 بیت تا فلان سال بیشتر امنیت قابل قبول ندارن؛ حالا اگر کسی گوش نکنه و همچنان از کلید 1024 بیتی استفاده کنه بجای کلید 2048 بیتی، و هکرها هم بیان و با استفاده از همین ضعف نفوذ کنن، این مشکل طراحی و ضعف خود اون پروتکل و الگوریتم نیست.
یا مثلا الگوریتم MD5 خیلی وقته شکسته شده و مدتها پیش از استانداردها خارج شده و توصیه شده به الگوریتم های امن تر مثل SHA256 سویچ بشه. حالا یکی اگر هنوز در گواهینامهء دیجیتال از MD5 استفاده میکنه، مشکل از خودشه. یه هکر هم ممکنه بیاد با همین ضعف یه گواهینامهء جعلی درست کنه و به این وسیله به ارتباطات HTTPS نفوذ کنه.

خلاصه داستان داره اینها و همینطور ساده و روشن و کلی و مطلق نیست که یه خبر رو نگاه کنیم، تخصص نداریم، نمیدونیم چی به چیه، مطمئن نیستیم، به خودمون زحمت تحقیق بیشتر رو نمیدیم، بعد بیایم بگیم بله فلان چیز هم هک شد فاتحه مع الصلوات!

وقتی ارتباطات https نباشه، خیلی ها ممکنه به کانال ارتباطی دسترسی داشته باشن و بتونن تقریبا همه کاری بکنن. براحتی میشه محتوای اطلاعات رد و بدل شده رو خوند یا دستکاری/جعل کرد. از این بینهایت سوء استفاده میشه کرد. یعنی تقریبا هیچ امنیت واقعی/مطمئنی وجود نداره!
اگر به این راحتی که شما میگید باشه. خوشحال میشم من هم در این زمینه فعالیت کنم.
لطفاً کلی گویی نکنید. مثال بزنید. ممنون.

اگر به این راحتی که شما میگید باشه. خوشحال میشم من هم در این زمینه فعالیت کنم.
لطفاً کلی گویی نکنید. مثال بزنید. ممنون.

منظورشون در سطوح بالاتر هست برای ما ها (خودم) کاملا دشوار هست !

داده ها اگر از طریق پروتکل http انتقال پیدا کنند کد گذاری نشده اند.

وقتی داده ای(نام کاربری ، پسورد و ...) از کامپیوتر شما ارسال می شود و به سمت سرور میرود، از صد ها کامپیوتر و روتر و ... عبور می کند(حتی از بدافزار های سیستم خودتون و یا شبکه ای یک کافی نت) که هر کدام از این ها میتونند به اطلاعات واقعی شما دسترسی داشته باشند.

خوب اگر ما بیاییم از پروتکل https استفاده کنیم داده ها از سیستم شما بر اساس کلیدی که شما برای سرور می فرستید و سرور برای شما ، اطلاعات کدگذاری شده و غیرقابل دسترسی می شوند(نا خوانا)

باز هم در این روش امنیت صد در صد نمی شود(در بالا عرض کردم).

دقیق و مسئولانه حرف بزنید.
دقیق، روشن، حرفه ای/مستند و مستدل.
نصف امنیت دنیا با HTTPS تامین میشه؛ اگر کلا هک شده بود که الان مثل توپ همه جا ترکیده بود!!

دوتا خبر میخونید خودتون هم متخصص نیستید و اصلا تحقیق کافی نمیکنید مطمئن نمیشید قضیه چیه، بعد میاید یه چیزی کلی و مطلق میگید! عزیزم درست نیست این کار!


بله شما درست میگید. منظورم رو دقیق نرسوندم . درواقع توسنتن اطلاعاتی رو در بیارن ! حالا نیمدونم کاملا میتونند هک کنند یا نه .

http://www.cyberpolice.ir/news/25681

منم منظورم این نبود که کاملا هک شد رفت ! :لبخندساده: درواقع یک تهدید بود که میتونند در نسخه های بعد رفع اش کنند.

