پروژه نظارت و کنترل از راه دور

[SZsXsZS]

در محل کارم یکسری Thin client داریم که از یک سرور مرکزی استفاده میکنن. یوقتا نیاز هست آدم کارهایی انجام بده، بخاطر همین فکر کردم یه برنامه ای بنویسم که بدون اینکه نیاز به حضور فیزیکی سر هر سیستم باشه بتونیم روشون نظارت و کنترل راحتی داشته باشیم. پس این برنامه رو نوشتم که البته در ابتدا فقط قابلیت استفاده local رو داشت، یعنی میتونستی از روی سرور کلاینت ها رو مدیریت کنی، ولی بعدا گفتم پروژهء جالبیه و کاربردی هم هست، بخاطر همین امکان دسترسی از راه دور (اینترنت) رو هم بهش اضافه کردم.
این برنامه عملا تست شده و بخوبی کار میکنه.
ضمنا چون بنده تخصص خوبی در رمزنگاری و امنیت دارم، این برنامه از روشهای رمزنگاری حرفه ای بقدر کافی استفاده میکنه و بنابراین امنیت خیلی خوبی داره. تمام ارتباطات دو طرف با سرور واسط که نقش Relay رو ایفا میکنه با AES-128-CBC+HMAC-SHA256 رمز میشن. علاوه بر این، ارتباط بین دو طرف بصورت End to end با کلید جداگانه ای رمز میشه و بنابراین حتی اگر سرور واسط امن نباشه و هکر بهش نفوذ کنه یا هاستینگ قابل اعتماد نباشه بازم امنیت برنامه مخدوش نمیشه. البته مسلما کسی که به سرور واسط دسترسی پیدا کنه میتونه با خرابکاری باعث از کار افتادن این برنامه بشه، ولی نمیتونه هیچ اطلاعات رد و بدل شده ای رو بخونه و هیچ فرمانی به کلاینت ها بده.
ضمنا این برنامه در برابر Replay attack هم امن شده (با استفاده از counter و تشکیلات دیگری).
خلاصه از لحاظ امنیت خیال آدم میتونه خیلی راحت باشه.
باوجودی که برنامه های شناخته شده ای مثل Team Viewer هم در بعضی کاربردها میتونن بجای این برنامه استفاده بشن اما این برنامه هم مزایای خاص خودش رو داره مثل اینکه میتونه بصورت پنهان نصب و استفاده بشه، در بدترین شرایط اتصال اینترنت که کیفیت و سرعت خیلی کم باشه که با Team Viewer در چنین شرایطی نمیشه کار کرد کار میکنه (چون فقط کافیه هر چند ثانیه بتونه مقدار کمی دیتا رو با استفاده از HTTP منتقل و دریافت کنه و نیازی به یک اتصال پرسرعت و با کیفیت نداره)، سبک و سریع هست، میشه درصورت نیاز امکانات سفارشی خاصی رو بهش اضافه کرد، و یکسری مزایای جنبی دیگه. ضمنا هرچندتا Thin client که به سیستم سرور مرکزی وصل شده باشن میشه با همین یک برنامه و یک نصب نظارت و کنترل کرد.

راستش نمیخواستم این برنامه رو حتی اطلاع رسانی کنم، چون قرار بود مخفی باشه، ولی گفتم شاید مشتری پیدا کرد اگر پول کافی بابتش میدادن که ارزشش رو داشت بفروشمش

بهرحال این یک کار خاص و غیرکلیشه ای و غیر روتین هست که مشابه به اون شکل نداره بنظرم. ولی بخاطر همین قیمتش هم مشخص نیست. بهرصورت بنظرم نوشتن اینطور برنامه کار هرکسی نیست و درش از دانش های خاص متنوعی بهره برده شده. بنظر شما اینطور کارها رو چطوری باید قیمت گذاری کرد مثلا این برنامه الان اگر کسی بخواد بخره یا سفارش بده چقدر قیمت داره؟

proj.PNG

این برنامه با پایتون نوشته شده، و بخش کوچک روی هاست واسط هم با PHP.

[golbafan]

چون زحمت کشیدی 5000 تومان خوبه
وگر نه برنامه های بهتر و رایگان و اپن سورس زیادی هست در این مقوله

این رو گوگل کن
remote client control open source

[SZsXsZS]

چون زحمت کشیدی 5000 تومان خوبه
وگر نه برنامه های بهتر و رایگان و اپن سورس زیادی هست در این مقوله

این رو گوگل کن
remote client control open source

دلقک مثل تو زیاد هست
در بحث هم که اشتباه میکنی بعد میگی میخواستم تو رو محک بزنم
کلا آدمی هست دروغگویی و حقه بازی واست عادیه.
سواد آنچنانی هم نداری و باد توخالی هستی!

[negative60]

پس این برنامه رو نوشتم که البته در ابتدا فقط قابلیت استفاده local رو داشت، یعنی میتونستی از روی سرور کلاینت ها رو مدیریت کنی، ولی بعدا گفتم پروژهء جالبیه و کاربردی هم هست، بخاطر همین امکان دسترسی از راه دور (اینترنت) رو هم بهش اضافه کردم.

توی سوکت پرگرمینگ هیچ فرقی‌ نمی‌کنه برنامه روی لوکال باشه رو شبکه محلی یا اینترنت پس در واقع هیچ کاری به جز اینکه آیپی لوکال رو لیستین نکنی‌ و بجاش یه ۰ بذاری انجام نشده

ضمنا چون بنده تخصص خوبی در رمزنگاری و امنیت دارم، این برنامه از روشهای رمزنگاری حرفه ای بقدر کافی استفاده میکنه و بنابراین امنیت خیلی خوبی داره. تمام ارتباطات دو طرف با سرور واسط که نقش Relay رو ایفا میکنه با AES-128-CBC+HMAC-SHA256 رمز میشن. علاوه بر این، ارتباط بین دو طرف بصورت End to end با کلید جداگانه ای رمز میشه و بنابراین حتی اگر سرور واسط امن نباشه و هکر بهش نفوذ کنه یا هاستینگ قابل اعتماد نباشه بازم امنیت برنامه مخدوش نمیشه. البته مسلما کسی که به سرور واسط دسترسی پیدا کنه میتونه با خرابکاری باعث از کار افتادن این برنامه بشه، ولی نمیتونه هیچ اطلاعات رد و بدل شده ای رو بخونه و هیچ فرمانی به کلاینت ها بده.
ضمنا این برنامه در برابر Replay attack هم امن شده (با استفاده از counter و تشکیلات دیگری).
خلاصه از لحاظ امنیت خیال آدم میتونه خیلی راحت باشه.

پروتکلهای SSL/TSL استاندارد برای امن کردن یک ارتباط تو شبکه غیر ایمن ساخت شده اند کسی‌ خودش پروتکل ابداع نمی‌کنه مگر اینکه واقعا دانش ودلیل خوبی‌ داشته باشه, دوم اینکه کسی‌ که هنوز چیزی ارائه نداده نمیتونه ادعا کنه که برنامه من کاملا امن هست! حداقل کاری که میتونی‌ کنی‌ اینه که یک گراف از روال ارتباط بین سرور و کلاینت بذاری

راستش نمیخواستم این برنامه رو حتی اطلاع رسانی کنم، چون قرار بود مخفی باشه، ولی گفتم شاید مشتری پیدا کرد اگر پول کافی بابتش میدادن که ارزشش رو داشت بفروشمش

پس پروژه سری و فوق امنیتی بوده! کسی‌ که ادعا می‌کنه برنامه امن هست چرا باید یه برنامه ریموت لاگ, ریبوت..، که ساختنش چند روز زمان میبره رو مخفی‌ نگه داره؟

[SZsXsZS]

توی سوکت پرگرمینگ هیچ فرقی‌ نمی‌کنه برنامه روی لوکال باشه رو شبکه محلی یا اینترنت پس در واقع هیچ کاری به جز اینکه آیپی لوکال رو لیستین نکنی‌ و بجاش یه ۰ بذاری انجام نشده

کی گفته من اول از سوکت استفاده کرده بودم؟
در روش اول چون سیستم فایل بین تمام کلاینت ها مشترک بود از همون سیستم فایل برای ارتباط استفاده کرده بودم. اینطوری یکسری دنگ و فنگ های شبکه و ناپایداری ها و مسائل فنی هم بنظرم کاهش پیدا میکرد و نوشتن برنامه هم ساده تر و سریعتر و راحت تر میشد. فکر کردم از نظر پرفورمنس هم منابع کمتری از سیستم مصرف میکنه و کاهش سرعت حداقلی است.
الان هم برنامه روی لوکال با همون سیستم فایل کار میکنه و فقط یک بخش اینترنت که ارتباط از طریق HTTP انجام میده به برنامه اضافه شده.
البته این بخش جدید خودش خیلی کار برد و تقریبا نصف برنامه از نو نوشته شد، البته اگر مسائل امنیتی و رمزنگاری رو هم بهش اضافه کنیم میشه گفت حتی بیشتر، چون بهرحال اطلاعات وقتی بخواد از شبکهء داخلی خارج بشه و توی اینترنت بره مسائل امنیتی باید رعایت بشن.

پروتکلهای SSL/TSL استاندارد برای امن کردن یک ارتباط تو شبکه غیر ایمن ساخت شده اند کسی‌ خودش پروتکل ابداع نمی‌کنه مگر اینکه واقعا دانش ودلیل خوبی‌ داشته باشه, دوم اینکه کسی‌ که هنوز چیزی ارائه نداده نمیتونه ادعا کنه که برنامه من کاملا امن هست! حداقل کاری که میتونی‌ کنی‌ اینه که یک گراف از روال ارتباط بین سرور و کلاینت بذاری

خب SSL همینطور الکی و ساده هم نیست و روی هر هاستی نمیشه بسادگی راه انداخت. درحالیکه برنامهء من میتونه با هاستهای اشتراکی ارزان و بدون نیاز به هیچ کاری و تهیه و نصب و راه اندازی SSL و این حرفها کار کنه. اصولا نیازی به SSL نداره براش هیچ فرقی نمیکنه چون امنیت کامل داره خودش و از روش رمزنگاری مستقلی استفاده میکنه. همین SSL که میگید خودش اینقدر کامل نیست، مثلا در SSL شما به یک CA اعتماد میکنید (مراجعی که گواهینامهء دیجیتال رو ازشون تهیه میکنید)، البته از self signed certificate هم میشه استفاده کرد، که این مراجع خودشون یک نقطهء مبهم و ضعف احتمالی هستن، دوما SSL امنیت داده ها رو فقط در مسیر تامین میکنه و روی خود سرور امنیتی رو تامین نمیکنه، ولی برنامهء من چون از رمزنگاری P2P استفاده میکنه و سرور فقط نقش واسطه رو داره، و پروتکلش طوری طراحی شده که به سرور هیچگونه اعتمادی نشده، حتی اگر سمت سرور بصورت کامل دست نفوذگر بیفته عملا نمیتونه هیچ کاری بکنه (البته طبیعتا میتونه برنامه رو از کار بندازه، ولی نمیتونه هیچ اطلاعاتی رو بخونه یا جعل کنه و عملی رو در سمت کلاینت ها موجب بشه).

پس پروژه سری و فوق امنیتی بوده! کسی‌ که ادعا می‌کنه برنامه امن هست چرا باید یه برنامه ریموت لاگ, ریبوت..، که ساختنش چند روز زمان میبره رو مخفی‌ نگه داره؟

به حرف بله آسونه. ادعا کردن که کاری نداره!
ولی برنامه تا برنامه جزییاتش و درونش و امنیتش هست که زمین تا آسمون میتونه متفاوت باشه.
ضمنا هرکاری و محیطی ممکنه یکسری امکانات و جزییات خاص خودش رو بطلبه یا براش مفید باشه که در برنامه های دیگه پیدا نشه.
ضمنا من مخفی کردم در درجهء اول نه بخاطر اینکه بگم خیلی خفنه، بلکه بخاطر اینکه نمیخوام یه مشت جوجه دوزاری ازش برای کارهای غیراخلاقی استفاده کنن. بعدم قرار نیست آدم هرچی درست میکنه مفتی در اختیار دیگران بذاره. گرچه من خودم کدها و برنامه های متعددی رو قبلا بصورت بازمتن منتشر کردم که کارهای خاص و پیشرفته و مفیدی هم هستن، ولی متاسفانه یه مشت آدم بیشعور دوزاری که خودشون یک سوم من سواد ندارن فقط میان میگن تو سواد نداری و کار خاصی انجام ندادی و این حرفا! البته در بحثهای اخیر معلوم شد که کی سواد داره و کی نداره! وقتی میبینم بقیه چقدر آدمهای بیشعور و بی لیاقتی هستن، دلم نمیخواد برنامه هام رو مفتی در اختیار دیگران قرار بدم (اگر میتونستم برای خارجی ها منتشر میکردم ولی هرگز در اختیار این ملت بیشعور خودمون نمیذاشتم، چون من خودم مدیون علم و کدها و دستاوردهای خارجی ها هستم که بصورت بازمتن منتشر کردن در اختیار همه گذاشتن).

