امنیت در #C

[Nima NT]

بله فقط برای دات نت هست , امکان دسترسی به سورس برای برنامه های غیر دات نتی تقریبا" وجود نداره.

[amir400]

بله فقط برای دات نت هست , امکان دسترسی به سورس برای برنامه های غیر دات نتی تقریبا" وجود نداره.

من با برنامه ای به نام Resourse Hacker که حجمش 500کیلو بایته و اینم لینک دانلودشه سورس اون نرم افزاری که گفتم با رفلکتر جواب نداد رو الان به طور کامل بدست آوردم!
این برنامه خیلی باحاله! نه تنها سورس رو در میاره اجازه ویرایش اون رو هم در محیط سورس کدی و هم به صورت گرافیکی میده! محیط گرافیکیش خیلی باحاله!
مثلا می تونید فرم درباره ی ما ی نرم افزار رو بیاره و همونجوری که هست ببینیش و بدون دانستن هیچ نوع برنامه نویسی هرجاشو که خواستی ویرایش کنید! خیلی باحاله!
مثلا میشه برای فارسی کردن نرم افزار ها بدون دانستن هیچ نوع برنامه نویسی ازش استفاده کرد:دی
اینم عکسش:

[amir400]

من با برنامه ای به نام Resourse Hacker که حجمش 500کیلو بایته و اینم لینک دانلودشه سورس اون نرم افزاری که گفتم با رفلکتر جواب نداد رو الان به طور کامل بدست آوردم!
این برنامه خیلی باحاله! نه تنها سورس رو در میاره اجازه ویرایش اون رو هم در محیط سورس کدی و هم به صورت گرافیکی میده! محیط گرافیکیش خیلی باحاله!
مثلا می تونید فرم درباره ی ما ی نرم افزار رو بیاره و همونجوری که هست ببینیش و بدون دانستن هیچ نوع برنامه نویسی هرجاشو که خواستی ویرایش کنید! خیلی باحاله!
مثلا میشه برای فارسی کردن نرم افزار ها بدون دانستن هیچ نوع برنامه نویسی ازش استفاده کرد:دی
اینم عکسش:
[IMG][/IMG]

الان برنامه ای به اسم resource Tuner پیدا کردم که از اونم بهتره@ دانلود
--
یک برنامه ای هم به اسم Dis Sharp میگن وجود داره که من پیدا نکردم! میگن سورس رو به صورت Solution تحویل میده!!

[amir400]

اینم دیس شارپ! پیداش کزدم: دانلود

ااین دیس شارپ برای برنامه های نوشته شده در سی شارپ واقعا عالیه !
کل کد رو بدون هیچ اشکالی توی یک صفحه می تونه تحویل بده!
اینجا هم یک عالمه دکامپایلر واسه زبان های مختلف هست! حتی فلش! اینجا

[Armin060]

Resourse Hacker و از اين قبيل برنامه ها فقط Resourse ها رو ويرايش می كنند، نه بيشتر. هيچ وقت هم سورس رو به دست نمی يارند.

[Nima NT]

resource جزو منابع فایل اجرایی هست , مثل یه سری اطلاعات طبقه بندی شده , به قول دوست عزیزمون این برنامه ها فقط این اطلاعات رو استخراج میکنن و دسترسی به سورس کد ندارن.
برنامه هایی مثل reflector سورس کد برنامه شما رو در میارن , یعنی همون کدی که شما برای برنامه خودتون در یکی از زبانهای برنامه نویسی نوشتید.

[amir400]

resource جزو منابع فایل اجرایی هست , مثل یه سری اطلاعات طبقه بندی شده , به قول دوست عزیزمون این برنامه ها فقط این اطلاعات رو استخراج میکنن و دسترسی به سورس کد ندارن.
برنامه هایی مثل reflector سورس کد برنامه شما رو در میارن , یعنی همون کدی که شما برای برنامه خودتون در یکی از زبانهای برنامه نویسی نوشتید.

پس این همه برنامه های win32 چجوری کرک شده اند؟!

[system32]

با سلام.

ظاهرا این تاپیک کم کم داره از موضوع اصلی خودش خارج می شه و این امکان وجود داره که مدیران بخش تاپیک را قفل کنند پس خواهشا از بحث در مورد این برنامه های نمایش سورس و غیره اجتناب کنید.
لطفا فقط به موضوعاتی بپردازید که امنیت برنامه های نوشته شده به زبان #C را بالا می برد. یکبار دیگر هدف از تاسیس این تاپیک را می گویم:

دوستان هدف از راه اندازی این تاپیک این است تا با هم دیگر شیوه های برقراری امنیت در برنامه نویسی به این زبان را بررسی کنیم. چونکه این مبحث بسیار گسترده است ابتدا از این سوال شروع می کنیم که:

چکار کنیم که دستیابی به کدهای برنامه بوسیله نرم افزارهایی همانند Reflector سخت تر انجام شود؟ |---------------------------------------------------------|

بقیه سوالات به تدریج در این تاپیک بحث خواهد شد. از دوستان نیز می خواهم در صورتی که سوالی در مورد این موضوع دارند بیان کنند تا با دوستان در جهت رفع آن اقدام گردد.
پیشاپیش از همکاری شما در این بحث تشکر می کنم.

به امید رسیدن به این هدف.

