در آوردن پسورد یاهو

[hassan1365]

سلام
چند وقت پیش پسورد یکی از بچه ها رو توسط تروجان تغییر دادن.من بهش قول دادم
پیداش کنم.حالام مث چیز موندم توش.
یادگرفتنش مهم نیست.
هرکس میتونه این آیدیشه:
poriya_00@yahoo.com
اگه پسوردشو واسم سند کنه ممنون میشم.
میل خودم اینه:
hassan_comput@yahoo.com
پیرشید ننه !!!!!!!!!!!!!!




مرسی

[houtanal]

1-هیچ کس نه اینجا نه جای دیگه این کارو برات نمیکنه(اصولا فکر نکنم راهی داشته باشه! :?: )
2-پیشنهاد می کنم تا اینپرایز :evil2: نیومده پاکش کنی (:D)

[hassan1365]

سلام
ولی فکر کنم بشه پیداش کرد.
خودتو دست کم نگیر!
از اینپرایز هم خواهش میکنم تاپیکو قفل نکنه.
بحث خرابکاری نیست.بحث یادگیریه!
یه کم منطقی فکر کنین می بینین که هم من و هم شما
حق داریم که یه سری کارا رو (از همین قبیل) بلد باشیم.
حالا ام اگه من یاد بگیرم قول میدم که بهتون یاد بدم.

موفق باشید.

[whitehat]

دوست عزیز یاهو این امکان را برای شما اگر پسوردتان را فراموش کردید گذاشته . :)
اگر دوست شما تاریخ تولد و زیپ کد و Secret Question یادش باشه براحتی می توانید با استفاده از Forget Password پسورد را ریست و پسورد جدید بگذارید .
موفق باشید

[houtanal]

ولی فکر کنم بشه پیداش کرد

زمانی که بحث از امنیت وب سایت می شود اولین چیزی که به یاد یک برنامه نویس وب یا متخصص امنیت شبکه می افتد www.yahoo.com است.شما یا باید از sql injection استفاده کنید یا از Cross Site Scripting (از Sessionها بگذریم) بعید می دونم یاهوو با این همه متخصصی که داره چنین ضعف هایی داشته باشه :mrgreen:

اگر دوست شما تاریخ تولد و زیپ کد و Secret Question یادش باشه براحتی می توانید با استفاده از Forget Password پسورد را ریست و پسورد جدید بگذارید

بهترین راه!

[Developer Programmer]

خسته شدم از بس جمله یاهو و تروجان و پیدا کردن پسورد رو دیدم
دنیای امنیت شبکه زیباتر و مقدس تر از یافتن پسورد دیگران است
راستی یه جمله توپ و جدید یاد گرفتم
به گفته احسان ملکیان نوشته کتاب امنیت شبکه : پسورد رو هک نمیکنن کرک میکنن

[houtanal]

به گفته احسان ملکیان نوشته کتاب امنیت شبکه : پسورد رو هک نمیکنن کرک میکنن

کتاب جالبیه اما ترجمه فضیحیست از hacking counter
بهترین کتاب احسان ملکیان که تا به حال دیدم اصول مهندسی اینترنتش بوده(جزو مواد اولیه کتابخونس)

[Inprise]

بعید می دونم یاهوو با این همه متخصصی که داره چنین ضعف هایی داشته باشه

بر عکس

[oxygenws]

بعید می دونم یاهوو با این همه متخصصی که داره چنین ضعف هایی داشته باشه

بر عکس

سلام،
شرمنده، منظورتون اینه که متخصص کم داره یا امنیت نداره؟!
ممنون

[Inprise]

هیچکدوم ؛ منظورم این بود که نقطه ضعف داره ؛

---


Secure Coding is an art , i do not know of so many artistz outta here


---

این جواب به دلائل شخصی ادیت شد

[oxygenws]

:shock: :shock: :? :? :skull: :skull:

چه وب میلی امن تره؟! شما خودتون غیر از وب میل های اختصاصی از کجا ها استفاده می کنید؟!
(جناب اینپرایز عزیز، اگر سوالم مشکلی داره، مسلما می تونید جواب ندید :)‌ موفق باشید)

[Inprise]

شما خودتون غیر از وب میل های اختصاصی از کجا ها استفاده می کنید؟!