البته هدف و خاصیت HTTPS فقط دو چیزه.
یکی اینکه طرفها همدیگر رو احراز هویت کنن.
یعنی شما وقتی با پروتکل HTTPS به گوگل وصل میشید، میتونید مطمئن باشید که واقعا به گوگل متصل شدید و کس دیگری خودش رو بجای گوگل جا نزده.
کلاینت هم میتونه مثل سرور گواهینامهء دیجیتال داشته باشه و توسط سرور احراز هویت بشه، ولی در اکثر موارد کلاینت ها گواهینامهء دیجیتال ندارن و سرورها لزومی به احراز هویت کلاینت ندارن. مثلا وقتی به گوگل وصل میشید، گوگل نمیتونه مطمئن باشه که شما واقعا چه هویتی دارید، ولی شما میتونید مطمئن باشید که واقعا به گوگل وصل شدید و دارید با گوگل تبادل اطلاعات میکنید.
بعد از این مرحلهء اثبات هویت، HTTPS از اطلاعات در Transit، یعنی فاصلهء بین PC شما و سرور مقصد که طی میشه، حفاظت میکنه. یعنی کسی نمیتونه این اطلاعات رو بخونه یا تغییر بده (کسی نمیتونه بخونه، اما میتونه کورکورانه تغییر بده ولی اگر تغییر بده، کشف میشه).

باید توجه داشت که HTTPS فقط این فاصلهء بیرونی و مسافت طی شده بین دو سیستم رو پوشش میده (تضمین میکنه).
مواردی که حمله از روی خود کامپیوترها میتونه انجام بشه (مثلا نرم افزار جاسوسی ای که روی کلاینت یا سرور نصب شده باشن)، شامل این حفاظت نمیشن.

منظورشون در سطوح بالاتر هست برای ما ها (خودم) کاملا دشوار هست !

داده ها اگر از طریق پروتکل http انتقال پیدا کنند کد گذاری نشده اند.

وقتی داده ای(نام کاربری ، پسورد و ...) از کامپیوتر شما ارسال می شود و به سمت سرور میرود، از صد ها کامپیوتر و روتر و ... عبور می کند(حتی از بدافزار های سیستم خودتون و یا شبکه ای یک کافی نت) که هر کدام از این ها میتونند به اطلاعات واقعی شما دسترسی داشته باشند.

خوب اگر ما بیاییم از پروتکل https استفاده کنیم داده ها از سیستم شما بر اساس کلیدی که شما برای سرور می فرستید و سرور برای شما ، اطلاعات کدگذاری شده و غیرقابل دسترسی می شوند(نا خوانا)

باز هم در این روش امنیت صد در صد نمی شود(در بالا عرض کردم).
خب اینها از بدیهیات هستند. اینهارو همه میدونیم.
راحتی کار و دزدیدنش کجاست؟

شک نداشته باشید که راحتتر از چیزیه که فکرش رو بکنید.
بعضی از دوستان مثل fast code در این زمینه اطلاعات و تجربهء عملی خوبی دارن و میتونن این مطلب رو تایید کنن براتون. کافیه بهشون پیام خصوصی بزنید یا در جای درستش چه در این فروم و چه سایتهایی security.stackexchange.com مثل مطرح کنید.
من شخصا زیاد دنبال تست عملی و نرم افزارهاش نرفتم که بخوام اطلاعات این شکلی بدم. ولی از نظر تئوریش برام چیز مبهم و قابل تردیدی وجود نداره و هیچ نیازی به تست ندارم تا بفهمم و حتی بتونم پیشبینی کنم.

