انجمنهای فارسی اوبونتو
کمک و پشتیبانی => انجمن عمومی => نویسنده: joker_x در 27 تیر 1400، 09:35 قظ
-
همونطور که می دونید آی اس پی ها بطور گسترده از کش سرور استفاده می کنن برای کاهش مصرف ترافیک (مخصوصا بین الملل)
و یادمه یه بار که می خواستم یه نرم افزاری رو دانلود کنم دیدم که وقتی با چیز پی ان میرم یه نسخه جدیدتر ازش موجوده در حالیکه بدون چیز پی ان نسخه قدیمی تر وجود داشت . خب حالا این سوال پیش میاد که آیا آی اس پی نمی تونه اون نسخه قدیمی رو دستکاری کنه و یه امضای دیجیتال جدید هم براش بزاره ؟ مسلما می تونه ! پس بهترین راه برای دانلود نرم افزار همون استفاده از چیز پی ان یا تور هست . حالا می خوام نظر شما دوستان رو هم درباره این موضوع بدونم و اینکه آیا تجربه ای در این زمینه داشتین یا نه؟
-
اگه از https استفاده کنید، نباید چنین مشکلی پیش بیاد. گرچه همیشه استفاده از تور پیشنهاد میشه.
-
دستکاری که میتونه کنه ولی امضاش رو به این راحتی نمیتونه جعل کنه.
https هم که گفت دیگه... برای تحویل نسخه دستکاری شده هم لازم نیست اصلا کش استفاده کنه.
-
دستکاری که میتونه کنه ولی امضاش رو به این راحتی نمیتونه جعل کنه.
https هم که گفت دیگه... برای تحویل نسخه دستکاری شده هم لازم نیست اصلا کش استفاده کنه.
لازم نیست امضاش رو جعل کنه کافیه امضای فایل دستکاری شده رو به همراه فایل تغییر یافته قرار بده بجای قبلی شما از کجا می فهمی که امضا دستکاری شده ؟ (فقط در صورتی می فهمی که با چیز شکن از سایت مورد نظر بازدید کنی و همون فایل رو چک کنی)
"برای تحویل نسخه دستکاری شده هم لازم نیست اصلا کش استفاده کنه." میشه لطف کنین اینو بیشتر توضیح بدین
-
لازم نیست امضاش رو جعل کنه کافیه امضای فایل دستکاری شده رو به همراه فایل تغییر یافته قرار بده بجای قبلی شما از کجا می فهمی که امضا دستکاری شده ؟ (فقط در صورتی می فهمی که با چیز شکن از سایت مورد نظر بازدید کنی و همون فایل رو چک کنی)
من تصور کردم شما درباره برنامههای موجود در مخازن توزیعهای مختلف صحبت میکنید. در این حالت اگر نسخه اولیه سیستمعامل شما دستکاری نشده باشه و در زنجیره امضا تغییری اعمال بشه سیستمعامل فایل رو reject و ازش استفاده نمیکنه.
در حالتی که مدنظر خودتون هست. (برنامه و امضا کنار هم، مثلا program.tar.gz و program.asc). فرض بر این هست که یا شما امضا رو از یک کانال امن به دست آوردید یا از قبل کلید عمومی کسی که فایل رو امضا کرده رو از یک کانال امن دریافت کردید.
حتما این رو قبلا دیدید:
WARNING: This key is not certified with a trusted signature!
که در واقع میگه هر کسی میتونه این امضا رو ایجاد کرده باشه. ولی اگر کلید رو در web of trust شما باشه:
gpg: Good signature from "Developers of the program"
به طور کلی شما باید کلید رو از یک کانال امن دریافت کنید یا در زنجیره اطمینان شما موجود باشه تا بهش اطمینان کنید.
پاسخ سوال دوم هم اینکه روشهای بسیاری برای تحویل یک فایل جایگزین به یک فرد در زمانی که از یک پروتکل ناامن استفاده میکنه هست.