یه چیزی رو اول عرض کنم : امنیت بسته به موضوع بحث میتونه معانی یا سطوح مختلفی داشته باشه . من برای تبادلات شخصی و خصوصا کاری از هیچ Web Mail ای استفاده نمیکنم ؛ تو یه سناریوی نه چندان قدیمی ، وب سرور و تعداد زیادی از اکانتهای یکی از ISP های معروف ( که یک موسسه فرهنگی/مذهبی هم هست ) دقیقا اینطوری هک شد : نفوذگر به صفحه اتصال به سایت نگهدارندهء هاست مراجعه میکنه و با معرفی کردن خودش به نام مدیر فنی ISP ادعا میکنه پسوردش رو فراموش کرده . طبیعتا" پسورد جدید به آدرسی که مدیر ISP داده مجددا" ارسال میشه و تصادفا" آدرسی که مدیر ISP داده متعلق هست به یاهو . نفوذگر بعد از درخواست فوق ، یک ایمیل همراه [...تعمدا" حذف شد] برای مدیر ISP ارسال میکنه با این عنوان که سرورشون هک شده . روز بعد مدیر ISP موقع بررسی ایمیلها اول از همه توجهش به ایمیلی جلب میشه که مدعیه سایت اونها هک شده که البته توش هیچی نیست ، اما به کمک [...] نفوذگر حالا به مدت دو ساعت ( زمان اعتبار جلسات وب میل یاهو ) میتونه به اکانت مدیر ISP دسترسی داشته باشه ، خوب حالا توش چی هست ؟ خوب معلومه ؛ پسورد جدید سرور !! :)

به تو هم که سرویس هاستینگ داری اکیدا" توصیه میکنم از یاهو و هاتمیل یا SqurillMail که خیلی متداول شده برای تبادلات حساس استفاده نکنی . POP3 و یک MailClient نه چندان شناخته شده یا خصوصی گزینه های بهتری هستند . برای تبادلات عام و معمولی فعلا" Gmail گزینهء خوبیه .

موفق باشی

[oxygenws]

ممنون برادر اینپی، بسیار جالب بود. فقط یه سوال....
می تونید در این مورد بیشتر توضیح بدید؟؟ دقیقا منظورتون رو نفهمیدم.

توصیه میکنم از یاهو و هاتمیل یا SqurillMail که خیلی متداول شده برای تبادلات حساس استفاده نکنی

هاتمیل و یاهو سرویس های آنلاین هستند، اما squrillmail یه نرم افزاره. مثلا تقریبا تمامی سرور های لینوکس با سرویس میل sq همراه هستند، آیا همهء اینها هم مورد دارند؟!!
به همون دلیلی که گفتید (داشتن هاستینگ) این قضیه برام مهمه :)

ممنونم،
موفق باشید، امید

[Inprise]

squrillmail یه نرم افزاره. مثلا تقریبا تمامی سرور های لینوکس با سرویس میل sq همراه هستند،

اغلب کسانی که از سرورهای لینوکس استفاده میکنن از رابط مبتنی بر وب sq هم برای دسترسی به ایمیلهاشون استفاده میکنن که همین حالا حتی برای آخرین نسخه اش کدهای مخرب متعددی وجود داره و اتفاقا" کدش هم خیلی بد نوشته شده . به عنوان مثال شرکت http://www.iranitc.com که گویا از همشهری هات هم هستند سرویس ایمیلشون برای دسترسی به POP3 همون sq است که براحتی با تهیه یه اکانت بیست هزار تومنی و تهیه کدمخرب میشه به صندوق پستی همه چهار صد مشتری این شرکت دسترسی پیدا کرد ؛

موفق باشی

---

من معمولا" به این صراحت اسم نمیارم ؛ اما سرور این رفقامون جریانش متفاوته ! تو با داشتن یه اکانت میتونی خیلی ساده با اجرا کدهای عادی PHP تمام هارد دیسک سرور رو Browse کنی ! ایضا فایل پسوردها و ... الخ . معلوم نیست چرا وقتی یک عده ای فرق سیب زمینی و لینوکس رو نمیفهمن ، به ارائه سرویس هاستینگ لینوکس مبادرت میورزند ! :wink:

[houtanal]