بهرحال چیزی که از بدیهی ترین چیزهاست و همه جا میتونید با سرچ و پرسش راجع بهش مطمئن بشید اینه که HTTP یک پروتکل بر اساس متن ساده است که هیچ رمزگذاری و امنیت خاصی نداره. هر درخواست و پاسخ HTTP عملا ممکنه از دهها دستگاه و رایانه و مرکز ISP و مخابراتی عبور بکنن (میتونید با trace کردن براحتی بررسی کنید) و در هر یک از این نقاط کسانی که دسترسی و دانش و ابزار لازم رو داشته باشن (که زیاد هم سخت نیست چون نرم افزار و روشهاش قبلا و بصورت استاندارد وجود دارن) میتونن تمام اطلاعات رد و بدل شده رو ببینن و برای خودشون ذخیره کنن؛ پسوردها، محتوای صفحات، پیامهای خصوصی شما و غیره. و حتی دستکاری کردن و جعل و جا زدن خودشون در بین ارتباطات هم کار کاملا شدنی ای هست. حملهء MITM (http://en.wikipedia.org/wiki/Man-in-the-middle_attack) فکر میکنید چیه پس و چه کسانی چطوری میتونن انجام بدن؟ منکه دسترسی به ISP ندارم، ولی اونایی که دارن میتونن. البته در موارد متعددی به روشهای شاید سخت تری میشه جاهای دیگر مثل LAN داخل سازمانها و غیره هم انجامش داد.
این مسئله یه چیزی هست در این حد که بگی اگر من یک فایلی رو رمز نکنم بعد دیگران که بیان روی کامپیوتر من میتونن اون رو بخونن و دستکاری کنن و واسه خودشون کپی کنن یا نه و برام مثال بزن!!
اطلاعاتی هم که شما میفرستی یا دریافت میکنی وقتی بدون هیچگونه رمزنگاری ارسال میشن طبیعی هست که در هر جایی از مسیر ممکنه توسط دیگران هم قابل دریافت و دستکاری باشن.

حرف S در HTTPS بخاطر همین اضافه شده و به معنای Secure (امن) است. HTTP خالی در فاصلهء بین PC شما و سرور، هیچ امنیتی رو تامین نمیکنه. مثل اینکه تلفنی که میزنی هرکسی که به مسیر ارتباطی دسترسی داشته باشه، چه با وصل کردن سیم به سیمهای تلفن شما چه در مراکز مخابراتی، میتونه صحبت های شما رو استراق سمع کنه (حتی نیازی نیست لزوما سیم بصورت فیزیکی وصل بشه؛ خیلی وقتا میشه بدون اتصال مستقیم و با استفاده از القا و امواج الکترومغناطیس ساطع شده هم استراق سع کرد).
حالا بنده باید براتون مارک و مدل دستگاههای مربوط رو هم بگم و خودم این کار رو انجام داده باشم که شما باورتون بشه؟!

ضمنا در شبکه های محلی هم یه زمانی که بیشتر بجای سویچ از هاب استفاده میشد (یک دلیلش بخاطر گرانی سویچ ها)، شما با صرف نصب کردن یک نرم افزار Packet sniffer و تنظیم کارت شبکه روی حالت Promiscuous، میتونی براحتی ارتباطات دیگران رو استراق سمع و ذخیره کنی روی سیستم خودت.

روی سیستم خودتون هم میتونید با نصب کردن نرم افزارهایی مثل wire shark ببینید که ارتباطات متن بدون رمزنگاری یعنی چی. دقیقا همون چیزی که توی نرم افزار هست و میبینید توی خط هم ارسال میشه و به سیستمهای دیگر میرسه. همش متن روشن و بدون هیچ حفاظتی!
من دیگه تا این حدش رو عملا هم تست کردم. چیز خاصی نداره. حالا شما انجام ندادی، خب یه سرچ کن، نرم افزارهای مربوطه رو دانلود و تست کن و ببین. من چطوری دیگه برات مثال بزنم؛ یعنی میگی تصویری و ویدئویی درست کنم برات بذارم؟
یا اینکه مثلا شبکه و تشکیلات راه بندازم برای تست و فیلم برداری کنم؟
من یه کامپیوتر قدیمی به زور دارم عزیزم.

خب مسلمه هر کاری رو دست کاردانش بسپاریم کار آسانی میشه.
اما تا زمانی که کاردان ها کم باشند یا نباشند کجای دزدیدن اطلاعات راحت میشه؟
یه جوری صحبت میکنید انگار تمام آدمای دنیا هکر تشریف دارند و مشغول دزدیدن اطلاعات.
مثل شغل شریف خودمونه. برای من و شما طراحی وبسایت کار سختی نیست. اما برای عموم هم اینطوره؟ خیر. اصلا کار راحتی نیست.
لذا دزدیدن این اطلاعات اصلاً کار راحتی نیست. و احتمال دزدیده شدن اطلاعات وبسایت شمای نوعی تا زمانی که ارزش دزدی ازش رو نداشته باشه بسیار بسیار بسیار پایین خواهد بود.
یکم واقع بین باید بود.