-
سلام درود :) سایتش یکم بررسی کن شاید برای ایرانی ها تفاوت میذاره خیلی سایت ها دیدم با ای پی ایران به دلیل تحریم یا دلایل دیگه طوری دیگه نمایش داده میشه یا یه چیزایی نداره و یا کلا فرق داره دیگه درمورد اینکه مشکل از ایران باشه بعید میدونم اینکارو کرده باشن یکم تخیلی میشه.. (ولی یکم ترس تو وجودم انداختی) ;D
-
برای من این سوال پیش اومده که آی اس پی میتونه فعالیت های تو در اینترنت رو مشاهده کنه و زیر نظر بگیره ؟
حتی اگه از تور و وی * ان استفاده کنی ؟
چون تو اول به آی اس پی وصل میشی بعد به تور .
-
اگر از ابزارهایی که نام بردید استفاده نکنید بله. اگر استفاده کنید اطلاع داره که برای مخفی کردن ترافیک خودتون از اون سرویس در حال استفاده هستید.
-
باسلام
اگر از ابزارهایی که نام بردید استفاده نکنید بله
اگر امکانش هست یکم بیشتر توضیح بدید
من فقط از مرورگر تور استفاده میکنم :(
لازم نیست امضاش رو جعل کنه کافیه امضای فایل دستکاری شده رو به همراه فایل تغییر یافته قرار بده بجای قبلی شما از کجا می فهمی که امضا دستکاری شده ؟
این موضوع مربوط به برنامه های گنو/لینوکس هست یا همه برنامه ها مثلا برنامه های موبایل و...؟ ???
-
لازم نیست امضاش رو جعل کنه کافیه امضای فایل دستکاری شده رو به همراه فایل تغییر یافته قرار بده بجای قبلی شما از کجا می فهمی که امضا دستکاری شده ؟ (فقط در صورتی می فهمی که با چیز شکن از سایت مورد نظر بازدید کنی و همون فایل رو چک کنی)
من تصور کردم شما درباره برنامههای موجود در مخازن توزیعهای مختلف صحبت میکنید. در این حالت اگر نسخه اولیه سیستمعامل شما دستکاری نشده باشه و در زنجیره امضا تغییری اعمال بشه سیستمعامل فایل رو reject و ازش استفاده نمیکنه.
در حالتی که مدنظر خودتون هست. (برنامه و امضا کنار هم، مثلا program.tar.gz و program.asc). فرض بر این هست که یا شما امضا رو از یک کانال امن به دست آوردید یا از قبل کلید عمومی کسی که فایل رو امضا کرده رو از یک کانال امن دریافت کردید.
حتما این رو قبلا دیدید:
WARNING: This key is not certified with a trusted signature!
که در واقع میگه هر کسی میتونه این امضا رو ایجاد کرده باشه. ولی اگر کلید رو در web of trust شما باشه:
gpg: Good signature from "Developers of the program"
به طور کلی شما باید کلید رو از یک کانال امن دریافت کنید یا در زنجیره اطمینان شما موجود باشه تا بهش اطمینان کنید.
پاسخ سوال دوم هم اینکه روشهای بسیاری برای تحویل یک فایل جایگزین به یک فرد در زمانی که از یک پروتکل ناامن استفاده میکنه هست.
ممنون از پاسخ دقیق تون
منظور من یک نرم افزار خارج از مخازن بود در این مورد خاص نرم افزار balena etcher بود که این مشکل رو داشت البته من چک نکردم که نسخه قدیمی این نرم افزار که بدون چیز شکن قابل دسترس بود و به اصطلاح روی کش سرور سرویس دهنده اینترنت من بود آیا دستکاری شده یا نه فقط یه احتمال دادم که حالا که سایتها رو کش می کنن اون هم به این روش با تاخیر زیاد پس می تونه احتمال دستکاری فایلها هم وجود داشته باشه (یکم تئوری توطئه توش داره :) )
-
باسلام
اگر از ابزارهایی که نام بردید استفاده نکنید بله
اگر امکانش هست یکم بیشتر توضیح بدید
من فقط از مرورگر تور استفاده میکنم :(
اگه از تور یا vpn استفاده نکنید، سرویس دهنده اینترنت، میتونه ببینه که شما سراغ چه وبسایتهایی رفتید یا برنامههای شما به کجا وصل شدن. اگه وبسایتی که بازدید میکنید، از ssl/tls یا به صورت کلیتر رمزنگاری، استفاده کرده باشه، سرویس دهنده اینترنت نمیتونه بفهمه که شما توی اون سایت چیکار کردید یا از کدوم بخش سایت استفاده کردید یا چه اطلاعاتی بین شما و سایت منتقل شده. فقط میفهمه که از چه وبسایتی بازدید کزدید. بقیه برنامهها هم اگه از ssl/tls یا رمزنگاری استفاده کنند، مشخص نمیشه که چی بین برنامه و سرور فرستاده شده.