[negative60]

کی گفته من اول از سوکت استفاده کرده بودم؟
در روش اول چون سیستم فایل بین تمام کلاینت ها مشترک بود از همون سیستم فایل برای ارتباط استفاده کرده بودم. اینطوری یکسری دنگ و فنگ های شبکه و ناپایداری ها و مسائل فنی هم بنظرم کاهش پیدا میکرد و نوشتن برنامه هم ساده تر و سریعتر و راحت تر میشد. فکر کردم از نظر پرفورمنس هم منابع کمتری از سیستم مصرف میکنه و کاهش سرعت حداقلی است.
الان هم برنامه روی لوکال با همون سیستم فایل کار میکنه و فقط یک بخش اینترنت که ارتباط از طریق HTTP انجام میده به برنامه اضافه شده.
البته این بخش جدید خودش خیلی کار برد و تقریبا نصف برنامه از نو نوشته شد، البته اگر مسائل امنیتی و رمزنگاری رو هم بهش اضافه کنیم میشه گفت حتی بیشتر، چون بهرحال اطلاعات وقتی بخواد از شبکهء داخلی خارج بشه و توی اینترنت بره مسائل امنیتی باید رعایت بشن.

اگر به درستی ارتباط رو هندل کنید هیچ نیازی به استفاده از سیستم انتقال فایل ویندوز نیست, حتما می‌دونید که تمام ارتباطات بین شبکه ایی و داخل شبکه روی پرتوکل IP هست و انتقال فایل در شبکه از طریق TCP انجام می‌شه پس شما فقط برای اینکه خودتون رو درگیر سوکت نویسی نکنید از سیستم انتقال فایل شبکه استفاده کردید پرفرمنس و پایداری ۱۰۰% به نویسنده برنامه بستگی داره و سرعت انتقال فایل هم به عوامل مختلفی‌ بستگی داره که یک قسمتش بر میگرده به روشی‌ که نویسنده برای انتقال فایل انتخاب کرده که اگر از روشهای چند ارتباطی‌ استفاده کنه می‌تونه از تمام پهنای باند شبکه برای انتقال فایلهای حجیم استفاده کنه که سرعت انتقال فایل برنامه می‌تونه سرعت بیشتری نسبت به انتقال فایل ویندوز داشته باشه

خب SSL همینطور الکی و ساده هم نیست و روی هر هاستی نمیشه بسادگی راه انداخت. درحالیکه برنامهء من میتونه با هاستهای اشتراکی ارزان و بدون نیاز به هیچ کاری و تهیه و نصب و راه اندازی SSL و این حرفها کار کنه. اصولا نیازی به SSL نداره براش هیچ فرقی نمیکنه چون امنیت کامل داره خودش و از روش رمزنگاری مستقلی استفاده میکنه. همین SSL که میگید خودش اینقدر کامل نیست، مثلا در SSL شما به یک CA اعتماد میکنید (مراجعی که گواهینامهء دیجیتال رو ازشون تهیه میکنید)، البته از self signed certificate هم میشه استفاده کرد، که این مراجع خودشون یک نقطهء مبهم و ضعف احتمالی هستن، دوما SSL امنیت داده ها رو فقط در مسیر تامین میکنه و روی خود سرور امنیتی رو تامین نمیکنه، ولی برنامهء من چون از رمزنگاری P2P استفاده میکنه و سرور فقط نقش واسطه رو داره، و پروتکلش طوری طراحی شده که به سرور هیچگونه اعتمادی نشده، حتی اگر سمت سرور بصورت کامل دست نفوذگر بیفته عملا نمیتونه هیچ کاری بکنه (البته طبیعتا میتونه برنامه رو از کار بندازه، ولی نمیتونه هیچ اطلاعاتی رو بخونه یا جعل کنه و عملی رو در سمت کلاینت ها موجب بشه).

سایت‌هایی‌ هستند که گواهینامه معتبر رایگان ارائه میدن پس به جز داشتن یک دامین و هاست هزینه ایی نمیتونه داشته باشه, همونطور که عرض کردم تا زمانی‌ که مستندات یا گراف از نحوه امن کردن ارتباط ارائه ندادید نمیتونید ادعا کنید ارتباط برنامتون امن هست

به حرف بله آسونه. ادعا کردن که کاری نداره!
ولی برنامه تا برنامه جزییاتش و درونش و امنیتش هست که زمین تا آسمون میتونه متفاوت باشه.
ضمنا هرکاری و محیطی ممکنه یکسری امکانات و جزییات خاص خودش رو بطلبه یا براش مفید باشه که در برنامه های دیگه پیدا نشه.
ضمنا من مخفی کردم در درجهء اول نه بخاطر اینکه بگم خیلی خفنه، بلکه بخاطر اینکه نمیخوام یه مشت جوجه دوزاری ازش برای کارهای غیراخلاقی استفاده کنن. بعدم قرار نیست آدم هرچی درست میکنه مفتی در اختیار دیگران بذاره. گرچه من خودم کدها و برنامه های متعددی رو قبلا بصورت بازمتن منتشر کردم که کارهای خاص و پیشرفته و مفیدی هم هستن، ولی متاسفانه یه مشت آدم بیشعور دوزاری که خودشون یک سوم من سواد ندارن فقط میان میگن تو سواد نداری و کار خاصی انجام ندادی و این حرفا! البته در بحثهای اخیر معلوم شد که کی سواد داره و کی نداره! وقتی میبینم بقیه چقدر آدمهای بیشعور و بی لیاقتی هستن، دلم نمیخواد برنامه هام رو مفتی در اختیار دیگران قرار بدم (اگر میتونستم برای خارجی ها منتشر میکردم ولی هرگز در اختیار این ملت بیشعور خودمون نمیذاشتم، چون من خودم مدیون علم و کدها و دستاوردهای خارجی ها هستم که بصورت بازمتن منتشر کردن در اختیار همه گذاشتن).

ما داریم در مورد ادعایی که شده صحبت می‌کنیم و همونطور که عرض کردم اگر از امن بودن برنامه اطمینان داشتید هیچ دلیلی‌ بر مخفی‌ بودنش وجود نداشته نه اینکه چرا رایگان در اختیار دیگران قرار ندادید! هدف این دست از سایت‌ها و فرومها این هست که در مورد مسائل فنی‌ صحبت بشه نه قضاوت کردن دیگران البته گاهی ممکن هست در مورد مسائل حاشیه ایی هم صحبت بشه ولی‌ این درست نیست

[SZsXsZS]

همونطور که عرض کردم اگر از امن بودن برنامه اطمینان داشتید هیچ دلیلی‌ بر مخفی‌ بودنش وجود نداشته نه اینکه چرا رایگان در اختیار دیگران قرار ندادید! هدف این دست از سایت‌ها و فرومها این هست که در مورد مسائل فنی‌ صحبت بشه نه قضاوت کردن دیگران البته گاهی ممکن هست در مورد مسائل حاشیه ایی هم صحبت بشه ولی‌ این درست نیست

از امن بودنش که مطمئنم.
البته مسلما به شرطی که دو سیستمی که با هم ارتباط برقرار میکنن امن باشن تحت کنترل خودمون باشه.
البته بعدا یادم افتاد یک دلیل دیگری که منتشرش نکردم بخاطر اینکه اگر منتشر کنم شناخته میشه و دیگه جایی بخوام مخفی نصب کنم سیستم ها رو مانیتور کنم کار یخورده مشکل میشه. ولی الان کسی از وجود چنین برنامه ای به چنین شکلی اطلاعی نداره کسی شکل و مشخصاتش رو نمیدونه، در نتیجه امکان استفادهء مخفی بیشتری هست و تنها شخصی اگر خیلی فنی و دقیق و گیر باشه و سیستم رو بررسی کنه شاید متوجه وجودش بشه. ولی فردا اگر پخش بشه تابلو میشه دیگه! ضمنا چه بسا ازش استفاده های منفی و جاسوسی بکنن و اونوقت ممکنه توی دیتابیس آنتی ویروس ها و نرم افزارهای امنیتی هم بعنوان یک بدافزار ثبت بشه که اونوقت بنظرم برای استفاده های عادی هم مشکل پیش میاد.

حالا شما که میگید برنامهء مهمی نیست و نمونش ریخته دیگه چرا اینقدر وسوسه میکنید که منتشرش کنم؟
شما برید از همونا که ریخته خب استفاده کنید. برنامه منم اصلا امن نیست به دردی نمیخوره

[golbafan]

از امن بودنش که مطمئنم.
البته مسلما به شرطی که دو سیستمی که با هم ارتباط برقرار میکنن امن باشن تحت کنترل خودمون باشه.
البته بعدا یادم افتاد یک دلیل دیگری که منتشرش نکردم بخاطر اینکه اگر منتشر کنم شناخته میشه و دیگه جایی بخوام مخفی نصب کنم سیستم ها رو مانیتور کنم کار یخورده مشکل میشه. ولی الان کسی از وجود چنین برنامه ای به چنین شکلی اطلاعی نداره کسی شکل و مشخصاتش رو نمیدونه، در نتیجه امکان استفادهء مخفی بیشتری هست و تنها شخصی اگر خیلی فنی و دقیق و گیر باشه و سیستم رو بررسی کنه شاید متوجه وجودش بشه. ولی فردا اگر پخش بشه تابلو میشه دیگه! ضمنا چه بسا ازش استفاده های منفی و جاسوسی بکنن و اونوقت ممکنه توی دیتابیس آنتی ویروس ها و نرم افزارهای امنیتی هم بعنوان یک بدافزار ثبت بشه که اونوقت بنظرم برای استفاده های عادی هم مشکل پیش میاد.

مشکل جنابعالی اینه که خیلی خیالت راحته و با معلومات اندکی که در زمینه ارتباطات شبکه داری فکر میکنی کارت امنیت داره. این روش point to point که شما تو برنامت بکار میبری بدترین نقطه ضعفیه که داره. اگر قراره هر دو کامپیوتر مال خودت باشه که هیچی ولی اگر قرا باشه یکی بیاد به این برنامه اعتماد کنه و اون رو روی یک رایانه هدف بخواد کار بزاره باید یکی مثل خودت باشه...
بطور خلاصه بخوام بگم: خیلی راحت و بدون درد سر و فقط با نصب یک نرم افزار net limiter میشه ip و پورت مورد استفاده جنابعالی رو استخراج کرد و اونوقت سیستم خودت میشه هدف حملات!!!

حالا شما که میگید برنامهء مهمی نیست و نمونش ریخته دیگه چرا اینقدر وسوسه میکنید که منتشرش کنم؟
شما برید از همونا که ریخته خب استفاده کنید. برنامه منم اصلا امن نیست به دردی نمیخوره

نه اتفاقا الان nsa داره در به در دنبال یک همچین برنامه ای میگرده

چون با پایتون نوشتی مثال ها رو از پایتون برات میزارم وگرنه نمونه های C++‎خیلی بیشتر و بهتر هستند که خودت زحمت سرچش رو بکش

پروژه های معمولی:

http://homepage.hispeed.ch/py430/python/pyvncviewer.zip

http://homepage.hispeed.ch/py430/pyt...aver-0.3.2.zip

http://homepage.hispeed.ch/py430/python/SMB_reroute.py


پروژه های حرفه ای و کامل:

https://github.com/citronneur/rdpy

https://github.com/n1nj4sec/pupy

[golbafan]

که اگر از روشهای چند ارتباطی‌ استفاده کنه می‌تونه از تمام پهنای باند شبکه برای انتقال فایلهای حجیم استفاده کنه که سرعت انتقال فایل برنامه می‌تونه سرعت بیشتری نسبت به انتقال فایل ویندوز داشته باشه

البته یکی از روشهایی که نرم افزارهای اینترنت سکیوریتی میتونن بد افزارها رو شناسایی کنن همینه. استفاده از پهنای باند باید خیلی هوشمندانه انجام بشه و به تناسب استفاده فرد از اینترنت، مورد استفاده قرار بگیره تا به این طریق در حاشیه امن قرار بگیره

[golbafan]

دلقک مثل تو زیاد هست
در بحث هم که اشتباه میکنی بعد میگی میخواستم تو رو محک بزنم
کلا آدمی هست دروغگویی و حقه بازی واست عادیه.
سواد آنچنانی هم نداری و باد توخالی هستی!

قیمت خواستی قیمت دادم...
اونهم فقط بخاطر حمایت از تولید ملی. وگرنه نمونه های اپن سورس (لینک های GitHub) که مثال زدم مدل های بهتری برای استفاده و توسعه ارائه میکنن...

[negative60]

از امن بودنش که مطمئنم.
البته مسلما به شرطی که دو سیستمی که با هم ارتباط برقرار میکنن امن باشن تحت کنترل خودمون باشه.
البته بعدا یادم افتاد یک دلیل دیگری که منتشرش نکردم بخاطر اینکه اگر منتشر کنم شناخته میشه و دیگه جایی بخوام مخفی نصب کنم سیستم ها رو مانیتور کنم کار یخورده مشکل میشه. ولی الان کسی از وجود چنین برنامه ای به چنین شکلی اطلاعی نداره کسی شکل و مشخصاتش رو نمیدونه، در نتیجه امکان استفادهء مخفی بیشتری هست و تنها شخصی اگر خیلی فنی و دقیق و گیر باشه و سیستم رو بررسی کنه شاید متوجه وجودش بشه. ولی فردا اگر پخش بشه تابلو میشه دیگه! ضمنا چه بسا ازش استفاده های منفی و جاسوسی بکنن و اونوقت ممکنه توی دیتابیس آنتی ویروس ها و نرم افزارهای امنیتی هم بعنوان یک بدافزار ثبت بشه که اونوقت بنظرم برای استفاده های عادی هم مشکل پیش میاد.