درمقابل خیلی کارهای دیگه راحته.
یا اینکه فراتر از چیزی که بیشتر افراد فکر میکنن راحته. شاید منظور صحیح این باشه!
معلومه چیزی که درش امنیت درنظر گرفته نشده، پس راحته برای نفوذ.
مثل خط تلفن معمولی که امنیت خاصی نداره و هرکس دوتا سیستم وصل کنه که فقط یخورده اطلاعات و وسیله میخواد، میتونه استراق سمع کنه.
مسلمه که من و شما آدمهای عادی از این کارها نکردیم و براش انگیزه نداریم، اما همهء آدمها اینطور نیستن.


لذا دزدیدن این اطلاعات اصلاً کار راحتی نیست.
منکه نفهمیدم از کجا به چنین نتیجه ای رسیدی.
کار سختی نیست واسه اونایی که دسترسی دارن.
من از دید خودم البته میگم راحته. قرار نیست با افراد غیرمتخصص و بی سواد معیار راحتی رو مشخص کنیم.
شما باید ببینی واسه یه آدم متخصص و تکنیکال راحت بحساب میاد یا نه.
چیزی که با کمی سرچ و مطالعه و دانلود و نصب چند نرم افزار قابل انجامه، راحت بحساب میاد.


احتمال دزدیده شدن اطلاعات وبسایت شمای نوعی تا زمانی که ارزش دزدی ازش رو نداشته باشه بسیار بسیار بسیار پایین خواهد بود.
دقیقا سه تا «بسیار» رو چطوری محاسبه کردی؟ :لبخند:
ما در امنیت حرفه ای با حدس و تصور و نظر شخصی کاری نداریم. یعنی نمیشه روش حساب کرد. نباید حساب کرد.
آمار و سند خاصی هم که نداشتی، پس از کجا محاسبه کردی از کجا مطمئنی حتی بصورت تقریبی؟
نمیشه مطمئن بود.
از کجا معلوم شاید خیلی وقتا یه مشکلی هم پیش میاد دلیلش همینطور چیزها بوده باشه ولی کسی شک نمیبره.
مثلا شاید بعضی هکها و دیفیس ها و غیره چنین منشاء ای داشته باشه. طرف اینطور واسه خودش شهرت و کارهایی میکنه. لزومی نداره سایت شما خیلی ارزشمند باشه و هدف خودش باشه؛ ممکنه هدف چیزهای دیگری بوده باشه.
شاید یه زمانی دزد خونهء یکی رو زده، از استراق خط تلفنش شروع شده فهمیدن چه وقت هست چه وقت نیست کجا میخوان برن چکار میکنن چند نفر هستن و غیره! کسی چه میدونه؟ کسی به فکرش نرسیده کسی شک نکرده کسی هم افشا نکرده.

البته قاعدتا دستکاری اطلاعات و MITM باید تکنیکال تر باشه و نیاز به نقشه و آمادگی داشته باشه، ولی صرفا مانیتور کردن و خوندن کار راحتیه. با فقط خوندن میتونن یوزر و پسوردها رو براحتی بدست بیارن و بعدا از اون راه جاسوسی و نفوذ و خرابکاری کنن.

چند وقت پیش خبرش رو اگر شنیده باشی مثلا گفتن که این تلفن بانک ها امن نیستن و مشخصات کارت بانکی که وارد میکنی و رمزها و خلاصه هرچی که با تلفن منتقل میکنید، تضمینی توش نیست که سرقت نشه و در مراکز مخابراتی ممکنه براحتی جاسوسی کنن. معلومه خودشون هم نمیتونن بصورت مطمئنی از این مسئله جلوگیری کنن.
چرا؟ چون خط تلفن ذاتا امنیت نداره. هیچ تدبیر امنیتی و حفظ محرمانگی درش نیست و اساسا واسه اینطور چیزها طراحی و ساخته نشده.
حالا شما بگو راحت نیست، احتمالش خیلی کمه! ولی مطمئنی؟
بهرحال هیچ تضمینی نیست.
یوقت اتفاق افتاد گردن خودته و محاسبه ای هم درکار نبوده و حتی خودت هم زیاد تعجب نمیکنی و نظرت رو براحتی عوض میکنه در این رابطه. این نشون میده که خودت هم اطمینان واقعی نداشتی.

