امنیت

آشفته بازار طراحی سایت – پست تکمیلی

پیش از این در پست دیگری به دو سایت اشاره کردم که پسورد کاربرها رو به صورت “متن ساده” یا Plain Text ذخیره می‌کنند. نکته تاسف برانگیز این بود که این سایت ها متعلق به دو آموزشگاه معتبر برنامه‌نویسی در تهران بودند.

روز گذشته یه سوال به ذهنم اومد. اینکه این سایت ها که پسورد رو بدون رمزگذاری نگهداری می کنند آیا موقع ارسال به سرور هم رمزگذاری نمی‌کنند؟

با استفاده از افزونه Live HTTP Headers در فایرفاکس، مقادیر ارسالی این سایت ها رو در زمان لاگین کردن بررسی کردم. همونطور که در عکس های زیر می‌بینید متاسفانه هر دو سایت، اطلاعات کاربری من رو به صورت واضح و بدون کوچکترین رمزگذاری یا پیچیدگی منتقل می‌کنند.

مقادیر ارسالی سایت آموزشگاه دانشگاه شریف

مقادیر ارسالی سایت آموزشگاه دانشگاه شریف

مقادیر ارسالی سایت مجتمع فنی تهران

مقادیر ارسالی سایت مجتمع فنی تهران

مشکل کجاست؟

اطلاعاتی که از براوزر ما به سرور سایت می ره تا بررسی و صحت و سقمش بررسی بشه از چند نقطه می گذره. مهمترین هاش برای مثال مودم وایرلس، ISP، مرکز سرویس دهنده به ISP و جاهای دیگه است تا برسه به سرور سایت و اون هم برسونه به سایت مربوطه.

swiss-chart-ENG

توی هرکدوم از این نقاط می‌شه کلیه اطلاعات ارسالی و دریافتی رو بررسی کرد. اگر این اطلاعات رمزگذاری نباشند بدون کوچکترین زحمتی در اختیار افراد دیگه قرار می‌گیرند. فکر کنید یه همسایه فضول دارید که مودم وایرلس رو هک کرده، اون می تونه همه پسوردهای شما رو داشته باشه به شرطی که رمزگذاری نشده باشند.

اصلا چرا راه دور بریم، همین دعواهای یک ماه گذشته در مورد NSA رو که شنیدید. خب اون به خاطر اینکه وسعت خیلی زیادی داشت و وسیله یک کشور به اصطلاح قانونمند انجام می شد کلی سر و صدا کرد ولی کشورهای دیگه (هند برای مثال) در سطحی کوچک تر اینکار رو می کنند و اطلاعات کاربران کشور رو بررسی می‌کنند.

اینجا دوباره برمی گردیم به سوال اصلی. آیا گردانندگان این سایت ها برای امنیت اطلاعات کاربران ارزشی قایل هستند؟

به‌روز رسانی:

نوشته بالا مربوط به ۶ مرداد بود. امروز ۱۱ مرداد ایمیلی دریافت کردم که نشون دهنده هک شدن سایت آموزشگاه دانشگاه شریف بود. به قول معروف هک شدن از رگ گردن به سایت شما نزدیک‌تره 🙂

ایمیل ارسالی از طرف هکر سایت آموزشگاه دانشگاه شریف

ایمیل ارسالی از طرف هکر سایت آموزشگاه دانشگاه شریف

نکته جالب می دونید چیه؟ از متن ایمیل ارسالی اینطور برمیاد که هکر دبیرستانیه. حالا باید دید مدیر سایت چه تدبیری برای بالا بردن امنیت سایتش به کار می بره. از ایمیل های بعدی هکر مشخصه که ادمین فقط پسورد رو عوض کرده و هکر همچنان کنترل رو در دست داره. امیدوارم آسیب جدی نبینه این سایت.

Standard
امنیت

آشفته بازار طراحی سایت

چند روز گذشته به دلایلی قصد حضور در یک کلاس برنامه نویسی داشتم. و با کمی جستجو به دو مجموعه معتبر رسیدم: مجتمع فنی تهران و آموزشگاه دانشگاه شریف.

خیلی کشش ندم. توی سایتشون ثابت نام کردم و امیل های زیر بهم رسید و بهت زده شدم.

ایمیل ثابت نام آموزشگاه دانشگاه شریف

ایمیل ثابت نام آموزشگاه دانشگاه شریف

ایمیل ثابت نام آموزشگاه مجتمع فنی تهران

ایمیل ثابت نام آموزشگاه مجتمع فنی تهران

میبینید؟ در هر دو ایمیل پسورد من بصورت “متن ساده” نمایش داده شده.

در قسمت “فراموش کردن رمز عبور” در سایت لایتک این جمله آمده: “کلمه عبور شما به پست الکترونیکی ثبت شده شما در هنگام ثبت نام، ارسال خواهد شد.”

و در سایت مجتمع فنی: “در صورتی که کلمه عبور خود را فراموش کرده اید لطفا آدرس ایمیل خود را برای دریافت مجدد کلمه عبور وارد کنید.”

اینها همگی دلالت دارند بر اینکه پسورد های کاربران در دیتابیس سایت به صورت متن ساده نگهداری میشه. کوچکترین ضعف امنیتی که منجر به دسترسی یک هکر به دیتابیس بشه منجر میشه به یک فاجعه مخصوصأ برای کاربر هایی که در جاهای مختلف، از جمله ایمیلی که باهاش توی سایت ثابت نام کردند، از یک پسورد استفاده میکنند.

دسترسی به ایمیل اصلی یک نفر میتونه منجر بشه به هک شدن زنجیره ای همه اکانت های اون شخص.

متاسفانه هنوز هستند “طراح های سایت” خود خوانده ای که الفبای امنیت رو بلد نیستند و با توجه به اینکه استفاده از الگوریتم های رمزنگاری یک طرفه برای نگهداری پسورد ها بسیار ساده است، به نتایج زیر می شه رسید:

  • کاری رو که ادعاش رو دارند بلد نیستند
  • امنیت کاربرها پشیزی براشون ارزش نداره

راه حل:

همونطور که همیشه گفته شده شما باید با فرض امن نبودن سایت ها ثابت نام کنید. پس:

  • از پسورد های یکه و غیر مشابه استفاده کنید.
  • ترجیها دو ایمیل داشته باشید که یکیش برای کارهای روزمره و دیگری برای کارهای خصوصی یا مهم باشه
  • اطلاعات مهم شخصی رو در اختیار سایت هایی که اهمیتی به امنیت اطلاعات شما نمیدند نذارید

اگر ایده ای برای تکمیل این لیست دارید، کامنت بذارید تا همگی استفاده کنیم.

Standard