نتیجه گیری از سوال اول:
1- به هیچ وجه امکان ندارد که جلوی نفوذ به کدهایمان گرفته شود. فقط می توان کاری کرد که این کار سخت تر انجام شود.
2- شما می توانید بوسیله نرم افزارهای Obfuscator نفوذ به کدهایتان را مشکل نمایید. این کار با تغییر نام متغیرها و ... برنامه شما انجام می گیرد.

در ضمن دوستان روشی بلدند که با آن بتوان CLI Header را از برنامه حذف کنیم. متوجه شدم بعضی از دوستان این کار را انجام دادند. چگونه؟ می شه یه کم در این مورد توضیح بدهید. ممنون.

دوستان اگه این نتیجه گیری را قبول دارند و نظری در این مورد ندارند با مفید اعلام کردن این مطلب اعلام کنند تا به سوال بعدی پرداخته شود.

ممنون از همگی برنامه نویسان عزیز که در این بحث شرکت می کنند.

[Nima NT]

در ضمن دوستان روشی بلدند که با آن بتوان CLI Header را از برنامه حذف کنیم. متوجه شدم بعضی از دوستان این کار را انجام دادند. چگونه؟ می شه یه کم در این مورد توضیح بدهید. ممنون.

این کار هم تاثیر زیادی نداره , برنامه CodeViel همین کار رو انجام میده.
در واقع ارزش کاری نداره , میتونید وقتتون رو برای روشهای بهتر بذارید.
در مورد موارد 1 و 2 هم کاملا" موافقم و صحیح هستن.

[Nima NT]

پس این همه برنامه های win32 چجوری کرک شده اند؟!

اگر بخوام پاسخ شما رو اینجا بدم , همه چیز به هم میریزه و شاید مدیر بخش شاکی بشه.
بهتره اول در تالار امنیت در نرم افزار و برنامه نوسی جستجو کنید , چون قبلا" بحث شده , اگر جواب نگرفتید میتونید یه تاپیک همونجا ایجاد کنید تا جواب بدم.

[system32]

این کار هم تاثیر زیادی نداره , برنامه CodeViel همین کار رو انجام میده.
در واقع ارزش کاری نداره , میتونید وقتتون رو برای روشهای بهتر بذارید.

دوست عزیز. چرا مفید نیست در حالی که اگه بتوان این مورد را حذف کرد دیگه نرم افزار رفلکتور قادر به شناسایی این برنامه به عنوان برنامه تحت نت و نمایش کدهای آن نیست. لطفا دلیل تان را بیان نمایید.

[Nima NT]

دلیل اول اینکه قابل بازسازی هست و دلیل دوم اینکه تنها نرم افزاری که این کار رو انجام میده , Reflector نیست و برنامه های دیگه ای هم وجود دارن که با این مورد مشکلی ندارن , از جمله Fox.

[keivan mousavi]

با سلام به همه اساتید

اول اینکه به نظر من بحث داره تا حدودی منحرف میشه وکاربر system32 که این تایپیکو تا اینجا خیلی خوب مدیریت کرده بهتره بیشتر دخالت کنه

دوم اینکه بهتره تمام توان رو در سر یک نرم افزار پیاده نکنیم

به نظر من نوعی اصولاً بخش امنیت و جلوگیری از انتشار سورس کدها تا حدود 90 درصد بسته به برنامه نویس داره
وقتی شما یک Total رو در یک سیستم اداری Run میکنید چه مواردی را برای امنیت برنامه در نظر میگیرید
ما احتیاج به فایروال داریم
اختیارات User را تا جای ممکن محدود کنیم
و...

تمام مواردیو که شما اشاره کردید مال زمانی هستش که شخص به سرور دسترسی داشته باشه

باید این بحث هم مطرح بشه که از راه دور یک شخص چگونه میتونه به سورس دسترسی پیدا کنه

و به نظر من یک تحقیق جامع در مورد شرکتهایی مانند هلو , سیب سبز و.. که نرم افزارهای حساب داری بسیار قوی نوشتن بشه تا ببینیم شرکتهای حرفه ای در این زمینه چه کاری رو انجام میدن

[Nima NT]

و به نظر من یک تحقیق جامع در مورد شرکتهایی مانند هلو , سیب سبز و.. که نرم افزارهای حساب داری بسیار قوی نوشتن بشه تا ببینیم شرکتهای حرفه ای در این زمینه چه کاری رو انجام میدن

این سیستم ها با Delphi طراحی شدن و قضیه لو رفتن کد برای اینها منتفی هست.

به نظر من نوعی اصولاً بخش امنیت و جلوگیری از انتشار سورس کدها تا حدود 90 درصد بسته به برنامه نویس داره
وقتی شما یک Total رو در یک سیستم اداری Run میکنید چه مواردی را برای امنیت برنامه در نظر میگیرید
ما احتیاج به فایروال داریم
اختیارات User را تا جای ممکن محدود کنیم
و...

کراکر یک نسخه از نرم افزار رو میخره , یا میگیره از کسی و بعد میتونه کد رو ببینه , نیازی به فایروال و اینها نیست. منظورتون چی هست ؟

[keivan mousavi]

این سیستم ها با Delphi طراحی شدن و قضیه لو رفتن کد برای اینها منتفی هست.