البته اگه از ssl/tls برای رمزنگاری استفاده نشده، باید دید که دقیقا چیکار کردند و چیز مطمئنی (مثل gpg) هست یا نه.
لازم نیست امضاش رو جعل کنه کافیه امضای فایل دستکاری شده رو به همراه فایل تغییر یافته قرار بده بجای قبلی شما از کجا می فهمی که امضا دستکاری شده ؟
این موضوع مربوط به برنامه های گنو/لینوکس هست یا همه برنامه ها مثلا برنامه های موبایل و...؟ ???
توی گنو/لینوکس، معمولا برنامهها از مخازن نصب میشن. برنامههایی که از مخازن نصب میشن، به طور پیشفرض امضای دیجیتال اونها چک میشه. مگه اینکه خودتون به مدیر بسته بگید اینکار رو انجام نده. (که باعث میشه یه راه برای نفوذ باز بشه)
توی گنو/لینوکس امضای دیجیتال معمولا با استفاده از gpg انجام میشه. ولی معمولا اطلاعات از مخازن بدون رمزنگاری دریافت میشه. اطلاعات امضای دیجیتال داره در نتیجه اگه وسط راه تغییر کنه، متوجه میشیم. ولی اطلاعات رمزنگاری نشده و بقیه میتونند ببینند که ما چی دریافت کردیم.
اگه از مخازنی استفاده کنید که از ssl/tls پشتیبانی میکنه، دیگه این مشکل پیش نمیاد. فکر کنم مخازن اصلی اوبونتو از https پشتیبانی میکنند (http + ssl/tls) ولی به طور پیشفرض از ssl/tls استفاده نمیشه. درباره این مطمئن نیستم.
برنامههای موبایل رو باید از جای مطمئن دانلود کنید مثل خود گوگلپلی یا f-droid یا مثلا بزارید خود برنامه خودش رو آپدیت کنه. ممکنه برنامه از رمزنگاری و امضای دیجیتال استفاده کنه تا از صحت اطلاعات دریافت شده مطمئن بشه ممکن هم هست چنین کاری نکنه.
چون سازنده برنامهها معمولا برای برنامهها موبایل امضای دیجیتال فراهم نمیکنند، بهترین راه اینه که از یه جای مطمئن برنامه رو دانلود کنید. برای ویندوز هم همینطور برنامه رو از جای مطمئن باید گرفت. چون اگه برنامه رو تغییر بدن و امضای دیجیتال از خود سازنده برنامه یا جای قابل اعتماد وجود نداشته باشه، نمیشه مطمئن شد که برنامه همون هست. برای لینوکس هم حواستون باشه که اگه برنامهای از خارج مخازن نصب میشه، مطمئن باشید که برنامه درست هست. چه کد برنامه باشه که شما کامپایل میکنید چه خود فایل اجرایی چه یه اسکریپت. باید مطمئن بشید که این همون هست که ادعا میکنه. با استفاده از امضای دیجیتال یا دریافت اطلاعات از خود سازنده با ssl/tls.
کلا باید برنامهها رو از جای مطمئن دریافت کرد. توی گنو/لینوکس هم همینطوره. تقرییا همهی برنامهها از مخازن نصب میشن که یهجای مورد اعتماد هست و همهی اطلاعات هم امضای دیحیتال داره. در نتیجه حتی اگه از ssl/tls هم استفاده نشه، باز هم میشه از صحت اطلاعات مطمئن شد.
اینم بگه که gpg در اصل همون نسخه آزاد pgp هست. اگه جایی دیدید بدونید.
البته چیزهای دیگه هم هستند که دیگه جا نمیشه اینجا گفت. بهتره خودتون درباره امنیت اطلاعات جستوجو کنید.
