میان امنیت تا ماه گردون، تفاوت از زمین تا آسمان است!
سیستم های مدیریت محتوا برای امنیت کاربران این کار رو می کنند و بلاگفا برای امنیت خودش! (شاید هم امنیت ملی!)
نمایش نسخه قابل چاپ
میان امنیت تا ماه گردون، تفاوت از زمین تا آسمان است!
سیستم های مدیریت محتوا برای امنیت کاربران این کار رو می کنند و بلاگفا برای امنیت خودش! (شاید هم امنیت ملی!)
سلام.یعنی منظورتون اینه که بعضی از سرویس های ارائه دهنده ی وبلاگ رمز کاربر را نگه می دارن تا اگه لازم شد خودشون به مدیریت اکانتش دسترسی داشته باشن؟ اگر نه پس ...؟
اونوقت بلاگفا خودش اعلام کرده که این طوریه؟ :)
همین بود سوالهام.دیگه ام سوال ندارم ;)
موفق باشید...
یــــــــــــــــــــــاع ـــــــــــــــــــــلی
نه. بلاگفا چیزی رو اعلام نکرده.
معمولا سرویس دهنده های داخلی و اون هم سایت حساسی مثل بلاگ فا قاعدتا از قوانین داخلی باید پیروی کنند و در صورتی که تخلفی صورت بگیره، با حکم قاضی بتونن اطلاعاتی رو در اختیار مقم قضایی قرار بدن. این که از جنبه غیر فنی
از جنبه فنی هم سوء استفاده هایی از این سرویس میشه که به هر دلیلی که هست، این رمز رو نگه داری می کنند
یک حسن هم اینکار داره که شما اگر رمزتون فراموش بشه، نیاز به reset کردن نیست. رمز قبلی رو به شما بر می گردونه.
بعد هم چون کاربران وبلاگ ها معمولا حرفه ای نیستند، و با سهل انگاری هایی ممکنه کنترل وبلاگ رو از دست بدن،
بلاگفا هم اعلام نکرده، چون چیزی که عیان هست نیازی به اعلام نداره.
شما پسورد وبلاگت رو forget pass کن . ببین اگر پسورد جدید اومد یعنی اینکه اون قبلی رو نمی دونه چی هست.
MD5 یک طرفه هست و فقط میشه باهاش هش کرد و رمزگشایی اون به طور قاطع، کاری غیر ممکن هست.
ولی اگر پسورد خودت اومد ، لابد رمز رو به همون صورت در دیتابیس ذخیره می کنن!
فرمایش شما مطین اما این جا یه دلیل نقض می آرم من
همه ی ما Vb رو بعنوان یه فروم قدرتمند قبول داریم خب؟
در همین فروم یه قابلیت هست که ادمین می تونه به اکانت کاربران Swich کنه!!!
یعد با اکانت اونا وارد شه پیغام خصوصی ببینه و همه کاری کنه
فکر نمی کنم اینطوری باشه که ادمین نتونه به پسورد کاربران دسترسی داشته باشه
چون الگوریتم کدگذاری هر چقدر هم پیچیده باشه باز هست دیگه بصورت کن تو سورس از رو اون می شه در آورد و یا اصلا مگه هنگام Login سیستم نمی آد پسورد رو از دیتا بیس Decode کنه و با اونی که کاربر نوشته مقایسه نکنه؟ پس کار غیر ممکنی نیست
[quote author=Mohsen6558 link=topic=15991.msg84727#msg84727 date=1220176073]
همه ی ما Vb رو بعنوان یه فروم قدرتمند قبول داریم خب؟
در همین فروم یه قابلیت هست که ادمین می تونه به اکانت کاربران Swich کنه!!!
یعد با اکانت اونا وارد شه پیغام خصوصی ببینه و همه کاری کنه
[/quote]
جدی؟؟
اینکه خیلی بده؟؟؟
از این لحاظ هیچ وقت وی بی نمی تونه مورد اعتماد کاربرا باشه و smf بهتره
خود smf هم در اين مورد شبيه vb هست
تست كنيد...
اما ببينيد درسته كه مدير مي تونه اطلاعات كاربر رو در سايت خودش ببينه، ولي قرار نيست كه اطلاعات ايميل، و ساير اكانت ها رو در سايت هاي ديگه هم ببينه
به دليل اينكه كاربران معمولا رمز مشتركي رو براي اكانت هاشون در نظر ميگيرند
درمورد md5 هم شما هرچي هم سورس رو بگرديد به جايي نمي رسيد!
تابع md5 يك تابع يك به يك نيست و الگوريتمش هم يك طرفه هست
بنابراين راه رمزگشايي قاطع نداره
به فرض كه الگوريتمش رو هم بدست آورديد، اما هر وقت تونستيد ابجد يك كلمه رو به كلمه برگردونيد اون موقع شايد بتونيد رمز رو به اولش برگردونيد
موقع ورود كاربر هم خيال نكنيد كد شده رمز دكود ميشه!
بلكه رمز وارد شده كد ميشه و برابريش با كد شده ديتابيس مقايسه مي شه
این کار باید از طریق دیتابیس صورت بگیره ... در صورتی که کاراکتر utf-8 باشهنقل قول:
خود smf هم در اين مورد شبيه vb هست
تست كنيد...
ولی دوست ما گفتند:
آیا در smf قابلیت switch هست؟؟نقل قول:
در همین فروم یه قابلیت هست که ادمین می تونه به اکانت کاربران Swich کنه!!!
یعد با اکانت اونا وارد شه پیغام خصوصی ببینه و همه کاری کنه
به همین راحتی میشه هر کاری با اکانت کاربرها کرد؟؟
بعید می دونم smf در این زمینه مثل وی بی باشه
به صورت مستقيم كه نه ولي نشد نداره
با شناسه مدير وارد سايت بشيد
روي اسم يك كاربر كليك كنيد
به هر حال مدير مي تونه با دسترسي به ديتابيس هر كاري كه بخاد رو انجام بده!
حتي اگر utf-8 هم نباشه
اما smf تا حدي كه معقول هست به مدير دسترسي داده و امنيت كاربران رو از جانب خود سيستم به بالاترين وجه در نظر گرفته