نوشته شده توسط
amin1softco
یک نگاهی به صحبت های مدیران یاهو و قابلیت ویندوز 10 مایکروسافت بندازید
لطفا هر صحبتی دارید همینجا کامل و دقیق بیان کنید در خدمتتون هستم. دیگه وقت ندارم هرکی هرچی گفت خودم برم دنبالش سرچ کنم بخونم حدس بزنم پیدا کنم آیا فلان چیزی چه ربطی به حرف فلان کس داشته بنظرم یا نه و خلاصه معما حل کنم بعدش هم بفهمم که طرف در اشتباه بوده و برداشت اشتباه داشته (تازه اینم باز باید ذهن خوانی کنم ببینم طرف احتمالا منظورش چی بوده چه برداشتی داشته).
مطالعه کردم.
اینکه هم از کدش فهمیدم و هم بعدش صفحهء اصلی پروژش رو نگاه کردم خودش هم اشاره کرده که ضعف از طرف برنامه نویسی سمت سرور وایبر هست!
اینا سیستم محافظت دربرابر Brute-force موثری برای این سیستم Pin خودشون نذاشتن.
Four digit, no bruteforce protection, API-axss - A winning concept. Or well, they have "some kind" of bruteforce "protection". After something like ten tries they increment the PIN-code by 1.
I've tried to inform them about this. But they ignore my tweets and mails. They ignoring me results in me ignoring them.
خلاصش داره میگه که سیستم محافظت در برابر bruteforce اصولی ای برای این بخش نداشتن. میگه من باهاشون در این باره تماس گرفتم ولی اونا ایمیل های منو نادیده گرفتن، و نادیده گیری اونا باعث شد که منم اونا رو نادیده بگیرم (و این اکسپلویت رو بنویسم).
اینطور موارد خودش اهمیت رعایت اصول و استانداردهای امنیتی در برنامه ها رو نشون میده.
یه برنامه هم به صرف اینکه خیلی کاربر پیدا کرده و موفقیت تجاری بزرگی بوده دلیل نمیشه ضعف ها و حفره های جدی و ناشی گریی هایی در اون وجود نداشته باشه، بخصوص در بحث امنیت و رمزنگاری بارها اشاره کردم که دانش و بینش تخصصی خودش رو میخواد و اکثر برنامه نویسان در این زمینه ضعف دارن، حتی برنامه نویسانی که در زمینه های دیگه خیلی خبره باشن. چون بحث یادگیری امنیت و رمزنگاری مسیرش از بقیهء مباحث برنامه نویس جداست و سیستم خودش رو داره و خیلی از مسائلش رو نمیشه مثل موارد دیگر برنامه نویسی صرفا بصورت تجربی یاد گرفت، چون اصولا چیزهایی نیستن که مثل بقیهء کدنویسی در جریان کار مشخص بشن.
بعدشم وقتی داریم در مورد تابع هش کننده صحبت می کنیم انتظاری جز هش کردن نباید ازش داشته باشیم یکمی دست از توهم و خیال بردارید و در دنیای واقعی سیر کنید...
جان؟ متوجه نشدم. میشه دقیقتر توضیح بدی؟
هش یعنی هش. یک مفهوم کلیه. فقط به هش پسورد نمیگن هش!