میتونیداین دوره (https://maktabkhooneh.org/course/%D8%A2%D9%85%D9%88%D8%B2%D8%B4-%D8%B1%D8%A7%DB%8C%DA%AF%D8%A7%D9%86-%D8%A7%D9%85%D9%86%DB%8C%D8%AA-%D8%B4%D8%A8%DA%A9%D9%87-mk689/) درباره امنیت اطلاعات رو ببینید. رایگان هم هست. فقط لازمه که توی وبسایت عضو بشید. جلسه پنجم بیشتر با چیزهایی کهگفتیم مرتبط هست. جلسه دهم هم درباره ssl/tls توضیح میده. بقیه جلسات هم اطلاعت زیاد و مفیدی دارند.
-
دوستان فرمودند اگر سایتی https باشه isp نمی فهمه که به کدامیک از بخشهای سایت مراجعه کردیم، من فکر میکنم این برداشت اشتباست. فرض کنید یوتیوب در ایران فیلتر نیست و از پروتوکل https هم پشتیبانی میکنه، اگر وارد سایت یوتیوب بشم توی آدرس بار مرورگرم نوشته youtube.com ، خب تا اینجا آی اس پی فهمید که به یوتیوب رفتم، اگه به قسمت about سایت مراجعه کنم، آدرسش در داخل آدرس بار میشه: youtube.com/about ، پس باز هم آی اس پی فهمید که من به کجای سایت مراجعه کردم. همینطور در مورد ویدئوهایی که داخل اون سایت باز میکنم هر کدام آدرس منحصر به فرد خودشون رو دارن که در آدرس بارِ مرورگر هم نمایش داده میشه، پس آی اس پی میفهمه که من به چه لینک هایی مراجعه کردم. اون چیزی که آی اس پی نمیفهمه رمز عبور و اطلاعات فرم هستش، نه بخشهای مختلف یک سایت. اگه اشتباه میکنم دوستان راهنمایی کنند.
یکی دیگر از دوستان فرمودند اگر سایتی https باشه، فایل هایی هم که از اون سایت دانلود میکنیم اصالت داره و مثلاً آی اس پی نمیتونه یک فایل تقلبی رو با همون اسم به جای اون فایل قرار بده. من فکر میکنم این برداشت هم اشتباست، تا جایی که اطلاع دارم اولاً پروتکل https فقط اصالت صفحه وب رو تضمین میکنه نه فایلهای دانلودی رو! خود صفحه رو هم به این دلیل که حجمش کم هست و مرورگر میتونه همون لحظه مقداری از صفحه رو لود کنه و داخلش رو باز کنه و استوار نامه رو چک بکنه میتونه تضمین کنه، ولی فایلهای دانلودی رو نمیتونه قبل از دریافتِ کامل، باز کنه و داخلشون رو چک بکنه. فرضاً که دریافت هم کرد، چنین عملیاتی به صورت پیشفرض براش تعریف نشده، مگر اینکه خودتون هش یا متا دیتای اون فایل رو از یک مسیر مطمئن دریافت کرده باشید و اون دیتا رو به مرورگر یا دانلود منیجر بدید و ازش بخواهید بعد از اتمام دانلود اصالت فایل رو بررسی کنه, که این عملیات هم ربطی به عملیات اول (امنیت پروتوکل https) نداره و یک عملیات جداگانه محسوب میشه که خود کاربر انجامش داده. اگر اشتباه میکنم لطفاً من رو راهنمایی کنید.
-
برنامههای موبایل رو باید از جای مطمئن دانلود کنید مثل خود گوگلپلی یا f-droid یا مثلا بزارید خود برنامه خودش رو آپدیت کنه. ممکنه برنامه از رمزنگاری و امضای دیجیتال استفاده کنه تا از صحت اطلاعات دریافت شده مطمئن بشه ممکن هم هست چنین کاری نکنه.
چون سازنده برنامهها معمولا برای برنامهها موبایل امضای دیجیتال فراهم نمیکنند، بهترین راه اینه که از یه جای مطمئن برنامه رو دانلود کنید.
البته گوگلپلی اصلاً جای مطمينی نیست. تنها جای مطمين،مخازن رسمی افدروید هستن که امضا هم دارن
-
@Iranihamed
در هر دو مورد اشتباه میکنید. درباره HTTPS مطالعه کنید.
-
دوستان فرمودند اگر سایتی https باشه isp نمی فهمه که به کدامیک از بخشهای سایت مراجعه کردیم، من فکر میکنم این برداشت اشتباست.
دارید اشتباه میکنید. اون قسمت از url که بعد از / قرار میگیره، به سرور میگه که چه صفحه یا فایل یا دایرکتوری رو نشون بده.