حالا شما که میگید برنامهء مهمی نیست و نمونش ریخته دیگه چرا اینقدر وسوسه میکنید که منتشرش کنم؟
شما برید از همونا که ریخته خب استفاده کنید. برنامه منم اصلا امن نیست به دردی نمیخوره

خوب مشخصه به جز replay attack از انواع حملات دیگه با خبر نیستید تو پروژه‌های واقعی‌ اینکه از نظر خودتون برنامتون امن باشه اهمیتی نداره چون هرکس با سطح دانشی که داره به یک موضوع نگاه می‌کنه
شما اگر سورس برنامه تون هم قرار بدید برای من کاملا بی‌ استفاده هست هم به خاطر زبان برنامه نویسی که به راحتی‌ دیکامپایل می‌شه، هم اینکه به جز باگ‌های احتمالی‌ طراحی و اجرایی از نظر من روشی‌ که انتخاب کردید صحیح نیست.


موفق باشید

[SZsXsZS]

من واسه خودم اینقدر اهمیت نداره که حالا ثابت کنم این برنامه چی هست و فلان و بهمان! فقط چون شماها در اصل کم سواد و کم توانید ولی خیلی پررو هستید خواستم یخورده روتون رو کم کنم.
واسه من به خودی خودش هیچ اهمیتی نداره آدمهایی امثال شما چی بگن.
چیزی هست که در عمل در روزمرهء زندگی خودم دارم میبینم در چه حدی هستم و دیگران در چه حدی. تازه هم من واسم کاربرد واسه خودم مهمه اینکه هرچیزی نیازه واسه خودم بسازم، و تاحالا هم توی چیزی نموندم، تقریبا هر نوع برنامه نویسی و برنامه ای که نیازم شده خودم بلد بودم بنویسم، با هر زبانی در هر حیطه ای!
این برنامه هم در حد نیازهای شخصی و کاری خودم بوده، و بیشتر از یک حدی نخواستم خیلی حجیم و پیچیده تر بشه، چون در همین حد بعنوان base کفایت میکنه و برای کار من تمام مشخصات و امکانات و امنیت کافی رو داره.
بقول یارو خخخ خندم میگیره
شما دوتا جوجه میخواید مثلا با من جنگ روانی کنید؟ درحالیکه من استاد و ابرقدرت این کارم!
ریزتر از این حرفا هستید.
فعلا که در طی بحث های این چند وقت اخیر با همین golbafan کلی سوتی در کرده و مشخص شد سواد آنچنانی هم نداره. بعد میاد با من بحث میکنه!
شنیدید میگن آنکه با داناتر از خود مجادله کند...، الان حکایت ایشون بوده!
ولی خب شما صداقت هم ندارید و همینطور با کلی گویی و مبهم گویی و هر وقت هم کم میارید یا اشتباهی میکنید یجوری ماست مالی میکنید، مثلا کاربر golbafan میگه میخواستم تو رو محک بزنم خخخ
بی دقتی و عدم درکش یکی دوتا هم نیست ماشالا مثل اینکه همش میخواسته ما رو محک بزنه!
دو کلمه اصطلاح تخصصی رو هم بلد نیست درست بذاره، یه منبع درست و حسابی درج نمیکنه. شک دارم مثل من بتونه حتی ویکیپدیا رو براحتی بخونه و بفهمه!
من خودم شخصا درمورد برنامهء کسی تا کاملش رو نبینم و دقیق بررسی نکنم نظری قاطعی نمیدم، چون خیلی جزییات در عمل هست که مهمه و اشتباهات و باگ ها و حفره ها خیلی زیاد هستن. حالا شما گیر دادید دوتا برنامه دیگه میذارید که چی نمیدونم! اصلا شما میدونید محیط من دقیقا چیه مشخصاتش چی بوده چه امکانات و نیازهای خاصی داشته؟ مثلا برنامه های مانیتورینگ و کنترل ریموت تاجاییکه میدونم تقریبا همه تک کاربر هستن، ولی محیط کار من یکسری thin client بوده که به سرور مرکزی وصل بودن و اون برنامه باید بتونه این thin client ها رو تشخیص بده و بصورت متمرکز مدیریت کنه؛ هم روی لوکال (روی لوکال هم نباید ارتباط از طریق اینترنت انجام بشه چون سرعت بیخودی پایین میاد، درحالیکه خیلی برنامه ها فقط برای استفاده از راه دور و از طریق اینترنت طراحی شدن) و هم از طریق اینترنت. حالا تازه فکر نمیکنم تمام سیستمهای اینطوری هم همه یک جزییات داشته باشن و به شکل یکسانی پیاده شده باشن و ساختار استانداردی داشته باشن که یک برنامه بخواد از قبل همه رو پشتیبانی بکنه.
تازه هرچی هم برنامه باشه بازم اینکه بتونی خودت بنویسی اغلب مزایای مهمی میتونه داشته باشه و انعطاف و اختیار عمل بیشتری داره. برام پیش اومده واسه یه کاری گفتن فلان برنامه ها هست، ولی هرکدام رو پیدا و دانلود و امتحان کردم یک مشکل یا ضعفی داشتن که بهرحال به کارم نیامده و مجبور شدم دست آخر خودم بنویسم. مثلا یکی با ویندوز XP کار نمیکرده 7 میخواسته، یکی نمیدونم با اسمهای فارسی مشکل داشته درست هندل نمیکرده، یکی با حجم داده های زیاد دچار مشکل میشده باگ داشته اصلا کار نمیکرده، یکی امکانات جانبی ای که میخواستم رو نداشته، ... خلاصه در عمل داستان زیاده. حالا من یه برنامه نوشتم همه چیز دست خودمه بهش مسلط هم هستم براحتی هرچیزی نیاز باشه میتونم بعدا بهش اضافه کنم، هر باگی داره رفع کنم، و هر تغییراتی توش بدم. البته برنامه های دیگران رو هم میشه خوند ولی معمولا این کار سخت و زمانبری هست و شاید دست آخر هم پشیمان بشی ببینی اصلا اون base و روش کارش به دردت نمیخوره، شایدم برای نیازهای تو بیش از حد پیچیده و حجیم باشه. ضمنا مسائل امنیتی هم جزو مسائل حساسه که همینطور نمیشه به هر برنامه و کدی اعتماد کرد؛ بعضی برنامه ها مثلا نمیتونی هیچوقت کنترل و امنیت کامل خودت روش داشته باشه چون به سرورها و ارتباطهای برونی دیگری وابسته هستن که دست شما نیست؛ از طرف دیگر نمیشه به امنیت هیچ برنامه ای همینطور مطمئن بود، و بارها دیدم که کدها و برنامه هایی که توی نت بوده حفره و ضعف های امنیتی داشتن، حتی برنامه هایی نسبتا مشهور، پس بهرحال اگر میخوای اطمینان کافی داشته باشی باید بشینی خودت روش کار و کدهای اون برنامه رو قشنگ بررسی کنی که فکر نمیکنم کار راحت و سریعی باشه! پس چه بهتر که برنامهء خودت رو بنویسی که مزایای متعدد دیگری هم میتونه برات داشته باشه، منجمله کسب تجربه و مهارت کدنویسی و ساختن اینطور برنامه ها، و استفاده های اختصاصی و سفارشی سازی و فروش احتمالی در آینده، تطابق کامل با نیازهای مشخص خودت نه زیادتر و نه کمتر.

[Bad Programmer]

با ادعایی که در مورد تخصصتون در امنیت کردید برام خیلی جالبه بدونم برای تبادل کلید از چه روشی استفاده کردید؟
چون الگوریتم رمزنگاری رو گفتید ولی هیچ اشاره ای به تبادل کلید نکردید. حتی اگه از بهترین تکنیک ها و الگوریتم های رمزنگاری هم استفاده کرده باشید با یک تبادل کلید اشتباه همشو خراب کردید.
البته فکر میکنم اصلا تبادل کلید ندارید و کلید رو خود کاربر سمت سرور و کلاینت دستی وارد میکنه که در اینصورت یکم ناامید میشم از تخصصتون.

[Bad Programmer]

مشکل جنابعالی اینه که خیلی خیالت راحته و با معلومات اندکی که در زمینه ارتباطات شبکه داری فکر میکنی کارت امنیت داره. این روش point to point که شما تو برنامت بکار میبری بدترین نقطه ضعفیه که داره. اگر قراره هر دو کامپیوتر مال خودت باشه که هیچی ولی اگر قرا باشه یکی بیاد به این برنامه اعتماد کنه و اون رو روی یک رایانه هدف بخواد کار بزاره باید یکی مثل خودت باشه...
بطور خلاصه بخوام بگم: خیلی راحت و بدون درد سر و فقط با نصب یک نرم افزار net limiter میشه ip و پورت مورد استفاده جنابعالی رو استخراج کرد و اونوقت سیستم خودت میشه هدف حملات!!!

با توجه به اینکه کلاینت و سرور آیپی استاتیک ندارن و حتی اگر ایپی استاتیک هم داشتند یا از همون آیپی داینامیک قرار باشه استفاده کنن با توجه به وجود NAT، ارتباط pear to pear به این سادگی اونم با استفاده از http نیست. مگر اینکه شرایط بسیار خاصی رو برای کلاینت و سرور درنظر بگیریم و یا در نظر بگیریم کاربری که قراره استفاده کنه از این نرم افزار اینجور چیزا حالیش باشه و بتونه کانفیگ کنه. به قیافه این نرم افزار هم نمیخوره که همچین چیزی رو پیاده کرده باشه
وقتی قراره هر دو کلاینت و سرور فقط با سرور واسط ارتباط برقرار کنن هیچ کدوم لزومی نداره که ای پی اون یکی رو بدونه.
پس این ضعف امنیتی که گفتید روی این نرم افزار وجود نداره

[SZsXsZS]

البته فکر میکنم اصلا تبادل کلید ندارید و کلید رو خود کاربر سمت سرور و کلاینت دستی وارد میکنه که در اینصورت یکم ناامید میشم از تخصصتون.

تبادل کلید خودم میدونم چیه.
گفتم که سیستمها دست خودمه چه نیازی هست به درگیر شدن با مشکلات و پیچیدگی ها تبادل کلید؟
خواستم برنامه هرچه راحت تر و سریع تر تموم بشه ازش استفاده کنم.
هروقت نیاز شد در آینده میشه تبادل کلید هم بهش اضافه کرد.
اصلا این یکی از روشها و اصول در توسعهء نرم افزار هست که میگه از افزودن امکانات زیادی به نرم افزار قبل از اینکه واقعا نیاز باشه اجتناب کنید.
این برنامه رو برای این نساختم که همه امکاناتی داشته باشه و بخوام برترین برنامه در این زمینه باشه. واسه نیاز شخصی و محدود خودم بوده. فعلا بنظر خودم هم یک مقدار ناقصه، ولی دیگه وقت و اولویت نداشتم روش بیشتر کار کنم. بجای چیزی که عملا نیازی بهش ندارم میتونم برم دوتا چیز دیگه یاد بگیرم یا نوشتن برنامهء کاربردی دیگری رو شروع کنم که عملا بیشتر به دردم بخوره.

[SZsXsZS]

راستی چی شده اخیرا با هرکس برخورد کردم از توزیع کلید صحبت کرده
فک کنم یه استادی چیزی درس راجع به توزیع کلید داده یا جایی مقالهء فارسی ای چیزی در این زمینه منتشر شده حالا همتون یاد گرفتید میگید توزیع کلید توزیع کلید
ببینم حالا شما چیزهای دیگر رو واقعا درست و حسابی بلدید که کارتون فقط مونده همین توزیع کلید؟
والا منکه اخیرا بحثهای زیادی داشتم با یکی دو نفر، ولی بیشتر کلی گویی و مبهم گویی و پراکنده گویی کردن، از بحث دقیق و اصولی هم فراری بودن، چند مورد هم سوتی در کردن... کلا حرف زدن آدمی که واقعا چیزی بلده در حد کامل و دقیق مشخصه، ولی اونا اینطور نبودن!
مثلا من گفتم چندتا سوال و نکات تخصصی ازتون میپرسم، ولی کسی تمایلی نداشت، یک مورد هم پرسیدم پرت و پلا جواب دادن.
طرف از AES-CBC و HMAC ایراد میگیره! درحالیکه هنوز علم رمزنگاری رو درست و از پایه بلد نیست. رفته دوتا چیز جدید خونده اونم سطحی فکر میکنه حالا چی!
کلید و الگوریتم نامتقارن رو با متقارن مقایسه میکنه
دو کلمه حرف روشن و دقیق نمیتونه بزنه دوتا اصطلاح رو کامل و دقیق نمیذاره، دوتا منبع درست و حسابی درج نمیکنه.
منم چیزی میگم با اینکه واضح صحبت میکنم نشانه های کافی میدم باز اشتباه میفهمه متوجه نمیشه دقیقا چی میگم.
اون یکی گفت سه تا الگوریتم رمزنگاری نوشته واسه سازمانهای امنیتی. نکات و مسائلی رو براش مطرح کردم که جوابی نداد! لابد بخاطر منافع شغلی و مالی خودش ترسید گفت یوقت سوتی ای این وسط پیدا نشه!! گفتم خواستی بهت میگم چطور یه نکات و اصولی رو رعایت کنی که خیالت راحت تر باشه، ولی دنبال نکرد. اینا همه نشانه است! من خودم آدمی هستم از علم و یادگیری فرار نمیکنم، اگر کسی بگه فلان چیز رو میخوای بهت بگم میگم بگو، ولو آدمی باشه که میدونم هیچ سوادی در اون زمینه نداره، چون میدونم بازم احتمالش صفر نیست که طرف چیزی بگه نکته ای رو مطرح کنه که من نمیدونستم یا بهرصورت حضور ذهن نداشتم خوب توجه نکرده بودم شاید از اون زاویه در اون مورد و context خاص بهش توجه نداشتم. ولی آدمایی که یادگیری اصولی و کسب دانش و توان واقعی هدف و اولویت اصلیشون نیست، بلکه بخاطر چیزهای دیگه مثل شغل و درآمد و شهرت و اعتبار دنبال دوتا این مسائل هستن، از نشانه هاش مشخص میشه. یکی همین که کلی گویی و مبهم گویی میکنن و ادعاهایی که پاش نمی ایستن و طفره میره، دقیق حرف نمیزنن و اکثرا از گذاشتن منابع درست و حسابی و دقیق هم طفره میرن (چون خودشون هم میدونن در این حد نیستن و وقتی بحث دقیق و اصولی بشه به مشکل میخورن - شاید اصلا منبع انگلیسی هم نمیتونن راحت بخونن و بفهمن)، وقتی بهشون میگی میتونم راهنمایی بکنم فلان چیز رو بهت یاد بدم پاسخی نمیدن و طفره میرن بجای اینکه بگن بگو بگو! چرا؟ چون گفتم هدف و اولویت اونا یادگیری واقعی، یعنی اصولی و کامل و دقیق که کار سخت و طولانی هست، نبوده و نیست.
مطمئم کلی نقطهء ضعف دارن!
بخاطر همین هم نمیخوان هیچوقت با یه آدم گیر و دقیق مثل من که واقعا چیزهایی هم بارشه، وارد نبرد جدی بشن، نبردی که صادقانه و منصفانه باشه. فقط اومدن یه کل کل و جنگ روانی بکنن و دوتا تعارف و ادعا و برن!
چون معلومه آموخته هاشون محدود و سطحیه.
مثل این قضیهء توزیع کلید که مثل اینکه تازگی ها یاد گرفتن

