اطلاعیه

Collapse
No announcement yet.

امنیت و http

Collapse
X
 
  • Filter
  • زمان
  • Show
Clear All
new posts

  • امنیت Ùˆ http

    سلام

    مثلا همین فروم شبگرد را در نظر بگیرید . تا اونجایی که من فهمیدم از http استفاده میشه . پس در واقع اطلاعاتی که از کامپیوتر ما ( مثلا یوزر و پسورد ) که برای سرور شبگرد واسه احراز اصالت فرستاده میشه plain text هست ؟!!!!!!!!
    اگه این جوری باشه با این اوصاف اطلاعات ما توسط gateway اصلی یا isp ها به راحتی میشه اسنیف بشه ؟
    یعنی به صورت پیش فرض هیچ متد یا پروتکل امنیتی دیگری نیست ؟
    Last edited by M.Unknown; 12-15-2011, 07:19 AM.

  • #2
    شبگردو یاهو که پشمک نیست اطلاعاتشونو به صورت انکریپت نشده بفرستن
    کینو رو کامپیوتر خودت ران کن بعد ریکوئست هایی
    که خودت وقتی تو شبگرد می یایی رو نگاه کن اون از وضعیت پسوردش که خیلی زیبا هش شده
    حالا میگیم کرکش می کنیم اما
    یوزرتو که نمی نویسه ای دی یونیک یوزرت که یه عدد تو دیتابیسه ثبت میشه
    یعنی بیلاخ

    مگر این که اون ای اس پی کارای بد بد جیز کنه که اگر دوستان خواستن توضیح بدن

    دوستان هرجا اشتباه بود تصحیح کنن
    Last edited by captain 8l4ck; 12-10-2011, 11:58 AM.
    600d luc1< iM4n

    Comment


    • #3
      سلام

      به فرض اینکه رمزنگاری صورت میگیره . تا اونجایی که بنده می دونم نانسی برای چک کردن تازه بودن پیام وجود نداره . پس در بین راه میشه این اطلاعات رمزشده را ذخیره کرد و در صورت نیاز هکر خود این اطلاعات را بفرسته .

      نظر دوستان چیه ؟

      Comment


      • #4
        خوب این دیگه زن و مرد در وسط میشه که هکر دیگه اومده بین ارتباط تو و سرور

        دیگه اطلاعات شمارو با یه اسنیف ساده بدست نیاورده

        ولی حالا
        مثلا الان شما چه شکلی می خوای بفهمی 75745745477657656

        این کدوم یوزره (آی دی شرو وره) شما تا دیتابیسو نداشته باشی عملا داشتن این عدد بی فایده ست حالا بگزریم که این عدد که
        تو دیتابیسه خودش به صورت تخیلی و رندوم درست میشه که ترتیب خاصی نداره که بی خیال حدس زدن و........
        Last edited by captain 8l4ck; 12-10-2011, 12:51 PM.
        600d luc1< iM4n

        Comment


        • #5
          سلام

          من کاری به MITM Attack یا .... ندارم .

          می خوام مسٔله را بفهمم . کلا رویکرد HTTP بااطلاعات چیه ؟ تا اونجا که من می دونم در این پروتکل اصلا رمزنگاری و ... مطرح نیست و اطلاعات به صورت plain text فرستاده میشه . پس میمونه hash یا .... که در این موارد هم چون نانس وجود نداره پی میشه حمله تکرار انجام داد .
          در وافع فعلا زیاد برام مهم نیست با چه روشی میشه اطلاعات حساس را بدست( حالا چه با اسنبف - چه با MITM Attack یا .... ) . فعلا مطلب مهم اینه که آیا پروتکل HTTP فکری به حال این حرفا کرده یا نه ؟

          Comment


          • #6
            فکر نمی کنم.
            توی پروتکل http هیچ تدبیر امنیتی وجود نداره.
            دریافت می کنه و ارائه می کنه.
            این رو از اونجایی می گم که نیاز به طراحی ssl احساس شد و انجام شد و استفاده شد.
            به صورت آفلاین ( دانلود آفلاین ) به راحتی میشه صفحات یاهو میل دانلود کرد رو خوند...

            come to see phrack.org

            Comment

            Working...
            X