سیب سبز با دات نت نوشته شده ولی نمیدونم با کدوم عضوش چون من با خوده مهندسشون صحبت کردم و برنامه رو وقتی در سرور راه اندازی شد دیدم

کراکر یک نسخه از نرم افزار رو میخره , یا میگیره از کسی و بعد میتونه کد رو ببینه , نیازی به فایروال و اینها نیست. منظورتون چی هست ؟

در مورد امنیت شبکه هم این مسئله مهم هستش یک User بر فرض مثال در ناحیه DC عضو هستش و میتونه به سرور های مختلف در یک شبکه Log کنه حال در اینصورت شما چه کاری انجام میدی در یک شبکه یک User باید در یک سرور Admin باشه و در سرور دیگر Gost ؟؟؟
این مسئله با فایروآل البته نه اون فایروآلی که شما در ذهن دارید میسر میشه

این سیستم ها با Delphi طراحی شدن و قضیه لو رفتن کد برای اینها منتفی هست.

من فکر کنم در تایپیک گذشته Delphi و دات نت رو به اندازه کافی بحث کردیم و متوجه شدیم که در Delphi هم امکان لو رفتن سورس وجود داره
بحث امنیت فقط مختص به C#‎.NET نیست و کلیه زبانهای دیگه هم حتی زبانهای سطح پایین قابل کرک شدن هستن

[اَرژنگ]

من فکر کنم در تایپیک گذشته Delphi و دات نت رو به اندازه کافی بحث کردیم و متوجه شدیم که در Delphi هم امکان لو رفتن سورس وجود داره
بحث امنیت فقط مختص به C#‎.NET نیست و کلیه زبانهای دیگه هم حتی زبانهای سطح پایین قابل کرک شدن هستن

من کاملا با شما موافقم،
من هم همین را در پست شماره ۳۵ گفتم.
بحث امنیت با کرک شدن و با دیده شدن کد تفاوت دارد.
قبلا در مورد امنیت در دات‌نت که بسیار هم قوی هست لینک فرستاده بودم.
مشکل کرک شدن ربطی به این تالار و سی‌شارپ ندارد.
مشکل دیده شدن کد، ربطی به این تالار و سی‌شارپ ندارد.
مشکل کار کردن با امنیت در سی‌شارپ ربطی به این توپیک ندارد.

[اَرژنگ]

به تمام کسانی که میگند با فرلکتر میشه کد کامل را بدست آورد:
کد اینکه این بابا چطوری یک مساج باکس فارسی را ساخته و در همین تالار است را بزارید زیره توپیکش.
مسیج باکس تمام فارسی
https://barnamenevis.org/showthread.php?t=115092
لااقل یک فایده‌ای داشته باشید، به جایه اینکه فقط همه را بترسانید، و شدن یک کار خیلی ساده را نشان بدید، اگر هم که نه نمیتوانید...

[system32]

دوستان سلام.

من قبلا عرض کردم که بحث در مورد راه های جلوگیری به کدها به پایان رسید و در این مورد دو نتیجه گرفته شد. پس دوستانی که می خواهند نتیجه را ببینید به اینجا مراجعه کنند. لطفا دیگر در مورد این موضوع بحث نشود چون احتمال زیادی دارد که این تاپیک توسط مدیر بخش به علت بی ارتباط بودن با بخش حذف گردد. اگه بیشتر از این می خواهید بدانید لطفا تاپیکی را در بخش امنیتی همین سایت ایجاد کرده وسوال خود را بپرسید. ممنون.


و اما یک سوال کلی دیگه:

سوال: دوستان چه پارامترهای دیگه ای برای برقراری امنیت نیاز هست؟ لطفا آن ها را به صورت عبارتی بیان کنید تا روی این موضوعات نیز بحث شود.

با سپاس فراوان از شما دوستان عزیز.

[Nima NT]

بحث امنیت فقط مختص به C#‎.NET نیست و کلیه زبانهای دیگه هم حتی زبانهای سطح پایین قابل کرک شدن هستن

کرک شدن یک بحث هست و دیده شدن سورس کد بحث دیگه , کسی نگفت کرک نمیشن گفتم سورشون دیده نمیشه , و در مورد این حرفم 100% مطمئن هستم. ( فقط این میون delphi.net استثناء هست که اون هم جزو زبانهای دات نت محسوب میشه و ربطی به win32 نداره ).

لااقل یک فایده‌ای داشته باشید، به جایه اینکه فقط همه را بترسانید، و شدن یک کار خیلی ساده را نشان بدید، اگر هم که نه نمیتوانید...

این دومین باری است که دارید توهین میکنید !!!!!
در مورد سورسی که هم خواستید , Reflector کار کردن باهاش زیاد سخت نیست , میتونید خودتون امتحان کنید.

سوال: دوستان چه پارامترهای دیگه ای برای برقراری امنیت نیاز هست؟ لطفا آن ها را به صورت عبارتی بیان کنید تا روی این موضوعات نیز بحث شود.

میتونید مقاله ای رو که ضمیمه کردن مطالعه کنید , هر جا مشکلی بود میتونید در تالار امنیت در برنامه نوسی مطرح کنید تا جواب بدن بهتون .( چون خودم به خاطر مشکلی که در پیام خصوصی بهتون گفتم , مدتی حضور نخواهم داشت ).

[keivan mousavi]

کرک شدن یک بحث هست و دیده شدن سورس کد بحث دیگه , کسی نگفت کرک نمیشن گفتم سورشون دیده نمیشه , و در مورد این حرفم 100% مطمئن هستم. ( فقط این میون delphi.net استثناء هست که اون هم جزو زبانهای دات نت محسوب میشه و ربطی به win32 نداره ).