[Bad Programmer]

گفتم که سیستمها دست خودمه چه نیازی هست به درگیر شدن با مشکلات و پیچیدگی ها تبادل کلید؟

وقتی ادعا میکنید که کار بسیار تخصصی ای انجام دادید که هر کسی علم و تخصصش رو نداره، وقتی ادعای امنیت بسیار بالا دارید و میگید: "ارتباط بین دو طرف بصورت End to end با کلید جداگانه ای رمز میشه" و اومدید همچین تاپیکی زدید که نظر ما رو بدونید آیا کسی حق نداره انتظار تبادل کلید داشته باشه و از شما در این مورد سوال کنه؟
چون تا اینجا که کار خاصی انجام نداده اید گفتم شاید تو تبادل کلید از تخصصتون استفاده کردید و در ادعاتون به اون اشاره دارید. ارسال HTTP Request به یک هاست و استفاده از AES ابدا کار شاخی نیست.

راستی چی شده اخیرا با هرکس برخورد کردم از توزیع کلید صحبت کرده

فک کنم یه استادی چیزی درس راجع به توزیع کلید داده یا جایی مقالهء فارسی ای چیزی در این زمینه منتشر شده حالا همتون یاد گرفتید میگید توزیع کلید توزیع کلید

ببینم حالا شما چیزهای دیگر رو واقعا درست و حسابی بلدید که کارتون فقط مونده همین توزیع کلید؟

چون معلومه آموخته هاشون محدود و سطحیه.
مثل این قضیهء توزیع کلید که مثل اینکه تازگی ها یاد گرفتن

شما که هیچ اطلاعی از سطح معلومات و دانش من ندارید چطور همچین حرفی میزنید؟
حالا من که ادعایی ندارم گفتم ببینم اگر روش خاصی استفاده کرده اید توضیح بدید مام یاد بگیریم. میخواستم از تخصصتون استفاده کنم.

[SZsXsZS]

اومدید همچین تاپیکی زدید که نظر ما رو بدونید آیا کسی حق نداره انتظار تبادل کلید داشته باشه و از شما در این مورد سوال کنه؟

کی گفته خواستم نظر شما رو بدونم؟
اینجا تالار پایتون هست بنظرم! اگر بحث امنیت بود میرفتم توی بخشی مربوط به امنیت و این مسئله رو بطور مشخص مطرح میکردم.
ضمنا برای این کار فکر نمیکنم نیازی داشته باشم بیام توی فرومهای فارسی و با دوتا آدم کم سواد بی شخصیت که راحت دروغ میگن و کل کل الکی میکنن در این زمینه تبادل نظر کنم! اصلا باوری ندارم آدمهای باسواد کافی در زمینهء اینطور مسائل اینجور جاها پیدا بشن! سالهاست دارم لمس میکنم! اینجا فقط میان کل کل کنن یا نمیفهمن و چقدر باهاشون کلنجار میری بازم نمیفهمن یا لجبازی میکنن! طرف مثلا در علم رمزنگاری اصلا چیزی نخونده نمیدونه میاد با آدم شاخ به شاخ میشه!!
بخوام تحقیق و پرسش و همفکری تخصصی در این مورد بکنم میرم سایتهای خارجی مثلا security.stackexchange.com و crypto.stackexchange.com مطرح میکنم اونجا آدمهای مطلع و درست و حسابی خیلی بیشتره. قبلا هم چند مورد اونجا مطرح کردم و کمک گرفتم.
اصلا من نمیدونم چطور شد یهو سر و کله چند نفر مدعی در زمینهء امنیت و رمزنگاری اینجا پیدا شد

استفاده از AES ابدا کار شاخی نیست

خب همین دیگه شما فقط یه حرف کلی میزنید چون بقدر من اطلاع ندارید وگرنه نه عزیزم AES خودش به تنهایی چیزی نیست ولی به هیچ وجه کافی هم نیست. قبلا در بحث ها بارها اشاره کردم توضیح دادم که جزییات و تمهیدات جانبی دیگر زیاد هست که اینکه همهء اینها رو بدونی و درست پیاده کنی است که کار به مراتب حرفه ای تریه. مثلا من خودم اولین کدهای رمزنگاری که نوشته بودم فقط AES-CBC خالی بود، در مرحلهء بعد فهمیدم که این امنیت کامل نمیده و باید بهش یک MAC هم اضافه کنم، اومدم HMAC بهش اضافه کردم ولی کلیدی که برای رمزگذاری و HMAC استفاده میکردم هر دو یکسان بود، بعدا فهمیدم این کار اصولی نیست و اومدم از طریق هش کردن کلیدها رو متفاوت کردم، بعد از مدتی دوباره متوجه شدم که بازم روش تخصصی تر و اصولی تری برای این کار وجود داره و این بار اومدم از HKDF استفاده کردم.
حالا شما میبینی تمام اینا به تدریج آدم میفهمه تجربه میکنه. و اینو بعنوان مثال گفتم، وگرنه جزییات و نکات دیگر و در جاهای دیگری هم وجود داره. و تمام اینها همینطور راحت دم دست نیست، بلکه در منابع مختلف پراکنده است که به مرور برخورد میکنی، و ضمنا حتی روشها و کدها و نظرات اشتباه هم کم نیست، پس آدم واقعا باید زیاد بخونه و منابع و گفته ها رو با هم مقابله کنه، دقیق و باریک باشه، بفهمی دقیقا چرا حرف و نظر و روش کدوم درسته، بتونی گفته ها و استدلال های تخصصی رو متوجه بشی، خلاصه تا اینکه آدم بخواد به یک روش و جزییات جامعی دست پیدا کنه که ازش اطمینان خوبی داشته باشه خیلی راهه. حالا طرف میاد با من بحث و کل کل میکنه بعید میدونم خودش بتونه دوتا مقالهء ویکیپدیا رو درست بخونه و بفهمه! نمونهء پرت و پلا گویی و سوتی و نشانه های کم سوادی هم که از طرفهای مقابل دیدم کم نبوده، بعد فقط بلدن بیان این کاری که کردی چیزی نیست پیش پا افتادس و نمیدونم فلان روش جدیدتر اومده، درحالیکه همون چیزهای ساده تر و پایه ای تر و بقولشون قدیمی تر رو هنوز خودشون بعیده درست و حسابی بلد باشن ازش سردربیارن!
ضمنا رمزنگاری به حرف ساده است، ولی در عمل پیاده سازی کامل و بی نقصش حتی برای آدمهای مطلع راحت نیست و خیلی مستعد خطاست باید خیلی دقیق باشی که جایی چیزی از زیر دستت در نره اشتباهی نکنی.
مطمئنم خیلی هایی که میان با من کل کل الکی میکنن و میگن اینا کار ساده ای هست خودشون تاحالا یه پروژهء کامل درست و حسابی در این زمینه انجام ندادن یا اگر هم انجام دادن همینطور با سواد و دقت سطحی خودشون و کورکورانه بوده و توش به احتمال زیاد ضعف و اشکال و اشتباه وجود داره. اینکه کتابخانهء رمزنگاری خاصی رو بذاری توی برنامت و یجا در ظاهر ازش استفاده ای کنی به هیچ وجه دلیل این نمیشه که کارت بدون اشکال بوده و الان امنیت حرفه ای داری! مهم اون نکات ریز و دقت و جامعیتی هست که باید باشه.

[rahmatipoor]

دلقک مثل تو زیاد هست
در بحث هم که اشتباه میکنی بعد میگی میخواستم تو رو محک بزنم
کلا آدمی هست دروغگویی و حقه بازی واست عادیه.
سواد آنچنانی هم نداری و باد توخالی هستی!

شما هم آدمی هستی که بی ادبی کردن به دیگران واست عادیه

چند جای دیگه هم دیدم که میگم.

مثلا این جملات :

ضمنا من مخفی کردم در درجهء اول نه بخاطر اینکه بگم خیلی خفنه، بلکه بخاطر اینکه نمیخوام یه مشت جوجه دوزاری ازش برای کارهای غیراخلاقی استفاده کنن. بعدم قرار نیست آدم هرچی درست میکنه مفتی در اختیار دیگران بذاره. گرچه من خودم کدها و برنامه های متعددی رو قبلا بصورت بازمتن منتشر کردم که کارهای خاص و پیشرفته و مفیدی هم هستن، ولی متاسفانه یه مشت آدم بیشعور دوزاری که خودشون یک سوم من سواد ندارن فقط میان میگن تو سواد نداری و کار خاصی انجام ندادی و این حرفا! البته در بحثهای اخیر معلوم شد که کی سواد داره و کی نداره! وقتی میبینم بقیه چقدر آدمهای بیشعور و بی لیاقتی هستن، دلم نمیخواد برنامه هام رو مفتی در اختیار دیگران قرار بدم (اگر میتونستم برای خارجی ها منتشر میکردم ولی هرگز در اختیار این ملت بیشعور خودمون نمیذاشتم، چون من خودم مدیون علم و کدها و دستاوردهای خارجی ها هستم که بصورت بازمتن منتشر کردن در اختیار همه گذاشتن).



فقط میتونم بگم که برات متاسف هستم

[prans68]

با سلامباز شما تو دنیای امنیت ادعا کردی؟خیلی خوشحال میشم سرور یا سایتی رو هدف قرار بدیم و بعدش از سرور شل متر پرتر برگردونیم تا ببینیم چند مرده حلاجی اینم بگم سروری رو هدف قرار میدیم که نیاز باشه حتما براش اکسپولایت تولید کنیم اگه مردش هستی تا ادعاتو ثابت کنی بیا میدان و الا بقال سر کوچه ماهم بلده با ابزار کار کنه. بابا تو خیلی ادعات میشه خیلی !! چرا نمیدونم!! بنده مالک اشتر هستم خاستی اعلام آمادگی بکن یا علی

[SZsXsZS]

با سلامباز شما تو دنیای امنیت ادعا کردی؟خیلی خوشحال میشم سرور یا سایتی رو هدف قرار بدیم و بعدش از سرور شل متر پرتر برگردونیم تا ببینیم چند مرده حلاجی اینم بگم سروری رو هدف قرار میدیم که نیاز باشه حتما براش اکسپولایت تولید کنیم اگه مردش هستی تا ادعاتو ثابت کنی بیا میدان و الا بقال سر کوچه ماهم بلده با ابزار کار کنه. بابا تو خیلی ادعات میشه خیلی !! چرا نمیدونم!! بنده مالک اشتر هستم خاستی اعلام آمادگی بکن یا علی

خخخ میبینم که بدجور بعضیا رو عصبانی کردم
خب حقیقت رو رک میگم میکوبم توی صورت دیگران، بخاطر همین هم افرادی از دستم عصبانی میشن، یا منافعشون در خطر میفته بهرحال اعتبار و شغل و منبع درآمدشون هم شاید به خطر میفته!

دوست عزیز بنده جایی ادعا نکردم که هکر هستم! از این کار خوشم نمیاد اصلا.
بنده بیشتر در برقراری امنیت، اونم در سطح برنامه نویسی تخصص دارم. وگرنه امنیت یک سیستم و وب سایت و سرویسی چیزی فقط برنامهء برنامه نویس نیست و بخشهای دیگری هم داره که تامین اونا لزوما تخصص و وظیفهء برنامه نویسی نیست و خیلی وقتا اصلا دسترسی هم نداره که بخواد امنیت اونا رو بررسی و تامین بکنه.
تخصص بنده در بخش امنیت در برنامه نویسی است، و در علم رمزنگاری هم بخصوص علاقمند هستم و اطلاعات خوبی دارم.

