پیش از این در پست دیگری به دو سایت اشاره کردم که پسورد کاربرها رو به صورت “متن ساده” یا Plain Text ذخیره میکنند. نکته تاسف برانگیز این بود که این سایت ها متعلق به دو آموزشگاه معتبر برنامهنویسی در تهران بودند.
روز گذشته یه سوال به ذهنم اومد. اینکه این سایت ها که پسورد رو بدون رمزگذاری نگهداری می کنند آیا موقع ارسال به سرور هم رمزگذاری نمیکنند؟
با استفاده از افزونه Live HTTP Headers در فایرفاکس، مقادیر ارسالی این سایت ها رو در زمان لاگین کردن بررسی کردم. همونطور که در عکس های زیر میبینید متاسفانه هر دو سایت، اطلاعات کاربری من رو به صورت واضح و بدون کوچکترین رمزگذاری یا پیچیدگی منتقل میکنند.
مقادیر ارسالی سایت آموزشگاه دانشگاه شریف
مقادیر ارسالی سایت مجتمع فنی تهران
مشکل کجاست؟
اطلاعاتی که از براوزر ما به سرور سایت می ره تا بررسی و صحت و سقمش بررسی بشه از چند نقطه می گذره. مهمترین هاش برای مثال مودم وایرلس، ISP، مرکز سرویس دهنده به ISP و جاهای دیگه است تا برسه به سرور سایت و اون هم برسونه به سایت مربوطه.
توی هرکدوم از این نقاط میشه کلیه اطلاعات ارسالی و دریافتی رو بررسی کرد. اگر این اطلاعات رمزگذاری نباشند بدون کوچکترین زحمتی در اختیار افراد دیگه قرار میگیرند. فکر کنید یه همسایه فضول دارید که مودم وایرلس رو هک کرده، اون می تونه همه پسوردهای شما رو داشته باشه به شرطی که رمزگذاری نشده باشند.
اصلا چرا راه دور بریم، همین دعواهای یک ماه گذشته در مورد NSA رو که شنیدید. خب اون به خاطر اینکه وسعت خیلی زیادی داشت و وسیله یک کشور به اصطلاح قانونمند انجام می شد کلی سر و صدا کرد ولی کشورهای دیگه (هند برای مثال) در سطحی کوچک تر اینکار رو می کنند و اطلاعات کاربران کشور رو بررسی میکنند.
اینجا دوباره برمی گردیم به سوال اصلی. آیا گردانندگان این سایت ها برای امنیت اطلاعات کاربران ارزشی قایل هستند؟
بهروز رسانی:
نوشته بالا مربوط به ۶ مرداد بود. امروز ۱۱ مرداد ایمیلی دریافت کردم که نشون دهنده هک شدن سایت آموزشگاه دانشگاه شریف بود. به قول معروف هک شدن از رگ گردن به سایت شما نزدیکتره 🙂
ایمیل ارسالی از طرف هکر سایت آموزشگاه دانشگاه شریف
نکته جالب می دونید چیه؟ از متن ایمیل ارسالی اینطور برمیاد که هکر دبیرستانیه. حالا باید دید مدیر سایت چه تدبیری برای بالا بردن امنیت سایتش به کار می بره. از ایمیل های بعدی هکر مشخصه که ادمین فقط پسورد رو عوض کرده و هکر همچنان کنترل رو در دست داره. امیدوارم آسیب جدی نبینه این سایت.