منظور من از کرک همون هک هستش(فکر کنم منظورمو بد رسوندم)
یکبار من از استاد دانشگاهمون همچین سوالیرو کردم که یک فایل DLL داریم که با C#‎.NET نوشته شده و من میخوام سورس اونو در بیارم
استاد چند نرم افزارو معرفی کرد ولی گفت که دقیقاً مثل C#‎.NET در نمیاره و یک شبه کد به شما میده

در صورتی که شما اگه با زبانهای دیگری مانند C++‎ برنامه بنویسید میتونید تا حدود 90 درصد از کدهارو دربیاری

یک نکته دیگری درمورد دلفی
نرم افزار دلفی توسط ماکروسافت خریده شده و دیگر وژرنی از این نرم افزار به وجودنخواهد آمد

در ضمن ویژوآل استادیو دارای منبع هستش و شما همیشه میتوانید به این منابع دسترسی داشته باشی(منظور از منبع کمپانی سازنده میباشد)
در صورتی که این امر درمورد خیلی از زبانها وجود نداره

[Armin060]

منظور من از کرک همون هک هستش

كرك يه چيزه و هك يه چيزه ديگه.
عبارت "هك" مختص برنامه های وب است.

در صورتی که شما اگه با زبانهای دیگری مانند C++‎ برنامه بنویسید میتونید تا حدود 90 درصد از کدهارو دربیاری

امكان نداره بشه زبان دو دو یی رو به زبان های سطح بالا تبديل كرد. اين از نظر منطقی ثابت شده و چيزی نيست كه با پيشرفت علم امكان پذير بشه. ( البته اين يه تيكه رو از قول Inprise گفتم )

حالا هم كه استاد شما اين حرف رو زده ازش بپرسيد چطوری بعد بيايد به ما هم بگيد. راستش من سورس ويندوز و ويژوال استاديو رو خيلی احتياج دارم.

[keivan mousavi]

كرك يه چيزه و هك يه چيزه ديگه.
عبارت "هك" مختص برنامه های وب است

منکه گفتم منظورمو بد رسوندم
وقتی که به یک سورس یک برنامه دست پیدا میکنن در اصطلاح میگن هک شده من سالها کارم شبکه بوده پس حتماً بهتر از شما با واجه هک آشنا هستم
نشون به اون نشون که وقتی ویندوز های ماکروسافتو از حالت تریال در میارن بهش چه واجه ای رو نسبت میدن؟؟؟

حالا هم كه استاد شما اين حرف رو زده ازش بپرسيد چطوری بعد بيايد به ما هم بگيد. راستش من سورس ويندوز و ويژوال استاديو رو خيلی احتياج دارم.

مگه ویژوآل استادیو با C++‎ نوشته شده؟

شما که مدعی یکی از قدیمی ترین عضوهای این گروه هستید هنوز نمیدونید که یک زبان برنامه نویسیو چگونه ابداع میکنن؟؟؟

من درمورد سورس ویندوز صحبت نکردم
شما هنوز با مفهوم معماری نرم افزار هم آشنا نیستید
شما هنوز نمیدونید ویندوز رو با چه نرم افزارهایی نوشتن

پس برید هر وقت جوابی برای این سوال ها پیدا کردید تشریف بیاورید
در ضمن من اگر جای شما بودم هیچ وقت از یک استاد ایراد نمیگرفتم

یکبار دیگه برای دوستانی که منظورمو متوجه نشدن توضیح میدم
وقتی شما سورس یک فایل DLL که با C#‎.NET نوشته شده را بدست میارید یک شبه کد به شما میده که برای اجرا باید روی آن کار کنید
ولی وقتی سورس برنامه های نوشته شده با زبانهای دیگری مانند C++‎ را بدست میاورید کدهایی که به شما میده عین کدهایی که شما نوشتید نیست ولی همون کارو برای شما انجام میده

عبارت "هك" مختص برنامه های وب است

جای تامل

امكان نداره بشه زبان دو دو یی رو به زبان های سطح بالا تبديل كرد. اين از نظر منطقی ثابت شده و چيزی نيست كه با پيشرفت علم امكان پذير بشه

کدوم زبان دودویی را شما میگید؟؟؟
اگر منظورتون C++‎ هستش C++‎ یک زبان سطح بالاست نه دودویی

[اَرژنگ]

کرک شدن یک بحث هست و دیده شدن سورس کد بحث دیگه , کسی نگفت کرک نمیشن گفتم سورشون دیده نمیشه , و در مورد این حرفم 100% مطمئن هستم. ( فقط این میون delphi.net استثناء هست که اون هم جزو زبانهای دات نت محسوب میشه و ربطی به win32 نداره ).
این دومین باری است که دارید توهین میکنید !!!!!
در مورد سورسی که هم خواستید , Reflector کار کردن باهاش زیاد سخت نیست , میتونید خودتون امتحان کنید.
میتونید مقاله ای رو که ضمیمه کردن مطالعه کنید , هر جا مشکلی بود میتونید در تالار امنیت در برنامه نوسی مطرح کنید تا جواب بدن بهتون .( چون خودم به خاطر مشکلی که در پیام خصوصی بهتون گفتم , مدتی حضور نخواهم داشت ).