[golbafan]

شما هرچه قدر هم از این ایموجی های خندان بزاری بازم نمیتونی عصبانیت رو پنهان کنی!
کسی که حرف حساب بزنه نیازی نیست بی ادبی بکنه و اسمش رو هم بزاره رک بودن!
هیشکی شما رو نمیشناسه و قطعا پدرکشتگی هم با شما نداره که بخواد الکی مخالفت کنه... و کار شما رو زیر سوال ببره

نرم افزارت رو معرفی کردی و خواستی بدونی قیمتش از نظر دیگران چنده...
انتظار نداشته باش همه بیان به به چه چه کنند...

اگه باور نمیکنی و یا ما رو قبول نداری همین نرم افزار رو در استک آور فلو و یا اکسچنج بزار و قیمت بپرس...
احتمال خیلی زیاد یا جوابتو نمیدن یا همین نرم افزارهای سورس باز رو برات معرفی میکنن...

[golbafan]

با توجه به اینکه کلاینت و سرور آیپی استاتیک ندارن و حتی اگر ایپی استاتیک هم داشتند یا از همون آیپی داینامیک قرار باشه استفاده کنن با توجه به وجود NAT، ارتباط pear to pear به این سادگی اونم با استفاده از http نیست. مگر اینکه شرایط بسیار خاصی رو برای کلاینت و سرور درنظر بگیریم و یا در نظر بگیریم کاربری که قراره استفاده کنه از این نرم افزار اینجور چیزا حالیش باشه و بتونه کانفیگ کنه. به قیافه این نرم افزار هم نمیخوره که همچین چیزی رو پیاده کرده باشه
وقتی قراره هر دو کلاینت و سرور فقط با سرور واسط ارتباط برقرار کنن هیچ کدوم لزومی نداره که ای پی اون یکی رو بدونه.
پس این ضعف امنیتی که گفتید روی این نرم افزار وجود نداره

سلام
صحبت نرم افزار نیست. مساله پورت ها و روت هایی هست که داره از این سیستم کلاینت دیتا میگیره یا میده و اصلا به نرم افزار مربوط نمیشه. مساله ارتباط point-to-point هست. شما میتونی با یک برنامه wireshark خیلی راحت این مساله رو تشخیص بدی و از همون مسیر که داره دیتا عبور میکنه ، داده های خودت رو در امتداد دیتاهای اصلی با روشهای injection ارسال کنی. البته این یک مبحث هک و نفوذ محسوب میشه و بازهم میگم اصلا مربوط به این نرم افزار نیست.
صرفا صحبت بر سر پیدا کردن روت هاست و یافتن سیستم مهاجم.
اشکال من به نرم افزار ایشون نبود بلکه به روش استفاده از شبکه مربوط میشه

در ضمن من به point-to-point اشاره کرده بودم و نه peer-to-peer و همونطور که میدونید اینها باهم فرق دارند

[Bad Programmer]

سلام
صحبت نرم افزار نیست. مساله پورت ها و روت هایی هست که داره از این سیستم کلاینت دیتا میگیره یا میده و اصلا به نرم افزار مربوط نمیشه. مساله ارتباط point-to-point هست. شما میتونی با یک برنامه wireshark خیلی راحت این مساله رو تشخیص بدی و از همون مسیر که داره دیتا عبور میکنه ، داده های خودت رو در امتداد دیتاهای اصلی با روشهای injection ارسال کنی. البته این یک مبحث هک و نفوذ محسوب میشه و بازهم میگم اصلا مربوط به این نرم افزار نیست.
صرفا صحبت بر سر پیدا کردن روت هاست و یافتن سیستم مهاجم.
اشکال من به نرم افزار ایشون نبود بلکه به روش استفاده از شبکه مربوط میشه

در ضمن من به point-to-point اشاره کرده بودم و نه peer-to-peer و همونطور که میدونید اینها باهم فرق دارند

فرضا شما سرور رو در اختیار دارید. شما نمیتونید به مسیری که اطلاعات از سرور واسط به کلاینت ارسال میشه رو بفهمید. چون شما صرفا فقط با سرور واسط ارتباط برقرار میکنید.
اگر هم فرض کنیم که شخص سومی در بین سرور و سرور واسط یا سرور واسط و کلاینت قرار داره و مسیر عبور داده رو داره باز نمیتونه کاری انجام بده.
چون تمامی داده هایی که بین سرور و کلاینت رد و بدل میشه به صورت end-to-end رمز میشه و اگر در این رمزنگاری data integrity حفظ بشه شخص سوم نمیتونه داده ای غیر از داده های متعبر رو بفرسته. داده های معتبر میتونه شامل تاریخ انقضا و اینجور چیزا هم باشه و یا یه سری موارد دیگه که شخص سوم نتونه یک داده معتبر مثلا دستور ریستارت کردن کلاینت رو هر وقت که خودش خواست بفرسته و...

در مورد point-to-point اگر بیشتر توضیح بدید ممنون میشم چون دقیق متوجه منظورتون نشدم.

پ. ن.: در حال حاضر من تخصصم نه رمزنگاری هست و نه شبکه و امنیت. ادعایی هم در این زمینه ندارم. اگر هم در بحث شرکت میکنم به خاطر اینه که چیزی یاد بگیرم و دنبال کل کل نیستم.

[negative60]

کسی‌ که ادعا می‌کنه یک متخصص در حوزه امنیت هست ولی‌ حتی نمیدونه که بدون رمزنگاری نامتقارن نمی‌شه امنیت یک ارتباط با رمزنگاری متقارن رو برقرار کرد و به و به جای بحث فنی‌ دائماً در حال توهین کردن به دیگران و پست شمردنشن هست قطعا شخصیت سالمی نداره

ملاک های تشخیصی DSM-IV-TR‌ در مورد اختلال شخصیت فرد خود شیفته
خودبزرگ بینی (در خیال یا رفتار)، نیاز به مقبولیت،‌ و فقدان حس همدلی به صورت الگویی نافذ و فراگیر که از اوایل بزرگسالی شروع شده باشد و در زمینه‌های گوناگون به چشم آید،‌ که علامت‌اش وجود لااقل پنج تا از موارد زیر است:


1.احساس خودبزرگ بینانه‌ای به صورت مهم پنداشتن خود داشته باشد (مثلا در موفقیت‌ها و استعدادهای خود اغراق کند یا بدون آنکه به موفقیت شایسته‌ای دست یافته باشد،‌ انتظار داشته باشد که او را آدم بزرگ و مهمی بدانند).
2.مشغولیت ذهنیش خیالاتی از قبیل موفقیت، قدرت،‌استادی و ذکاوت، زیبایی یا محبوب و دوست داشتنی بودن در حد نامحدود باشد.
3.معتقد باشد که «استثنایی» است و تنها سایر افراد (یا موسسات) استثنایی یا رده بالا می‌توانند او را درک کنند یا او باید تنها با این افراد رابطه داشته باشد.
4.احتیاج داشته باشد که به شکلی افراطی تحسین شود.
5.احساس محق بودن (entitlement) بکند، یعنی به شکل نامعقولی انتظار داشته باشد برخوردی رضایت بخش و اختصاصی با او صورت گیرد یا افراد خود به خود تسلیم خواسته هایش شوند.
6.در روابط بین فردی استثمارگر باشد،‌ یعنی از امتیازات دیگران برای رسیدن به مقاصد خود استفاده کند.
7.فاقد حس همدلی باشد،‌ یعنی تمایلی به درک یا شناخت احساسات و نیازهای دیگران نداشته باشد.
8.اغلب به دیگران حسودی کند یا معتقد باشد که دیگران به او حسادت می‌کنند.
9.رفتارها و نگرش‌هایش پرافاده و تکبر آمیز باشند.

(اگر پست‌های گذشته ایشون رو جستجو کنید بیشتر این موارد رو می‌شه درشون مشاهده کرد.)

درمان
رواندرمانی:

درمان اختلال شخصیت خودشیفته دشوار است؛ چون اگر قرار است پیشرفتی در کار حاصل شود، بیمار باید از خودشیفتگی خود دست بردارد. روانپزشکانی مثل اتوکرنبرگ و هاینتس کوهوت رویکردهای روانکاوانه را برای اصلاح این بیماران پیشنهاد می‌کنند، اما برای آنکه معلوم شود اصلا چنین تشخیصی معتبر هست یا نه،‌ و اگر معتبر است بهترین درمانش کدام است، هنوز پژوهش های بیشتری باید صورت گیرد.
برخی بالینگران گروه درمانی را برای بیماران خود توصیه می‌کنند تا آنها بتوانند چگونگی مشارکت با دیگران را یاد گرفته و تحت شرایط ایده‌آل، ‌واکنشی توام با همدلی نسبت به دیگران نشان دهند.
وقتي برای كمك به اين افراد از رواندرمانی استفاده می‌شود، معمولا روی خودبزرگ بينی، حساسيت بيش از حد به ارزيابی شدن از سوی ديگران، و عدم همدلی از ديگران تمركز می‌شود.
در شناخت درمانی تلاش می‌شود تا باورهای غلط يا خيالبافی‌های اين افراد با تمركز روی تجربه‌های لذتبخش روزمره و واقعا قابل وصول جايگزين شوند.
برای كمک به اين افراد در جهت مواجه شدن با انتقاد ديگران و قبول آن، از استراتژی‌های مقابله‌ای، مثل ريلكسيشن استفاده می‌شود.
يكی ديگر از اهداف رواندرمانی‌ اين است كه به اين افراد كمك شود روی‌ احساسات ديگران تمركز كنند. چون اين افراد در مقابل دوره‌های افسردگی شديد بسيار آسيب پذير هستند، مخصوصاً در ميانسالی، افسردگی آنها نيز مورد رواندرمانی قرار می‌گيرد. با اين حال، هرگونه نتيجه گيری درباره تاثير اينگونه رواندرمانی در اختلال شخصيت خودشيفته، غير ممكن است.

دارودرمانی
برای بیمارانی که یکی از علایم بالینیشان،‌ چرخشهای سریع خلق (mood swings) است،‌ لیتیوم را به کار برده اند. از آنجا که بیماران مبتلا به اختلال شخصیت خودشیفته نمی توانند طرد را تحمل کنند و مستعد افسردگی هستند، داروهای ضد افسردگی به ویژه داروهای سروتونرژیک می تواند مفید واقع شود.

[SZsXsZS]

شما هرچه قدر هم از این ایموجی های خندان بزاری بازم نمیتونی عصبانیت رو پنهان کنی!
کسی که حرف حساب بزنه نیازی نیست بی ادبی بکنه و اسمش رو هم بزاره رک بودن!
هیشکی شما رو نمیشناسه و قطعا پدرکشتگی هم با شما نداره که بخواد الکی مخالفت کنه... و کار شما رو زیر سوال ببره

آقای فهمیده!
شما توی اون تاپیک رفتار و گفتار متناقض خودتو ببین اول.
اول کار که اومدی گفتی:

عزیز دل سلام
در جهانی که کدهای نامتقارن 2048 بیتی دارن شکسته میشن شما به کلید 128 بیتی متقارن دل خوش نکن!
چطوری قراره این کلید رو توزیع کنی؟

از همینجا که صحبت کردی حرف مسخرهء بی ربط بی معنی!
خب یعنی چی چه ربطی داره به موضوع اون تاپیک که رمزنگاری متقارن بوده؟
حرفت از اول هیچ اصول علمی نداره و منطقی نیست. فقط یک مغلطه و جنگ روانی و تشنج آفرینی بنظر میاد.
باز دوباره پشت سر شما یکی دیگه اومده گفته:

من نمیدونم چرا تو دنیای امنیت همه فکر میکنن با رمز کردن میتونن امنیت رو برقرار کنن.

درحالیکه من اصلا جایی چنین ادعایی نکردم! (و حتی بارها خلافش رو گفته ام) و این حرف ایشون دوباره بی ربط به موضوع تاپیک و معلوم نیست به چه قصدیه!
بعدش میگم سوال تخصصی بپرسم کی جواب میده میفرمایید که:

شما جزیات مثلا تخصصیت رو بپرس ببین دهها نفر تو همین سایت (که در سطح متوسط هم هست) چقدر راحت پاسخ میدن

الان این حرف من نمیفهمم یعنی چی اصلا!
کو کدام ده ها نفر الان؟ کجا بودن پس؟
شما یک نفر فقط با من بحث کردی که اونم پرت و پلا و اشتباه گفتی اصلا صورت سوال رو هم دقیق نمیخونی درست متوجه نمیشی چه برسه به اینکه بخوای درست هم جواب بدی!
خب چرت و پرت دیگه چیه واقعا بنظرت؟
علم رمزنگاری علم گسترده و پیچیده و فوق تخصصیه. اگر ده ها نفر اینجا پیدا بشن ازش سردربیارن باید از تعجب شاخ درآورد!
پس شما براحتی اغراق میکنی! یا شایدم باید بگیم دروغگویی.

حالا اینا موارد واضح و درشت بود که آوردم. وگرنه در بقیه پست ها و جزییات هم اغلب دقیق و اصولی و حرفه ای بحث نکردی.
شما خودت حرف حساب نداشتی بزنی! از اولش حرفات بدون حساب بوده. دیگه چیزهای بی ربط و پرت و پلاهایی هست که خودت نوشتی، قبول نداری؟ نمیبینی؟
خب اینطوریه که مردم معمولا اشکالات خودشونو نمیبینن. ولی من چون آدم رکی هستم و کوتاه نمیام بعد از من کینه و دشمنی به دل میگیرن. چون مثل خودشون نیستم همینطور روی هوا پرت و پلا بگم و بی خیال بشم. نه عزیزم من مو رو از ماست میکشم! وگرنه بخوایم اینجا با هم تعارف کنیم هندوانه زیر بغل هم بذاریم، سودی واسه من یکی که نداره شما رو نمیدونم، و علاقه و حس نیازی هم به این کارها و تعامل های بچه گانه ندارم، اما فکر میکنم شما توی همین توهمات بیشتر سیر میکنید و ترجیح میدید با دوتا مثل خودتون در سطح خودتون اینطوری خوش باشید!