سوال من چی بود بحث به کجا کشیده شد:لبخندساده:
بحث تلفن بانک که شد چیزی بگم که دیگه اصلا هیچ ربطی به بحث نداره:لبخند:.قبلاً (http://barnamenevis.org/showthread.php?435931-%D9%87%D8%B4%D8%AF%D8%A7%D8%B1-%D8%AF%D8%B1-%D9%85%D9%88%D8%B1%D8%AF-%D8%A7%D8%B3%D8%AA%D9%81%D8%A7%D8%AF%D9%87-%D8%A7%D8%B2-%D9%86%D8%B1%D9%85-%D8%A7%D9%81%D8%B2%D8%A7%D8%B1%D9%87%D8%A7%DB%8C-%D8%A7%D9%85%D9%86%DB%8C%D8%AA%DB%8C-%D9%85%D8%A7%D9%86%D9%86%D8%AF-acunetix&highlight=acunetix)هم یه تایپیک تو همین مایه ها نوشتم.
چند مدت پیش چند نفر اومدن شعبه(جرایم رایانه ای) گفتن حساب ما هک شده(خیلی جالبه هر کی میاد شعبه میگه حسابم هک شده حالا خوب که بررسی میکنیم میفهمیم پسرش کارت رو برداشته و پول از حساب کشیده و بابا هم نفهمیده:لبخند: ).به هر حال.خوب که بررسی کردیم دیدم یه نفر میرفته با تلفن بانک خرید میکرده به این روش که تمام اطلاعات رو به تلفن بانک میداده و تاییده هم تلفن بانک میداده که پول واریز شده(صوتی).جالبیه تلفن بانک اینه که وقتی عملیات انجام شده کامل، اون وقت یه اس ام اس به صاحب حساب میده و میگه که شما تایید میکنین این واریز حساب رو.اون موقع طرف کنسل میکرده عملیات رو.گرچه خود فروشنده مقصر هست که حساب رو چک نکرده و همچنین تلفن بانک ها که چنین سوتی دارن ولی این جور اتفاق ها میتونه راحت شایعه ناامن بودن یه تکنولوژی رو رواج بده.
حواستون باشه این جوری کلاه سرتون نره:لبخند:

فقط هم این نیست که سایت شما و اطلاعاتش مهم باشه یا نه.
خود پسوردها چیز مهمیه.
ممکنه پسوردی که کاربر داره واسه اکانت بانکش هم همون رو استفاده کرده باشه یا یه چیزی شبیه اون رو.

من نمیگم حتما از HTTPS استفاده کنید، ولی بنظرم هش کردن پسوردها در سمت کلاینت قبل از ارسال کمترین کاری باشه که میشه کرد. هرچند این رو هم میشه دور زد، ولی خب فکر میکنم اکثرا اونقدر به خودشون زحمت ندن، چون دستکاری و جعل میخواد (نه فقط خوندن) که یخورده دنگ و فنگ داره و مشکل تره و ممکنه کشف هم بشه.

بله. معیار نباید افراد بی سواد قرار بگیره. اما تا کجا باید پیش بریم؟ من منکر استفاده از HTTPS نیستم. اتفاقاً لازمه.
از قدیم گفتن هر کاری یه راهی داره. دزدین اطلاعات HTTP هم راه داره. اما هرکسی توان انجام هر کاری رو نداره و بحث من سر همینه. به علاوه ی اینکه هرکسی هم که توان انجام اینکارو داشته باشه چه اما و اگر هایی باید پیش بیاد تا به وبسایت شما نفوذ کنه.
یه کسی مثل شما که خیلی سر مسائل امنیتی وسواس داره خب جلوگیری میکنه و یکی دیگه اهمیت نمیده. ممکنه یک در هزار اطلاعات انتقالی از پروتوکل HTTP من دزدیده بشه اما وبسایت شما خیر. و اگر چنین شد وبسایت من شامل چه اطلاعات مفیدی میتونه باشه. صحبت من اصلاً سر درگاه های خرید آنلاین و امنیتی و مشابه اینها نیست.
باز هم میگم. اگر واقعاً به این راحتی هاست که شما عرض میکنید. یک دوره آموزشی قرار بدید. ما استفاده میکنیم.