اضافه کردن گروهی اعضا به فروم

**سعید** · 08-30-2008 10:24 PM

میان امنیت تا ماه گردون، تفاوت از زمین تا آسمان است!

سیستم های مدیریت محتوا برای امنیت کاربران این کار رو می کنند و بلاگفا برای امنیت خودش! (شاید هم امنیت ملی!)

**تبلیغات** · 08-30-2008 10:24 PM

**atoofy** · 08-30-2008 10:34 PM

سلام.یعنی منظورتون اینه که بعضی از سرویس های ارائه دهنده ی وبلاگ رمز کاربر را نگه می دارن تا اگه لازم شد خودشون به مدیریت اکانتش دسترسی داشته باشن؟ اگر نه پس ...؟
اونوقت بلاگفا خودش اعلام کرده که این طوریه؟

همین بود سوالهام.دیگه ام سوال ندارم

موفق باشید...
یــــــــــــــــــــــاع ـــــــــــــــــــــلی

**سعید** · 08-30-2008 10:46 PM

نه. بلاگفا چیزی رو اعلام نکرده.
معمولا سرویس دهنده های داخلی و اون هم سایت حساسی مثل بلاگ فا قاعدتا از قوانین داخلی باید پیروی کنند و در صورتی که تخلفی صورت بگیره، با حکم قاضی بتونن اطلاعاتی رو در اختیار مقم قضایی قرار بدن. این که از جنبه غیر فنی

از جنبه فنی هم سوء استفاده هایی از این سرویس میشه که به هر دلیلی که هست، این رمز رو نگه داری می کنند

یک حسن هم اینکار داره که شما اگر رمزتون فراموش بشه، نیاز به reset کردن نیست. رمز قبلی رو به شما بر می گردونه.

بعد هم چون کاربران وبلاگ ها معمولا حرفه ای نیستند، و با سهل انگاری هایی ممکنه کنترل وبلاگ رو از دست بدن،

بلاگفا هم اعلام نکرده، چون چیزی که عیان هست نیازی به اعلام نداره.
شما پسورد وبلاگت رو forget pass کن . ببین اگر پسورد جدید اومد یعنی اینکه اون قبلی رو نمی دونه چی هست.
MD5 یک طرفه هست و فقط میشه باهاش هش کرد و رمزگشایی اون به طور قاطع، کاری غیر ممکن هست.
ولی اگر پسورد خودت اومد ، لابد رمز رو به همون صورت در دیتابیس ذخیره می کنن!

**Mohsen6558** · 08-31-2008 09:47 AM

فرمایش شما مطین اما این جا یه دلیل نقض می آرم من
همه ی ما Vb رو بعنوان یه فروم قدرتمند قبول داریم خب؟
در همین فروم یه قابلیت هست که ادمین می تونه به اکانت کاربران Swich کنه!!!
یعد با اکانت اونا وارد شه پیغام خصوصی ببینه و همه کاری کنه
فکر نمی کنم اینطوری باشه که ادمین نتونه به پسورد کاربران دسترسی داشته باشه
چون الگوریتم کدگذاری هر چقدر هم پیچیده باشه باز هست دیگه بصورت کن تو سورس از رو اون می شه در آورد و یا اصلا مگه هنگام Login سیستم نمی آد پسورد رو از دیتا بیس Decode کنه و با اونی که کاربر نوشته مقایسه نکنه؟ پس کار غیر ممکنی نیست

**javid2005** · 08-31-2008 12:09 PM

[quote author=Mohsen6558 link=topic=15991.msg84727#msg84727 date=1220176073]
همه ی ما Vb رو بعنوان یه فروم قدرتمند قبول داریم خب؟
در همین فروم یه قابلیت هست که ادمین می تونه به اکانت کاربران Swich کنه!!!
یعد با اکانت اونا وارد شه پیغام خصوصی ببینه و همه کاری کنه
[/quote]

جدی؟؟
اینکه خیلی بده؟؟؟

از این لحاظ هیچ وقت وی بی نمی تونه مورد اعتماد کاربرا باشه و smf بهتره

**سعید** · 08-31-2008 10:01 PM

خود smf‏ هم در اين مورد شبيه vb‏ هست
تست كنيد...

اما ببينيد درسته كه مدير مي تونه اطلاعات كاربر رو در سايت خودش ببينه، ولي قرار نيست كه اطلاعات ايميل، و ساير اكانت ها رو در سايت هاي ديگه هم ببينه
به دليل اينكه كاربران معمولا رمز مشتركي رو براي اكانت هاشون در نظر ميگيرند

درمورد md5 هم شما هرچي هم سورس رو بگرديد به جايي نمي رسيد!
تابع‎ md5‎ ‎يك تابع يك به يك نيست و الگوريتمش هم يك طرفه هست
بنابراين راه رمزگشايي قاطع نداره
به فرض كه الگوريتمش رو هم بدست آورديد، اما هر وقت تونستيد ابجد يك كلمه رو به كلمه برگردونيد اون موقع شايد بتونيد رمز رو به اولش برگردونيد

موقع ورود كاربر هم خيال نكنيد كد شده رمز دكود ميشه!
بلكه رمز وارد شده كد ميشه و برابريش با كد شده ديتابيس مقايسه مي شه

**javid2005** · 09-01-2008 09:57 AM

خود smf‏ هم در اين مورد شبيه vb‏ هست
تست كنيد...

این کار باید از طریق دیتابیس صورت بگیره ... در صورتی که کاراکتر utf-8 باشه

ولی دوست ما گفتند:

در همین فروم یه قابلیت هست که ادمین می تونه به اکانت کاربران Swich کنه!!!
یعد با اکانت اونا وارد شه پیغام خصوصی ببینه و همه کاری کنه

آیا در smf قابلیت switch هست؟؟
به همین راحتی میشه هر کاری با اکانت کاربرها کرد؟؟

بعید می دونم smf در این زمینه مثل وی بی باشه

**سعید** · 09-01-2008 10:44 AM

به صورت مستقيم كه نه ولي نشد نداره

با شناسه مدير وارد سايت بشيد
روي اسم يك كاربر كليك كنيد

به هر حال مدير مي تونه با دسترسي به ديتابيس هر كاري كه بخاد رو انجام بده!
حتي اگر utf-8 هم نباشه
اما smf‏ تا حدي كه معقول هست به مدير دسترسي داده و امنيت كاربران رو از جانب خود سيستم به بالاترين وجه در نظر گرفته