[SZsXsZS]

بدون رمزنگاری نامتقارن نمی‌شه امنیت یک ارتباط با رمزنگاری متقارن رو برقرار کرد

خب حرف شما اشتباه است!
بازهم پرت و پلا گویی مطلق رو شاهد هستیم
کی اینو گفته؟
یعنی چی اصلا؟
منبع؟ سند؟ دلیل؟
من مثلا الان دوتا سیستم زیر دست خودمه، دسترسی فیزیکی به هر دو دارم، سیستم رمزنگاری متقارن استفاده کردم، کلیدها رو هم بصورت فیزیکی در دو طرف گذاشتم و نیازی به روش دیگری نداشتم. خب الان امنیت دقیقا کجا چطوری از بین میره؟ میشه بفرمایید ما هم استفاده ببریم؟
این حرفهای کلی و مطلق در علم امنیت و رمزنگاری معنی نداره، چون هرجا هر کاربردی با پارامترها و جزییات خودش هست که باید گفت دقیقا کدوم روش کفایت میکنه یا بهتره. برنامه و روش من برای شرایط و محیط من کفایت میکنه. همین! هیچکس هم قادر نیست بشکنه. مگر اینکه به خود کلاینت ها نفوذ بشه، که این دیگه ربطی به من و برنامهء من نداره، که اگر به کلاینت ها نفوذ بشه اصلا دیگه امنیت معنا نداره حالا شما میخوای هر روشی استفاده کن.

اینم که شما میبینی مثلا در SSL/TLS از نامتقارن هم استفاده میشه بخاطر شرایط و نیازهای خاص خودشه و ربطی به سناریوی بنده پیدا نمیکنه!

[negative60]

فرضا شما سرور رو در اختیار دارید. شما نمیتونید به مسیری که اطلاعات از سرور واسط به کلاینت ارسال میشه رو بفهمید. چون شما صرفا فقط با سرور واسط ارتباط برقرار میکنید.
اگر هم فرض کنیم که شخص سومی در بین سرور و سرور واسط یا سرور واسط و کلاینت قرار داره و مسیر عبور داده رو داره باز نمیتونه کاری انجام بده.
چون تمامی داده هایی که بین سرور و کلاینت رد و بدل میشه به صورت end-to-end رمز میشه و اگر در این رمزنگاری data integrity حفظ بشه شخص سوم نمیتونه داده ای غیر از داده های متعبر رو بفرسته. داده های معتبر میتونه شامل تاریخ انقضا و اینجور چیزا هم باشه و یا یه سری موارد دیگه که شخص سوم نتونه یک داده معتبر مثلا دستور ریستارت کردن کلاینت رو هر وقت که خودش خواست بفرسته و...

در مورد point-to-point اگر بیشتر توضیح بدید ممنون میشم چون دقیق متوجه منظورتون نشدم.

پ. ن.: در حال حاضر من تخصصم نه رمزنگاری هست و نه شبکه و امنیت. ادعایی هم در این زمینه ندارم. اگر هم در بحث شرکت میکنم به خاطر اینه که چیزی یاد بگیرم و دنبال کل کل نیستم.

تو رمزنگاری شبکه همیشه فرض رو باید بر این گذاشت که شبکه دست مهاجم هست چون به هر حال تمام دیتا تا به مقصد برسه از روترها و شرکت‌های خدمات اینترنتی و مخابرات و عبور می‌کنه تو محیط شبکه هم امکان تغییر مسیر توسط شخص سوم به وسیله حملات DNS hijacking و یا DNS Spoofing و... هست (MITM) بعد از تغییر مسیر اتصال می‌شه زمان تبادل کلید بین سرور و کلاینت شخص سوم کلید خودش رو برای کلاینت بفرسته و تمام دیتا به ظاهر امن EndToEnd توسط کلید شخص سوم انکریپت و دیکریپت می‌شه

[Bad Programmer]

تو رمزنگاری شبکه همیشه فرض رو باید بر این گذاشت که شبکه دست مهاجم هست چون به هر حال تمام دیتا تا به مقصد برسه از روترها و شرکت‌های خدمات اینترنتی و مخابرات و عبور می‌کنه تو محیط شبکه هم امکان تغییر مسیر توسط شخص سوم به وسیله حملات DNS hijacking و یا DNS Spoofing و... هست (MITM) بعد از تغییر مسیر اتصال می‌شه زمان تبادل کلید بین سرور و کلاینت شخص سوم کلید خودش رو برای کلاینت بفرسته و تمام دیتا به ظاهر امن EndToEnd توسط کلید شخص سوم انکریپت و دیکریپت می‌شه

در زمان تبادل کلید بله حق با شماست ممکنه این اتفاق بیفته. ولی با تعریف یک پرتوکل و تبادل کلید درست میشه از این نوع ضعف امنیتی هم در امان بود (مثلا یه چیزی شبیه گواهینامه های ssl).
حتی میشه با تخصیص یوز نیم و پسورد به کلاینت و سرور همون اول کار هر دو کلاینت و سرور توسط سرور واسط تایید بشن.

در این نرم افزار (پست اول) اصلا تبادل کلیدی وجود نداره، شخص سوم نه فرصت تبادل کلید رو داره و نه اینکه از کلیدی که کلاینت و سرور از قبل روش توافق کردن خبر داره. پس عملا نمیتونه هیچ داده معتبری تولید کنه.

[negative60]

خب حرف شما اشتباه است!
بازهم پرت و پلا گویی مطلق رو شاهد هستیم
کی اینو گفته؟
یعنی چی اصلا؟
منبع؟ سند؟ دلیل؟
من مثلا الان دوتا سیستم زیر دست خودمه، دسترسی فیزیکی به هر دو دارم، سیستم رمزنگاری متقارن استفاده کردم، کلیدها رو هم بصورت فیزیکی در دو طرف گذاشتم و نیازی به روش دیگری نداشتم. خب الان امنیت دقیقا کجا چطوری از بین میره؟ میشه بفرمایید ما هم استفاده ببریم؟
این حرفهای کلی و مطلق در علم امنیت و رمزنگاری معنی نداره، چون هرجا هر کاربردی با پارامترها و جزییات خودش هست که باید گفت دقیقا کدوم روش کفایت میکنه یا بهتره. برنامه و روش من برای شرایط و محیط من کفایت میکنه. همین! هیچکس هم قادر نیست بشکنه. مگر اینکه به خود کلاینت ها نفوذ بشه، که این دیگه ربطی به من و برنامهء من نداره، که اگر به کلاینت ها نفوذ بشه اصلا دیگه امنیت معنا نداره حالا شما میخوای هر روشی استفاده کن.

اینم که شما میبینی مثلا در SSL/TLS از نامتقارن هم استفاده میشه بخاطر شرایط و نیازهای خاص خودشه و ربطی به سناریوی بنده پیدا نمیکنه!

تو کجای این تاپیک گفتی‌ از کلید ثابت استفاده کردی؟

SHA256 رمز میشن. علاوه بر این، ارتباط بین دو طرف بصورت End to end با کلید جداگانه ای رمز میشه و بنابراین حتی اگر سرور واسط امن نباشه و هکر بهش نفوذ کنه یا هاستینگ قابل اعتماد نباشه بازم امنیت برنامه مخدوش نمیشه.

هیچ برنامه یا پروتکلی رو نمیشناسم از کلید ثابت متقارن استفاده کرده باشه! در این صورت برنامه فقط می‌تونه یک کاربر داشته باشه
همه میدونن که نباید از کلید ثابت برای مدت زمان طولانی‌ استفاده کرد اگر کلید به هر دلیلی‌ افشا بشه امنیت کّل داده هایی عبوری تاریخ حیات برنامه از بین میره!
البته این روش برای این برنامه زیادم هم هست ولی‌ استفاده از کلید ثابت متقارن به هیچ وجه امن نیست

[negative60]

در زمان تبادل کلید بله حق با شماست ممکنه این اتفاق بیفته. ولی با تعریف یک پرتوکل و تبادل کلید درست میشه از این نوع ضعف امنیتی هم در امان بود (مثلا یه چیزی شبیه گواهینامه های ssl).
برای مثال چون در این نرم افزار اصلا تبادل کلیدی وجود نداره، شخص سوم نه فرصت تبادل کلید رو داره و نه اینکه از کلیدی که کلاینت و سرور از قبل روش توافق کردن خبر داره. پس عملا نمیتونه هیچ داده معتبری تولید کنه.

دقیقا درست میفرمایید , تنها راه جلو گیری از این حمله (تا اونجای که من می‌دونم) اینه دو طرف قبلان بر سر کلید یا یک موضوع مشترک به توافق رسیده باشن به نظر من سخت‌ترین بخش برقراری امنیت یک اتصال همین قسمت هست

در این نرم افزار (پست اول) اصلا تبادل کلیدی وجود نداره، شخص سوم نه فرصت تبادل کلید رو داره و نه اینکه از کلیدی که کلاینت و سرور از قبل روش توافق کردن خبر داره. پس عملا نمیتونه هیچ داده معتبری تولید کنه.

درسته، ولی‌ با داستان‌ها و تعریف و تمجید هایی که شده بود تصور من این بود تبادل کلید وجود داره و درخواست گراف از روند کار برنامه هم به همین دلیل کردبودم که پاسخی داده نشد, در واقع اصلا کاری انجام نشده فقط با کلید ثابت داده‌ها رمزنگاری میشن

[Bad Programmer]

دقیقا درست میفرمایید , تنها راه جلو گیری از این حمله (تا اونجای که من می‌دونم) اینه دو طرف قبلان بر سر کلید یا یک موضوع مشترل به توافق رسیده باشن به نظر من سخت‌ترین بخش برقراری امنیت یک کانکشن هم همین قسمت هست

همونطور که تو پست قبلی گفتم (قبل از پاسخ شما ویرایش کردم):

میشه با تخصیص یوز نیم و پسورد به کلاینت و سرور همون اول کار هر دو کلاینت و سرور توسط سرور واسط تایید بشن.

درسته، ولی‌ با داستان‌ها و تعریف و تمجید هایی که شده بود تصور من این بود تبادل کلید وجود داره و درخواست گراف از روند کار برنامه هم به همین دلیل کردبودم که پاسخی داده نشد, در واقع اصلا کاری انجام نشده فقط با کلید ثابت داده‌ها رمزنگاری میشن

در هر صورت من و شما که بقدر کافی اطلاع نداریم در این زمینه. شاید کار بسیار بزرگی انجام گرفته و ما سوادمون نمیکشه

شما فقط یه حرف کلی میزنید چون بقدر من اطلاع ندارید

[SZsXsZS]

تو کجای این تاپیک گفتی‌ از کلید ثابت استفاده کردی؟

چطور مگه حتما باید میگفتم؟
کسی که ایراد میگیره بهتره اول مشخصات و روش کار برنامه رو بپرسه، که البته قبلا بارها توضیح دادم، یا کدش رو داشته باشه بخونه.
والا قرار نیست توی هرکاری پیشرفته ترین و پیچیده ترین فناوریهای موجود استفاده بشه.
این برنامه رو هم میشه در صورت نیاز خب تکمیلش کرد اگر کسی واقعا نیازی داشته باشه.

هیچ برنامه یا پروتکلی رو نمیشناسم از کلید ثابت متقارن استفاده کرده باشه! در این صورت برنامه فقط می‌تونه یک کاربر داشته باشه
همه میدونن که نباید از کلید ثابت برای مدت زمان طولانی‌ استفاده کرد اگر کلید به هر دلیلی‌ افشا بشه امنیت کّل داده هایی عبوری تاریخ حیات برنامه از بین میره!
البته این روش برای این برنامه زیادم هم هست ولی‌ استفاده از کلید ثابت متقارن به هیچ وجه امن نیست

بله بله درست خودم هم میدونم.
بنده مثل بعضیا نیستم همینطور روی هوا بیام یه چیزایی بگم.
کاری که میکنم همیشه تحقیق و مشورت میکنم. البته از منابع و افراد درستش.
مثلا همین برنامه قبلش درموردش تحقیق و سوال کرده بودم: http://crypto.stackexchange.com/ques...vention-scheme
در این متن توضیح کامل دادم و آگاهی خودم نسبت به تمام این چیزهایی که میگید رو به وضوح اظهار کردم:

My app is not very serious/security critical. It is just a little private program (and somewhat experimental/educational and I don't want to go further from a point in its security because I don't have enough reason/priority/time for implementing more details). So please don't be stringent about non-critical details. for example I know that the shared/master key shouldn't be used directly and each time a new session key should be generated somehow, but nonetheless i am using the master key directly for every encryption forever. My intended security is the bare minimum that is absolutely necessary so that ordinary hackers cannot misuse it or read my private data in transit, assuming the client and server environments are out of their reach.

در این متن گفتم که این برنامه یجورایی آزمایشی/آموزشی است و کار خیلی جدی و کامل مثلا تجاری و اینها نیست، و وقت و اولویت ندارم بخوام تمام جزییات حرفه ای رو توش رعایت کنم. گفتم با فرض اینکه هکرها به سرور و کلاینت ها نمیتونن دسترسی داشته باشن، میخوام یک سیستم حداقلی رو پیاده کنم که با این پیشفرض ها امنیتش کامل باشه. یعنی موارد پایه ای و حیاتی درش رعایت بشن.