توهین؟ وقتی که یکی یک ادعایی میکنه ازش اثبات میخواهیم. شما میگید که بدست آوردن کد آسان است. اگر فرض کنیم که چیزی که شما میگی درست است، این یک مثال کوچیک که ادعایه که شما دنبالش را گرفتید را درست بودنش را به ما نشان بدید، من میگم سخت است، و برایه همین هم سعی نمیکنم. اگر شما نمیتونیند یک ذره کد یک مساج باکس فارسی را که در همین تالار دنبالش هستند را استخراج کنید، میشه بگید کجایه بدست آوردن کد آسان است؟
در ریاضیات وقتی که یکی یک ادعایی میکنه، باید اثبات هم انجام بده، درخواست اثبات توهین نیست. اینکه بدانه نشان دادن اثبات همینطوری به یک ایده پافشاری کنید تا موقعی که همه قبول کنند توهین به بقیه است.
حالا راستش را بگید، اگر بدست آوردن کد آسان است را شما نشان بدید، به اینکه بگ دیگران بگید با رفلکتر میشه و برو خودت اینکار را انجام بده جواب نیست، طفره رفتن است و اینکه آسان نیست را نشان میده

[اَرژنگ]

در ضمن من اگر جای شما بودم هیچ وقت از یک استاد ایراد نمیگرفتم

چرا که نه؟ ایراد به ایده و بحث را اگر درست نیست باید حتما گرفت.
به خاطر اینک یکی سالهایه بیشتری کاری را انجام میده دلیل بر اینکه همه چیزی که میگه درست باشد نیست!
تجربه و لقب کسی را غیره قابل انتقاد نمیکنه، اگر ایده و یا چیزی که میگند به نظر کامل و درست نیاد باید سوال بشه. اگر کسی واقعا استاد هست از اینکه یک چیزه جدید و درست یاد بگیره خوشحال میشه.

ر ثانی، فراموش نکنید که ما از یک شخص ایراد و انتقاد نمیکنیم، ما از ایده‌ها و مفهومات اشکال میگیریم. یک شخص کلی ایدها‌هایه مختلف میتونه داشته باشد، بعضیهاش درست ، بعضیهاش اشتباه. از درستهاش یاد میگیریم، اشتباه‌هاش را میشکافیم که درست را پیدا کنیم، همه یک انسانند مانند من و شما، هم درست فکر میکنند بعضا همم اشتباه بعضا.
آدمها فانی هستند ولی عقیده‌هایه درست را حتی میشه بعد از هزار سال ازشان استفاده کرد.

در ضمن اینکه استادتان گفته فقط یک شبه کد را میشه بدست آورد کاملا درست است. و این نه فقط به دات.نت ولی برایه تمام زبانهایه برنامه نویس صابق است.

[Armin060]

واسه اينكه بحث موضوع تاپيك عوض نشه جواب آقای keivan mousavi رو در پيغام خصوصی دادم و جناب System32 هم درخواست كرك Xenocode رو كرده بودند. هر كی خواست پيغام خصوصی بده تا واسش ارسال كنم،

در مقاله ای كه جناب NimaNT گزاشته بودند ( كه خيلی هم خوب بود )، گفته بودن كه مقدار CRC و MD5 فايل Dll رو چك كنيم، در مورد CRC توضيح داده بودند ولی MD5 رو نگفتند چی هست و همچنين نگفتند گه چطوری CRC و MD5 فايل رو چك كنيم. ( البته گمونم خود دات نت فريم ورك اين كار رو انجام ميده ) حالا ممنون ميشم يكی توضيح بده كه چطوری اينكار رو انجام بديم؟

[system32]

جدا جای تاسف داره که بعضی از دوستان فضای تاپیک را با مباحثی غیر از موضوع اصلی دارند پر می کنند. پیغام خصوصی را هشتند برای همین کارها. لطفا از مجادله های بی فایده اجتناب کنید. فکر کنم اگه اینطوری بخواد پیش بره به زودی این تاپیک توسط مدیر بخش قفل بشه.

سوالی را دوست عزیزمون جناب Armin060 پرسیدند که می تونه از حالا موضوع بحث باشه:

در مقاله ای كه جناب NimaNT گزاشته بودند ( كه خيلی هم خوب بود )، گفته بودن كه مقدار CRC و MD5 فايل Dll رو چك كنيم، در مورد CRC توضيح داده بودند ولی MD5 رو نگفتند چی هست و همچنين نگفتند گه چطوری CRC و MD5 فايل رو چك كنيم. ( البته گمونم خود دات نت فريم ورك اين كار رو انجام ميده ) حالا ممنون ميشم يكی توضيح بده كه چطوری اينكار رو انجام بديم؟

در ضمن دوستان دیگه هم اگه سوال امنیتی دارند می تونند بیان کنند که جواب داده بشه. (البته اگه بعضی از کاربران بزارند و با بحث های بی مورد باعث نشند تاپیک قفل بشه).

ممنون از همگی.