یادمه چند ماه پیش در همین بخش شما فرمودید

یاهو بهترین متخصص امنیتی رو که من میشناسم در خدمت گرفته

در نهایت من اطلاعات خیلی حساسی رو دارم روی همین چیزهای بالا می فرستم از کجا ایمیل بگیرم که این مشکلا ت رو نداشته باشه؟

[Developer Programmer]

اینپرایز جان :heart:
کاملا یادمه فرموده بودین یاهو بهترین ها رو گرفته تا نذاره باگی بمونه حالا یه چیزی دیگه میفرمایین... :!:

[Inprise]

مغلطه نکنید . اینا دو تا مطلب کاملا" متفاوت هستن . استفاده از متخصص امنیت سیستمها و شبکه چه ارتباطی با Secure Coding داره ؟ گاهی اوقات آدم رو نا امید میکنید ... :roll:

[Best Programmer]

ببخشید که پابرهنه میپزم تو بحث. فعلا زیاد سرم شلوغه فرصت نمی کنم زیاد به اینجا سر بزنم.
آقا ایپرایز فکر کنم اون ایراد که میشد از مرورگر طرف اطلاعات کاربر را دزدید الان رفع شده است .

[jirjirakk]

... همه چهار صد مشتری این ...

عمو اینپرایز خیلی باحالی (400 مشتری :twisted: )

[oxygenws]

squrillmail یه نرم افزاره. مثلا تقریبا تمامی سرور های لینوکس با سرویس میل sq همراه هستند،

اغلب کسانی که از سرورهای لینوکس استفاده میکنن از رابط مبتنی بر وب sq هم برای دسترسی به ایمیلهاشون استفاده میکنن که همین حالا حتی برای آخرین نسخه اش کدهای مخرب متعددی وجود داره و اتفاقا" کدش هم خیلی بد نوشته شده . به عنوان مثال شرکت http://www.iranitc.com که گویا از همشهری هات هم هستند سرویس ایمیلشون برای دسترسی به POP3 همون sq است که براحتی با تهیه یه اکانت بیست هزار تومنی و تهیه کدمخرب میشه به صندوق پستی همه چهار صد مشتری این شرکت دسترسی پیدا کرد ؛

موفق باشی

---

من معمولا" به این صراحت اسم نمیارم ؛ اما سرور این رفقامون جریانش متفاوته ! تو با داشتن یه اکانت میتونی خیلی ساده با اجرا کدهای عادی PHP تمام هارد دیسک سرور رو Browse کنی ! ایضا فایل پسوردها و ... الخ . معلوم نیست چرا وقتی یک عده ای فرق سیب زمینی و لینوکس رو نمیفهمن ، به ارائه سرویس هاستینگ لینوکس مبادرت میورزند ! :wink:

شرمنده برادر اینپی، نمی دونم چرا این پیامتون رو ندیده بودم :)
بله، جناب iranitc یا همون سینا .... از بچه های مشهد هستش، و به دلیل مشکلاتی که برخورد دیگه سرور داری نمی کنه.
ولی همونطور که گفتم/گفتید، این sq خودش با اکثر (شاید همهء) لینوکس هایی که با CPanel کار می کنند نصب می شه و خوب بسیاری از کاربران با این سیستم کار می کنند (مثل خود من!!!)
راه حل خاص یا نکتهء خاصی در ذهن شما هست؟ ممنون می شم بدونم.

این رو هم با هم ببینیم -> http://secunia.com/product/288

مرسی،
موفق باشید، امید

[jirjirakk]

مدیر جان شما هم که لینک های مخرب معرفی میکنید .... :P

[oxygenws]

من شخصا غلط بکنم :) اون لینک سازنده یه :) این سایت رو یه بار در بخض اخبار هم معرفی کردم :)

[jirjirakk]

ما مخلصیم امید جان :)

(تنبیه شخصی : آف تاپیک ممنوع : صدبار از روش بنویس)

[hassan1365]

سلام
بابا ما یه سوال کردیم
شما به امنیت یاهو چیکار دارین.
پسوردو پیدا کنین.
البته این بحثا هم خوبه ها ولی در جای خودش.
شما الان دارین وسط دعوا نرخ تعیین میکنین.
فعلا که دنبالشم.اگه راهشو پیدا کردم بهتون میگم.

ممنون