[SZsXsZS]

در هر صورت من و شما که بقدر کافی اطلاع نداریم در این زمینه. شاید کار بسیار بزرگی انجام گرفته و ما سوادمون نمیکشه

خب بله نسبت به سوادی که من تاحالا دیدم از ملت، کار من بزرگه!
در تاپیک دیگر هم مبارزه طلبی کردم گفتم هرکس ادعاش میشه بیاد چندتا سوال و نکتهء تخصصی بپرسم، ولی جز golbafan کسی شرکت نکرد، اونم شرکت کردنش به درد خودش میخورد و فقط پرت و پلا گفت!
این چیزهایی هم که شما میگید بنده همش رو میدونم قبلا خودم مطالعه کردم اطلاع دارم.
باید بگم دونستن این چیزا به خودی خودش توانایی عملی به کسی نمیده. مثلا اینکه بگیم اگر کلید فاش بشه امنیت داده های قبلی رد و بدل شده از بین میره درست، ولی خوندن و فهمیدن این مطلب هنر چندانی نیست (هرچند آدمهای معمولی و غیرمتخصص اینا رو هم نمیدونن).
چیزهای دشوار و هنر همون جزییات و مطالبی هست که بنده بارها بهشون اشاره کردم و حریف هم طلبیدم
اصلا یه تاپیک باید بزنم اینا رو بهتون آموزش بدم
پایه هستید تاپیکش رو استارت میکنیم. خب یه چیزی شما شاید بلد باشید که من نمیدونم، یه چیزی هم من بلد باشم که شما نمیدونید! اینطوری همه میتونیم به آگاهی و اطلاعات تخصصی خودمون اضافه کنیم. موردش واقعا بوده شده خود من از آدمی که تخصص خاصی هم در رشتهء امنیت و رمزنگاری نداشته چیز یاد گرفتم (ولی خب اینطور آدما پرت و پلا هم زیاد میگن )؛ حالا طرف یک هزارم من هم مطالعه و دانش نداشته در این زمینه!

[SZsXsZS]

تازه من اینا رو همه خودم تنهایی یاد گرفتم. فقط با یادگیری زبان (که اینم تمام خودم خودآموز یاد گرفتم) و خوندن مطالب انگلیسی. ضمنا فقط زبان کافی نیست و درک مطلب فنی و علمی آدم هم باید واقعا قوی باشه!
نه این رشتهء دانشگاهی من بوده نه جایی کسی بهم یاد داده استادی داشتم نه کلاسی چیزی.
یعنی تا این حد که من در این زمینه پیش رفتم و یاد گرفتم واقعا شاهکاره.
اون زمان که من دنبال خیلی چیزها رفتم و ته و توش رو درمیاوردم اصلا کسی وجود نداشت هیچ اشاره ای در منابع داخلی نبود که چنین چیزهایی هم وجود دارن! و کاری که بنده کردم خیلی این مسائل رو بعدا با مطالب و بحث ها و بعضا ترجمه هایی که داشتم در داخل معرفی کردم. هرچند شک دارم اکثریت تونسته باشن زیاد بفهمن و ازشون استفاده کنن!
مثلا سطح بحث های تخصصی برنامه نویسی توی همین فروم یا هرجای دیگر دربارهء امنیت و رمزنگاری اینها این بود که میدیدی تقریبا همشون از امنیت از طریق تیرگی (security through obscurity) استفاده میکنن و اسم این روشها رو هم میذارن امنیت حرفه ای و رمزگذاری، و اصلا از اصول و وجود روشهای اصولی و مدرن اطلاع ندارن انگار! اکثریت مطلق فرق بین obfuscation و encryption رو نمیدونستن.
ولی من از اولش چون آدم اصولی و با همتی بودم، فهمیدم باید برم دنبالش از منابع معتبر و درست و حسابی ببینم چه خبره! کاری که حداقل اون موقع تقریبا هیچکس نمیکرد، چنین زحمتی کسی به خودش نمیداد، اصلا سوادش رو هم نداشتن! هیچ برنامه نویس معمولی نیست که بیاد بره دنبال یک چنین مباحث علمی گسترده و پیچیده و سنگین و خشکی مثل علم رمزنگاری. چون میدونید که این رشته اصلا جزو برنامه نویسی عادی نیست و شاخه ای از علوم کامپیوتر و ریاضیات و اینهاست. درحالیکه برنامه نویسی یه رشتهء مهندسی به مراتب عمومی تریه.
خب ظرفیت من از برنامه نویسی خیلی بالاتر بود. میخواستم همه چیز رو بدونم و بتونم! خوره بودم. اسم وبلاگم هم بخاطر همین علم خوره است!
همین الانش هم خیال نکنید چیزهایی نمیدونم بلد نیستم نفهمیدم که شما نمیدونید!
نمیدونم رشتهء شما چیه منابع و استادان شما کی بودن، ولی براحتی شما رو به چالش و مبارزه دعوت میکنم ببینم واقعا چقدر توانایی عملی دارید
اصلا برید اساتید خودتون رو بیارید؛ خیالی نیست!

[golbafan]

فرضا شما سرور رو در اختیار دارید. شما نمیتونید به مسیری که اطلاعات از سرور واسط به کلاینت ارسال میشه رو بفهمید. چون شما صرفا فقط با سرور واسط ارتباط برقرار میکنید.
اگر هم فرض کنیم که شخص سومی در بین سرور و سرور واسط یا سرور واسط و کلاینت قرار داره و مسیر عبور داده رو داره باز نمیتونه کاری انجام بده.
چون تمامی داده هایی که بین سرور و کلاینت رد و بدل میشه به صورت end-to-end رمز میشه و اگر در این رمزنگاری data integrity حفظ بشه شخص سوم نمیتونه داده ای غیر از داده های متعبر رو بفرسته. داده های معتبر میتونه شامل تاریخ انقضا و اینجور چیزا هم باشه و یا یه سری موارد دیگه که شخص سوم نتونه یک داده معتبر مثلا دستور ریستارت کردن کلاینت رو هر وقت که خودش خواست بفرسته و...

سلام
اینجا سرور واسط وجود نداره و ارتباط صرفا از یک سیستم به دیگری هست.
ما وارد دیتای نرم افزار نمیشیم چون رمز شده هست و اصلا کاری نداریم که اونها چی هستند.
صرفا پیدا کردن یک مسیر باز (بخون حفره امنیتی) به سیستم مورد هدف هست.
ایجاد و ارسال دیتای معتبر با هدر های مناسب در همون مبحث injection قرار میگیره

در مورد point-to-point اگر بیشتر توضیح بدید ممنون میشم چون دقیق متوجه منظورتون نشدم.

با توجه به این نوشته

از امن بودنش که مطمئنم.
البته مسلما به شرطی که دو سیستمی که با هم ارتباط برقرار میکنن امن باشن تحت کنترل خودمون باشه.

ارتباط point-to-point هست (PPP protocol)

https://en.wikipedia.org/wiki/Point-to-Point_Protocol

پ. ن.: در حال حاضر من تخصصم نه رمزنگاری هست و نه شبکه و امنیت. ادعایی هم در این زمینه ندارم. اگر هم در بحث شرکت میکنم به خاطر اینه که چیزی یاد بگیرم و دنبال کل کل نیستم.

اختیار دارید دوست عزیز...
ما هم صرفا تجربیات ناقص خودمون رو در حوزه هک و نفوذ نوشتیم.

من تصور میکنم شما از صحبت من برداشت کردید که قراره ما به اطلاعات رد و بدل شده بین نرم افزار سرور و کلاینت دست پیدا کنیم و یا تغییرشون بدیم ولی این منظور من نبود. صحبت من پیدا کردن کانال ارتباطی بین سرور و کلاینت بود که بخاطر این نرم افزار کانال باز شده و امکان نفوذ رو فراهم میکنه

[golbafan]

الان این حرف من نمیفهمم یعنی چی اصلا!
کو کدام ده ها نفر الان؟ کجا بودن پس؟
شما یک نفر فقط با من بحث کردی که اونم پرت و پلا و اشتباه گفتی اصلا صورت سوال رو هم دقیق نمیخونی درست متوجه نمیشی چه برسه به اینکه بخوای درست هم جواب بدی!
خب چرت و پرت دیگه چیه واقعا بنظرت؟
علم رمزنگاری علم گسترده و پیچیده و فوق تخصصیه. اگر ده ها نفر اینجا پیدا بشن ازش سردربیارن باید از تعجب شاخ درآورد!
پس شما براحتی اغراق میکنی! یا شایدم باید بگیم دروغگویی.
حالا اینا موارد واضح و درشت بود که آوردم. وگرنه در بقیه پست ها و جزییات هم اغلب دقیق و اصولی و حرفه ای بحث نکردی.
شما خودت حرف حساب نداشتی بزنی! از اولش حرفات بدون حساب بوده. دیگه چیزهای بی ربط و پرت و پلاهایی هست که خودت نوشتی، قبول نداری؟ نمیبینی؟
خب اینطوریه که مردم معمولا اشکالات خودشونو نمیبینن. ولی من چون آدم رکی هستم و کوتاه نمیام بعد از من کینه و دشمنی به دل میگیرن. چون مثل خودشون نیستم همینطور روی هوا پرت و پلا بگم و بی خیال بشم. نه عزیزم من مو رو از ماست میکشم! وگرنه بخوایم اینجا با هم تعارف کنیم هندوانه زیر بغل هم بذاریم، سودی واسه من یکی که نداره شما رو نمیدونم، و علاقه و حس نیازی هم به این کارها و تعامل های بچه گانه ندارم، اما فکر میکنم شما توی همین توهمات بیشتر سیر میکنید و ترجیح میدید با دوتا مثل خودتون در سطح خودتون اینطوری خوش باشید!

اگر فکر میکنی اینجا همه دروغگو و بیسوادند لطفا وقت خودت و ما رو بیشتر از این تلف نکن و برو در سایت های دیگه هنرنمایی کن.

درضمن یک لطفی به خودت بکن جاهایی که فکر میکنی من از روی بی سوادی به چیزی ادعا کردم و یا خواستم تو رو محک بزنم رفرنس بده تا بقیه بخونن و بتونن قضاوت کنن.
نه اینکه بخشی از جملات من رو اون هم با اعمال تحریفات! نقل کنی و همه رو به اشتباه بندازی...
شما حتی نمیدونستی رشته رمز در دانشگاههای ایران وجود داره!

یه چندتا از گنده ترین های علم رمزنگاری ایران که میشناسی بفرست اینجا چندتا نکته و سوال فنی ازشون بپرسم ببینم چیزی بارشون هست یا نه
از اینکه واقعا در ایران چنین رشته ها و افرادی باشن حتی بهتر از من ناراحت نمیشم چون حسود و بخیلی چیزی که نیستم! ولی حقیقت تاحالا اینقدر ضعف و کمبود سواد واقعی و ادعاهای پوشالی دیدم که دیگه تا نبینم و ثابت نشه باور نمیکنم پیشفرض میذارم به حساب خالی بندی یا توهم و این حرفا!

بعد هم که اساتید و دانشگاهها رو بهت معرفی کردم، میگی این مدرک ها چرت و پرته و پشیزی ارزش نداره !

دوست عزیز منکه بچه نیستم توی این مملکت هم همه میدونیم چه خبره، این مدرک ها و ادعاها پشیزی ارزش نداره!
.
.
.
این مملکت سیستم سالمی نداره به دانشگاه و استاد دانشگاهش هم نمیشه همینطور دربست و با ادعاهایی اعتماد کرد.

این هم ادعای جالب شما:

خب بیشتر از چیزی که فکر میکردم کار داشت، اما بالاخره آماده شد.
این آخرین تکامل کدهای رمزنگاری بنده هست یعنی در حد ناسا و سازمان امنیت ملی آمریکا
.
.
این کدها از نظر علم رمزنگاری خیلی حرفه ای و با حساسیت بالایی در زمینهء امنیت هستن، بطوریکه فکر نمیکنم تاحالا کسی در ایران مشابهش رو نوشته باشه

بعدشم که فایل ضمیمه رو دانلود میکنی میبینی همش کتابخانه های آماده هست!!! واقعاً خنده داره...


300px-Narcissus-Caravaggio_(1594-96)_edited.jpg

[SZsXsZS]

اگر فکر میکنی اینجا همه دروغگو و بیسوادند لطفا وقت خودت و ما رو بیشتر از این تلف نکن و برو در سایت های دیگه هنرنمایی کن.

شما خودتون اومدید از اول حرف بی ربط زدید. منکه ازتون نظر و کمک نخواستم!
ضمنا دیدی که اصولا واسه اینطور کارها میرم سایت های معتبر خارجی.

درضمن یک لطفی به خودت بکن جاهایی که فکر میکنی من از روی بی سوادی به چیزی ادعا کردم و یا خواستم تو رو محک بزنم رفرنس بده تا بقیه بخونن و بتونن قضاوت کنن.

رفرنس: https://barnamenevis.org/showthread.p...8%AF%D8%B1-PHP
بشینن پست ها رو بخون و میزان بی سوادی و چرندگویی جنابعالی رو ببین!

نه اینکه بخشی از جملات من رو اون هم با اعمال تحریفات! نقل کنی و همه رو به اشتباه بندازی...

کدوم بخشها؟ شما کاملش رو بذار ببینیم خب!

شما حتی نمیدونستی رشته رمز در دانشگاههای ایران وجود داره!