[Mahdi.Kiani]

سلام دوستان
از حواشی به درو باشید.والا این تاپیک هم به سرنوشت بسیاری از تاپیک های دیگر دچار خواهد شد.حدود 70 پست ایجاد کرده اید که بسیاری ا آن ها فاید محتوای علمی و تنها کل کل کردن های بی مورد بوده که علاوه بر هدر دادن فضای سایت باعث هدر دادن وقت سایر کاربران نیز خواهد شد.
این اولین و آخرین اخطار بنده در مورد این تاپیک می باشد.
موفق باشید

[اَرژنگ]

سلام دوستان
از حواشی به درو باشید.والا این تاپیک هم به سرنوشت بسیاری از تاپیک های دیگر دچار خواهد شد.حدود 70 پست ایجاد کرده اید که بسیاری ا آن ها فاید محتوای علمی و تنها کل کل کردن های بی مورد بوده که علاوه بر هدر دادن فضای سایت باعث هدر دادن وقت سایر کاربران نیز خواهد شد.
این اولین و آخرین اخطار بنده در مورد این تاپیک می باشد.
موفق باشید

با تشکر از جناب کیانی،
اگر ممکن است شما در مورد چه موضوعاتی در این تپیک میتوانیم پیش بریم را لطفاً معیین کنید، که دیگر سر اینکه موضوع این توپیک چی هست جایه سوالی نماند.

با احترام

[Mahdi.Kiani]

با تشکر از جناب کیانی،
اگر ممکن است شما در مورد چه موضوعاتی در این تپیک میتوانیم پیش بریم را لطفاً معیین کنید، که دیگر سر اینکه موضوع این توپیک چی هست جایه سوالی نماند.

با احترام

با سلام مجدد
عنوان تاپیک "امنیت در سی #C" می باشد. این عنوان به نظر بنده بسیار کلی است(با توجه به ماهیت کلمه امنیت). به نظر من ابتدا می بایستی تعریفی جامع از امنیت ارائه می شد و پس از آن به بررسی روش ها و ابزارهای مورد نیاز در جهت رسیدن به امنیت بالاتر در برنامه ها بحث می شد.
این تاپیک می توانست با عنوانی مثلا" امنیت در برنامه های دات نت " و در بخش کلی تری مطرح گردد. چرا که چهارچوبه زبان های برنامه نویسی که بر پایه پلت فرم دات نت می باشند یکی است.
اما در متن تاپیک (اولین پست)، اشاره به این شده که به عنوان سوال اول، هدف جلوگیری از سورس شدن برنامه های دات نت می باشد.
دوستان می توانند در این باره بحث کنند و به یک نتیجه واحد برسند.که فکر می کنم به اندازه کافی در این مورد بحث شده. کاربر ایجاد کننده تاپیک می توانند یک نتیجه گیری کلی در مورد سوال اول انجام داده و نتیجه را به سمع و نظر کاربران برساند.
پس از آن می توانند به سوال دیگری بپردازند.

اما در هر صورت توجه به نکات زیر می تواند روند مثبت تری به تاپیک دهد:
1- پاسخ ها بدون تعصب نسبت به یک زبان، یک فریم ورک و ... باشند
2-پاسخ ها همراه با مدرک و سند قابل استناد باشند
3-از فرستادن پاسخ های نا مرتبط مثلا قرار دادن فایل های Crack Me و ... خودداری شود
4-از کل کل کردن پرهیز شود
5....
********
موفق باشید
پ و:
شاید در اینده ای نزدیک، بسته به روند تاپیک، تاپیک را به محل مناسب تری و با عنوان مناسب تری انتقال دهم

[system32]

با تشکر از مدیر بخش:

لازم دانستم در تایید کلام ایشان سخنی بگویم:

اینجانب نیز در اولین پستم به کاربران عزیز گوشزد نمودم موضوع این تاپیک کلی است لذا ابتدا سوال راههای جلوگیری از نفوذ به کدها را بررسی می نماییم (که یک بحث کاملا مهم است) و سپس در ادامه دوستان سوالاتی در این زمینه دارند بیان کنند تا با بقیه کاربران به سوال این کاربر جواب داده شود. اولین سوال که پرسیده شد با استقبال کاربران مواجه گردید و در نهایت نیز به یک جمع بندی رسیدیم که دوستان می توانند در این صفحه جمع بندی انجام گرفته را مشاهده کنند. ولی متاسفانه بعضی دوستان با مجادله های بی مورد و بی فایده بحث را از موضوع اصلی دور کردند. که به تذکرات اینجانب و شما انجامید. حالا با این توصیفات از دوستان می خواهم در صورتی که سوال امنیتی دارند در این تاپیک بیان نمایند تا به آن پرداخته شود و کشمکش های خود را در پیام های خصوصی بیان نمایند. در ضمن از آقای کیانی خواهش می کنم اگر پستی با موضوع تاپیک بی ارتباط بود لطفا آن پست را حذف کنند تا تاپیک روند عادی خود را طی کند. و کاربر مربوطیه نیز از تکرار عمل خود جلوگیری کند.

با تشکر وسپاس فراوان از کلیه دوستان عزیز.

[اَرژنگ]

اولین سوال که پرسیده شد با استقبال کاربران مواجه گردید و در نهایت نیز به یک جمع بندی رسیدیم که دوستان می توانند در این صفحه جمع بندی انجام گرفته را مشاهده کنند.
...
از دوستان می خواهم در صورتی که سوال امنیتی دارند در این تاپیک بیان نمایند تا به آن پرداخته شود

نتیجه‌گیریهایه که گرفته شد:

نتیجه گیری از سوال اول:
1- به هیچ وجه امکان ندارد که جلوی نفوذ به کدهایمان گرفته شود. فقط می توان کاری کرد که این کار سخت تر انجام شود.
2- شما می توانید بوسیله نرم افزارهای Obfuscator نفوذ به کدهایتان را مشکل نمایید. این کار با تغییر نام متغیرها و ... برنامه شما انجام می گیرد.