شاید در چند سال اخیر بوجود آمده باشه. بنده نمیدونم! بهرحال تا همین چند سال پیش که هیچ اثری ازشون در اینترنت نبود. وقتی استاد و رشته و دانشجوی درست و حسابی باشه، آیا باید بالاخره اثری ازشون توی اینترنت دیده بشه یا نه؟

بعد هم که اساتید و دانشگاهها رو بهت معرفی کردم، میگی این مدرک ها چرت و پرته و پشیزی ارزش نداره !

خب دلیلش که گفتم. چون سیستم آموزشی اینجا اعتباری نداره و تقلب و ماست مالی زیاده.
اینم یکی از شواهدش: https://forum.hammihan.com/thread246709.html
و قسمتی از متنش که برات نقل کردم: «بله من الان کسی را می‌شناسم که مسوولیت دارد و در سوابقش تولید ٦٠٠ مقاله و کتاب آمده. در حالی که مثلا یکی از اساتید نخبه دانشگاه MIT از سال ١٩٩٠ تا الان ١٦٠ مقاله ISI داشته، این تعداد برای کسی که این همه سال سابقه علمی دارد معنا می‌دهد اما یک استاد ٤٠ ساله با ٦٠٠ مقاله و کتاب غیرمعقول است و فقط در ایران می‌توانید، ببینید.»
یعنی من و شما این مملکت و مردم رو نمیشناسیم نمیدونیم چه خبره؟
همه میدونن!

بعدشم که فایل ضمیمه رو دانلود میکنی میبینی همش کتابخانه های آماده هست!!! واقعاً خنده داره...

دوزاری بارها توضیح دادم که یک کتابخانه به تنهایی کافی نیست، چون خیلی جزییات و نکات و پارامترهای دیگر هست که کتابخانه، بخصوص توی زبانهایی مثل PHP که کتابخانه هاش خیلی کامل و بروز نیست، برای شما بصورت خودکار انجام نمیده خودت باید دانش و مهارتش رو داشته باشی و سرهم کنی.
ضمنا در بحث ها مشخص شد خودت اصلا حرفای منو متوجه نمیشی خیلی از این نکات و ریزه کاریها رو ظاهر نمیدونی!
مثلا من بارها به HKDF اشاره کردم و گفتم برای اشتقاق کلید استفاده کردم، بعد شما یک متون و منابع دیگری رو میاری وسط که در اصل برای همین اشتقاق کلیده، ولی روشهای قدیمی تر و کمتر اصولی.
یخورده اگر اطلاعات و دقت درست و حسابی داشتی متن های منو واقعا میفهیدی دیگه این چیزهای بی ربط و سطح پایین تر رو مطرح نمیکردی.

از حرفهای مسخرهء دیگرت:

اینهم اضافه کنم که این رشته در اصل از ریاضیات کاربردی مشتق میشه و نه علوم کامپیوتر...

و پاسخ بنده:

عزیزم خب ریاضیات کاربردی در علوم کامپیوتر هم کاربرد داره دیگه!
یعنی چی اصلا این حرفت خودت میفهمی چی میگی؟
بعضی از زمینه ها و شاخه های همون ریاضیات کاربردی بر اثر بوجود آمدن کامپیوتر و نیازهاش شکل گرفتن یا خیلی گسترده تر شدن.
علوم کامپیوتر اصلا یعنی چی؟ خب بخش زیادی از اون همون ریاضیاته برای تحلیل و طراحی و کاربرد در کامپیوتر و فناوری اطلاعات.
اینکه بگیم رمزنگاری جزو علوم کامپیوتر نیست و جزو ریاضیات کاربردی است حرف بی معنی است بنظر بنده! میتونی بگی جزو هردوشه. درواقع ریاضیات کاربردی یکی از ابزارهای مورد استفاده در علوم کامپیوتر است. ولی اگر کامپیوتر بوجود نیامده بود، فناوری اطلاعاتی هم نبود، مسلما ریاضیات کاربردی هم در این زمینه اینقدر پیشرفت نمیکرد و یکسری شاخه هاش دقیقا بخاطر نیازها و مسائل و واقعیت های کشف شده در علوم کامپیوتر و فناوری اطلاعات بوجود آمد.

کلا همش پرت و پلا میگی واسه خودت!

[SZsXsZS]

شما اصلا فکر نمیکنم تخصص خاصی در علم رمزنگاری داشته باشید! پس واسه چی با من جدل کردید؟
فقط چون یخورده ریاضی بلدی دلیل نمیشه فکر کنی رشتهء رمزنگاری هم بلدی! مثل اینه که ریاضی بلدی فکر کنی الان همینطوری برنامه نویسی حرفه ای هم میشی. درسته کامپیوتر مبنای ریاضی داره، ولی برنامه نویسی هم خیلی چیزهای جانبی و اطلاعات و تجربه و مهارت های خاص خودشو نیاز داره. مسلما ریاضیات به رشته های مثل برنامه نویسی و رمزنگاری بخصوص خیلی کمک میکنه، ولی به تنهایی کافی نیست. باید بری مطالب گستردهء این رشته ها رو مطالعه کنی بعد بیای مطمئن باشی و ادعا کنی فکر کنی که میتونی در این زمینه ها هم میتونی اظهار نظر کنی.

نمونهء بی دقتی و پرت و پلا گویی شما:
مثلا من این سوال رو مطرح کردم:

وقتی از رمزنگاری 128 بیتی متقارن استفاده کردم و امنیتش بنظرم کافی است، پس چرا از HMAC از نوع 256 بیتی استفاده کرده ام؟ آیا نمیشد HMAC هم 128 بیت باشه؟ نمیشد 160 بیت باشه؟

حالا جواب شما رو میذارم انصافا کسی ازش سردرمیاره یا نه:

این سوالت هم فکر کنم هر تازه کاری بتونه راحت جواب بده و جوابش جلوگیری از حملات موسوم به padding oracle attack هست
وقتی sha256 استفاده میکنی باید aes 128 باشه چون هش 256 به دو بخش 128 شکسته میشه تا بتونه کلید رو برای mac و aes فراهم کنه
این کار برای تایید هویت در مقصد هست. (reg key)
البته این مال موقعی است که شما از مد قدیمی cbc استفاده میکنی.

والا ما که نفهمیدیم چی گفتی و چندتا چیز رو قاطی هم کردی، padding oracle attack چه ربطی به اشتقاق کلید داره، و این هردوتا هیچ ربطی به جواب سوال بنده هم نداشتن!
تو اصلا نمیفهمی padding oracle attack واقعا چطور کار میکنه در چه مواردی مصداق پیدا میکنه!
امیدوارم اینجا یه نفر آدم متخصص و باسواد پیدا بشه بفهمه پرت و پلاهای شما رو.

[SZsXsZS]

شما میگی اینجا رشته اش هست سوادش هست متخصص اش هست.
ولی چیزهایی که میگن از نظر اصول و قواعد حرفه ای این رشته درست و تخصصی نیست و شواهد بی اطلاعی و ناشی گری درشون دیده میشه. طوری که فکر میکنم هیچکس اندازهء من یکسری مطالب این رشته رو نخونده!
مثلا دوست دیگرتون فرمودن:

این حقیر برای سازمان های امنیتی تا به حل 3 تا الگوریتم نوشتم و کار هم میکنن استفاده از تکنولوژی آمریکا خیلی راحته مرد عمل میخاد مثل اونو بنویسه که شکر خدا با کمک ایرانی های با غیرت این مهم رو ما داخل کشور انجام دادیم. از وابستگی از شیطان بزرگ رو کم کردیم.

قبلا توضیح زیاد دادم اینجا هم باز توضیح میدم.
آقا جان، در علم رمزنگاری این حرف معنی زیادی نداره که الگوریتم نوشتیم و کار هم میکنه!! اینم حرف و ادعای من نیست از خودم درنیاوردم که. توی منابعی مختلفی که خوندم بارها ذکر و صریحا اشاره شده که الگوریتم های رمزنگاری که اشخاصی خودشون بنویسن و فکر کنن امنه بی معنیه! حالا طرف اگر واقعا یه نخبه و مرجع شناخته شده ای در علم رمزنگاری در سطح جهان باشه، باز تاحدی میشه این حرف رو قبول کرد، ولی نه فردی که معلوم نیست واقعا تخصص و آگاهی و تواناییش چقدره، کدوم مراجع معتبر (نه داخلی ها که هیچ اعتباری ندارن) تاییدش کردن، بهش مدرک دارن، اعتبار دادن، آموزشش دادن، ادعا میکنه الگوریتم درست کرده و کار هم میکنه!! اصلا کار کردن دقیقا یعنی چی؟ الگوریتم های رمزنگاری مثل برنامه نویسی عادی نیستن که چون فقط در ظاهر کار میکنن یا مخترع اونا فکر میکنه امنیت کافی دارن واقعا اینطور باشه. اینو از هر متخصص معتبر هرجای درست و حسابی هم دوست دارید بپرسید اصلا خواستید من براتون در سایتهای تخصصی میپرسم و جوابها رو ببینید. حالا شما همینطور سرخود از کجا واسه خودتون فکر میکنید و مطمئن هستید؟ آیا این مطالب رو نخوندید نمیدونید؟ اگر خوندید، آیا قبول ندارید؟ اگر قبول ندارید خب دلایل منطقی خودتون رو بفرمایید ما هم استفاده کنیم
شما یه تصورات و ادعاهایی همینطور روی هوا دارید برخلاف تمام تجربیات و نظر متخصصان برجستهء این رشته. معلومه اون متن ها و هشدارها و معیارها رو پس یا نخوندید یا بهرصورت نفهمیدید یا میدونید ولی خودتون رو میزنید به اون راه!
آقا جان اصول این رشته اینه که الگوریتم رمزنگاری شخصی و محرمانه معنی نداره. الگوریتم باید منتشر بشه، توسط متخصصان درست و حسابی دیگر بررسی بشه؛ چون تجربه های بسیار در طول سالیان ثابت کرده نرخ اشتباهات در این زمینه بسیار بالاست و اشتباه کردن خیلی ساده است و معمولا خود طراح متوجه اشتباهات و ضعف های الگوریتم خودش نمیشه. حالا شما بگو ساختیم و کار کرد و پوز شیطان بزرگ رو هم زدیم! دلت خوشه به خدا. شما از کجا مطمئنی میشه بفرمایید بر چه اساسی از امنیت و اصول علمی الگوریتم خودتون مطمئن هستید، درحالیکه نخبه های مشهور این رشته بارها اشتباه کردن و الگوریتم هایی که طراحی کردن توسط متخصصان دیگر درشون ضعف پیدا شده؟ اصلا شما یک نفر به تنهایی فکر نمیکنم وقتش رو داشته باشید، حالا با این فرض که سوادش رو هم داشته باشید (که بعید میدونم)، که بیاید تمام تحلیل های حرفه ای و تخصصی مربوطه روی الگوریتم خودتون رو انجام بدید. اون خارجی ها خودشون هم نمیان یک نفری تمام این کارها رو بکنن، بخاطر همین منتشر میکنن میذارن متخصصان دیگری که علاقمند هستن بیان تحلیل تخصصی بکن و نظر بدن.

میفهمی؟ اصلا طرز حرف زدن از نظر منی که مطلع هستم ناشیانه است بچه گانه است! ظاهرا بچه بسیجیه شعار هم میده

البته بنده نمیگم از خودمون الگوریتم اختراع نکنیم و دربست از الگوریتم های خارجی ها استفاده کنیم. اینو قبول دارم که این در مسائل حساس امنیتی و نظامی حداقل، قابل قبول نیست. ولی اینطور ساده و بدون اصول هم نیست که شما بیاید همینطور یه الگوریتم درست و استفاده کنید خیالتون هم راحت باشه. راه و روش داره باید احتیاط کرد. در اونجا خواستم یه پیشنهاد و راهنمایی هم بکنم که گفتم:

بله شما میتونید یک کارهایی بکنید و ترفندهایی بزنید، مثلا برای موارد خیلی حساس و امنیت ملی، و تاحدی الگوریتم ها و روشهای محرمانه ای رو ابداع کنید یا بهرصورت بکار ببرید که منتشر نکنید. ولی این امر باز علم و اصول خودش رو میخود و باید درست و با آگاهی و احتیاط انجام بشه، نه اینکه بیاید کل یک الگوریتم رو خودتون همینطور از صفر بنویسید و فقط هم همون رو با اعتمادبنفس (که اکثرا کاذب است) استفاده کنید.
حالا اگر مثالش رو خواستید میتونم یک نمونه بهتون بگم که مثلا چطور و چه اصولی رو رعایت میکنیم.

ولی خب کسی دقت نمیکنه و دنبال پیدا کردن اشتباهات و ضعف های احتمالی خودشون نیستن. وگرنه طرف از اینکه بخوام همفکری ای بکنم ایده ای رو در میون بذارم استقبال میکرد. اما خب بچه بسیجی هست دیگه و به خیال خودش مشتی به دهان استکبار جهانی زده حالا نمیخواد شک و شبهه توی این مشت وارد بشه یوقت سوتی توش دربیاد بفهمیم که توی توهم سیر میکرده

شما میگی ما متخصص داریم دانشمند داریم!
بنده حرف زدن متخصص و دانشمند واقعی رو خوندم میشناسم! وقتی طرف حرفی که میزنه از همون ب بسم ا... میبینم حرفه ای نیست اصولی نیست معتبر نیست، خب میخواید چه فکری بکنم؟
اینقدر ساده اید که فکر میکنید چیز زیادی میدونید! ولی حرف زدن شما هنوز حرفه ای نیست هنوز در مقدمات ناشی گری و بی اطلاعی شما مشهوده!