۱.نتیجه گیری اول بدست آوردن کدها را ساده جلوه میده، در حالی که که حتی یک نفر از کسانی که این نتیجه را قبول دارند نتوانستند کد یک تابع کوچک که در همین تالار فرستاده شده بود را دربیارند، پس نتیجه گیری را باید به این تغییر داد:
۱.با اینکه به هیچ وجه امکان ندارد که جلوی نفوذ به کدهایمان گرفته شود، اینکار کار آسانی نیست و یک پروژه کاملا را تبیدل به سورس نمیکنه، فقط یک شبه کد بدست میاد که بعدش هم باید با تلاش زیاد بشه ازش استفاده کرد.

سوال امنیتی همانطوری که گفته شد، ربطی به دسترسی و یا نرسی کد ندارد، اگر میخواهید واقعا برنامه نویسی با امنیتی با سی‌شارپ را بررسی کنید، یک توپیک جدید با عنوان درست و فقط برایه بررسی برنامه‌نویسی با امنیت در سی‌شارپ بپردازید.

نتیجیه‌گیرهایه که شده گمراه کننده هستند، تنها حسی که این نتیجیه‌گیرها به کاربران تازه‌وارد میده این است که یکی میتونه کد کامل پروژه‌شان را براحتی فقط با استفاده از رفلکتور کاملا بدست بیاره.

[keivan mousavi]

من تا حدود 90 درصد با دوست خوبم آقای آرژنگ موافق هستم

ولی مسئله ای که وجود داره راه برای بدست آوردن سورس وجود داره و ما فقط میتونیم مانند بیماری ایدز که راه درمان نداره و فقط میشه دوره نقاهدو به تاخیر انداخت ما هم دوره بدست آوردن سورسو به تاخیر بندازیم و کاری کنیم که شخص برای بدست آوردن سورس هزینه سربار زیادی بپردازه

چیزی که مسلم هستش این ایراد در نسخه های بعدی ویژوآل حل خواهد شد و ویژوآل پیشرفت خواهد کرد

[saeed2rele]

چیزی که مسلم هستش این ایراد در نسخه های بعدی ویژوآل حل خواهد شد و ویژوآل پیشرفت خواهد کرد

من فکر میکنم این اتفاق نمی افته چون در هیچ منبعی از این خصوصیت به عنوان ایراد نام برده نشده.

[keivan mousavi]

من فکر میکنم این اتفاق نمی افته چون در هیچ منبعی از این خصوصیت به عنوان ایراد نام برده نشده.

کدوم ماست بندی هست که بگه ماست من شوره؟؟؟
من شخصاً تا به حال سراغ نداشتم که ماکروسافت به عیبی از نرم افزارهای خودش اعتراف کرده باشه

به نظر شما اگر این یک ایراد بود، از سال 2000 که برای اولین بار صحبت رسمی در مورد پلت فرم دات ن ت و زبان سی شارپ در کنفرانس PDC 2000 به میان آمد تا امروز که در حال ریلیز نسخه 4 از این پلت فرم هستند، نمی بایست حل می شد؟

من در تایپیک گذشته گفتم که ماکروسافت حق امتیاز نرم افزار دلفی رو خرید
به نظر من ادقام این دو نرم افزار باعث پیشرفت میشه

چیزی که در دنیای گرافیک شد یعنی خرید نرم افزار 3MAX از طرف شرکت MAYA

[Mahdi.Kiani]

چیزی که مسلم هستش این ایراد در نسخه های بعدی ویژوآل حل خواهد شد و ویژوآل پیشرفت خواهد کرد

Programs written for .NET are easy to reverse engineer. This is not in any way a fault in the design of .NET; it is simply a reality of modern, intermediate-compiled languages

به نظر شما اگر این یک ایراد بود، از سال 2000 که برای اولین بار صحبت رسمی در مورد پلت فرم دات ن ت و زبان سی شارپ در کنفرانس PDC 2000 به میان آمد تا امروز که در حال ریلیز نسخه 4 از این پلت فرم هستند، نمی بایست حل می شد؟

یک سوال:
تا بحال چقدر در مورد این که اصلا چرا دات نت ظهور کرد تحقیق و فکر کردید؟منظورم شخص شما نیست. کلا دوستانی که ماهیت دات نت را با ایراداتی همچون مسائلی که در این تاپیک مطرح شده زیر سوال می برند.

[Mahdi.Kiani]

کدوم ماست بندی هست که بگه ماست من شوره؟؟؟
من شخصاً تا به حال سراغ نداشتم که ماکروسافت به عیبی از نرم افزارهای خودش اعتراف کرده باشه

قرار شد آف تاپیک نزنید.
مدیران هم می تونند آف بزنند؟
من تا بحال یاد ندارم که ایرادات و باگ های کوچکی در نرم افزارهای ماکروسافت بوده باشه، به آن ها اطلاع داده باشند و رفع نشده باشه.مگر اینکه ما اطلاعاتی در این مورد نداشته باشیم.مانند همین چند وقت پیش که یک دوستی از هیجان تا دم فوت رفته بود که باگی در excel پیدا کرده بود کلی هم ذوق کرده بود که اولین نفری است که این باگ را کشف کرده بود و ادعا می کرد که این باگ یک باگ حیاتی است و تمامی شرکت های استفاده کننده از excel منفجر خواهند شد!. در حالی که تنها یک باگ نمایشی بود و نه محاسباتی و جالب تر اینکه چند سال پیش گزارش شده بود و رفع شده بود!!!
حالا ....

من در تایپیک گذشته گفتم که ماکروسافت حق امتیاز نرم افزار دلفی رو خرید
به نظر من ادقام این دو نرم افزار باعث پیشرفت میشه

چیزی که در دنیای گرافیک شد یعنی خرید نرم افزار 3MAX از طرف شرکت MAYA

اینکه دات نت در حال پیشرفت هست شکی توش نیست ولی این ربطی به مطلب شما در مورد ایرادی که بیان کردین نداره...


**********
دوستان خواهشا آف نزنید. گناه من هم گردن شماهاستا.
موفق باشید

[keivan mousavi]

من تا بحال یاد ندارم که ایرادات و باگ های کوچکی در نرم افزارهای ماکروسافت بوده باشه، به آن ها اطلاع داده باشند و رفع نشده باشه.مگر اینکه ما اطلاعاتی در این مورد نداشته باشیم.مانند همین چند وقت پیش که یک دوستی از هیجان تا دم فوت رفته بود که باگی در excel پیدا کرده بود کلی هم ذوق کرده بود که اولین نفری است که این باگ را کشف کرده بود و ادعا می کرد که این باگ یک باگ حیاتی است و تمامی شرکت های استفاده کننده از excel منفجر خواهند شد!. در حالی که تنها یک باگ نمایشی بود و نه محاسباتی و جالب تر اینکه چند سال پیش گزارش شده بود و رفع شده بود!!!

در نسخه مرورگر وب ماکروسافت Internet Explore در نسخ 5 این نرم افزار حدود 26 نقطه نفوذ خطرناک پیدا کردن و تا به امروز که نسخه 7 این نرم افزار در بازار موجود هست این باگ برطرف نشده

یک سوال:
تا بحال چقدر در مورد این که اصلا چرا دات نت ظهور کرد تحقیق و فکر کردید؟منظورم شخص شما نیست. کلا دوستانی که ماهیت دات نت را با ایراداتی همچون مسائلی که در این تاپیک مطرح شده زیر سوال می برند

پیشرفت ابزارهای برنامه نویسی و دستگاههای الکترونیکی (مثل تلفن همراه و PAD ها) مشکلات و نیازمندیهای جدیدی را به وجود آورد جامعیت قطعات نرم افزاری از زبانهای مختلف ثابت کرد که این دشواری و مشکلات نصب متداول بودند زیرا نسخه های جدید قطعات مشترک با نرم افزارهای قدیمی ناسازگار بودند توسعه دهندگان پی بردند که به کاربردهای وبی نیاز دارند که بتوانند از طریق اینترنت دستیابی داشته باشند به دلیل شهرت دستگاههای الکترونیکی سیار توسعه دهندگان نرم افزار پی بردند که Client ها لازم نیست کامپیوترهای رومیزی باشند به این ترتیب به وجود نرم افزاری پی بردن ه توسط هرکس و هر گونه دستگاهی قابل دسترسی باشد برای برآورده کردن این نیازها در سال 2000 میکروسافت زبان برنامه نویسی C#‎ را اعلان کرد C#‎ برای سکوی NET. فراهم شد
سکوی NET. بسیاری از فن آوریهای پراکنده میکروسافت در کنار هم قرار داد برای مثال سرویس قطعات COM+ محیط کاری توسعه وب ASP تثبیت زبان XML و طراحی شیءگرا پشتیبانی از پروتکل های جدید وب سرویس مثل SOAP , WSDL , UDDI و تاکید بر اینترنت همگی در یک معماری گنجانده شده است سکوی NET. در اصل یک محیط کاری جدید است که یک واسطه برنامه نویسی کاربردی API جدید را برای سیستم عامل ویندوز فراهم میسازد

اینکه دات نت در حال پیشرفت هست شکی توش نیست ولی این ربطی به مطلب شما در مورد ایرادی که بیان کردین نداره...

این نظر شخصی من و نوع دیگاه من نسبت به این قضیه بود چیزی که قبلاً مشابه اش رو دیده بودم

[saeedr22]

بحث جالبیه لطفاً بهتر ادامش بدین و تخصصی تر بشه ما که داریم استفاده می کنیم. ممنونم

[system32]

دوستان سلام.

این مطالبی که شما بیان می کنید با اینکه بسیار جالب هستند ولی ربطی به موضوع تاپیک نداره. اگه مایلید به مدیر بخش گفته شود تا موضوع تاپیک را تغییر دهند تا در بخش مناسبی قرار داده شود. و گرنه، لطفا مطالبی مرتبط با بخش بیان کنید و بحث های دیگر را در تاپیک های جداگانه بحث نمایید.

با سپاس از شما.


-------------------------------------------
رمضان، موسم عبادت است و عبادت غذای روح.

[system32]

دوستان اینم یه نمونه سوال که می تونه راهنمای دوستان در زمینه بحث در این تاپیک باشه.

سوال: کسی راجع به X509Certificates که در فضای نام Security.Cryptography قرار داره می تونه یه سری اطلاعات در اختیار بقیه قرار بده. ممنون.