سرویس دهنده اینترنت لازم نیست این رو بدونه. فقط سرور سایت این رو لازم داره. پس توی درخواست https این قسمت رمز میشه.
یکی دیگر از دوستان فرمودند اگر سایتی https باشه، فایل هایی هم که از اون سایت دانلود میکنیم اصالت داره و مثلاً آی اس پی نمیتونه یک فایل تقلبی رو با همون اسم به جای اون فایل قرار بده. من فکر میکنم این برداشت هم اشتباست.
باز هم دارید اشتباه میکنید. اولا که http و https فقط برای متن و وب نیست. میشه از طریق اون اطلاعات دیگه رو هم انتقال داد.
توی https از hmac استفاده میشه. هر بستهای که قراره ارسال بشه، یه پیام احراز هویت هم همراهش هست. تا از صحت اطلاعات مطمئن شد.
اول یه کلید که موقع وصل شدن ساخته شده، با چیزی به اسم ipad عملیات xor انجام میشه. یهبار هم همون کلید با چیزی به اسم opad عملیات xor انجام میشه. نتیجه دوتا چیز میشه به اسم i key pad و o key pad.
i key pad گذاشته میشه سر اون بسته، یهبار از چیزی که بدست اومده هش گرفته، بعد o key pad گذاشته میشه سر اون هش درست شده و دوباره هش گرفته میشه. این دوبار هش گرفتن برای این هست که نشه حمله افزایش طول انجام داد.
بعد این هش دومی که بدست اومده، به همراه بسته فرستاده میشه. وقتی مرورگر بسته رو دریافت میکنه، همین کار رو انجام میده. اگه هش بدست اومده با چیزی که از سرور دریافت شده یکی باشه، میشه مطمئن شد که اطلاعات رو کسی فرستاده که کلید رو داشته و فقط سرور سایت اون کلید رو داره پس مطمئن میشیم که کسی اطلاعات رو وسط راه تغییر نداده.
برای هر بسته که ارسال میشه، این کار انجام میگیره. اینجوری میشه فهمید که اطلاعات از سرور تا شما تغییر نکرده.
البته این تضمین نمیکنه که اطلاعاتی که خود سرور فرستاده، بدونه مشکل هست. برای مثال ممکنه شما یه برنامه رو از جای نامطمئنی دانلود کنید که از https هم استفاده میکنه. ولی اونجا، داخل برنامه فایلهای مخرب قرار داده. https فقط این رو تضمین میکنه که کسی نمیفهمه شما چی دریافت کردید و چیزی که دریافت کردید، همون هست که از طرف فرستنده ارسال شده.
یه لینک توی جواب بالاتر فرستادم. اونجا همهی اینها و چیزهای بیشتری رو هم توضیح داده.
-
باز هم دارید اشتباه میکنید. اولا که http و https فقط برای متن و وب نیست. میشه از طریق اون اطلاعات دیگه رو هم انتقال داد.
فرض کنید یه وبسایت دارم با آدرس https://example.com و داخلش یک فایل رو قرار دادم با آدرس
http://sample.com/image.iso
دقت کنید لینکی که داخل اون سایت هست با http شروع شده و آدرسش هم متفاوت از خود سایته. در اینجا آی اس پی نمی تونه محتوای سایت رو عوض کنه ولی میتونه توی کش سرورش به جای اون لینک، یک فایل جعلی قرار بده چون وقتی که من روی لینک کلیک میکنم در واقع مرورگر به یک آدرس جدید مراجعه میکنه خصوصاً اینکه اون لینک آدرسش زیر مجموعه سایتی که توش هستم نیست. پس آی اس پی اگر بخواد به راحتی میتونه توی کش سروری که دست خودش هست یک لینک مشابه همون لینک ایجاد بکنه و کلاینت یا همان مشترک یا دریافت کننده فایل رو فریب بده. امیداوارم متوجه منظورم شده باشید.
نکته دیگر اینه که فرض کنید اون فایل iso که بهش اشاره کردم هشت گیگا بایت حجم داشته باشه، اگر مرورگر بعد از اتمام دانلود, اصالت این فایل حجیم رو بصورت اوتوماتیک چک بکنه بایستی حداقل چندین ثانیه چراغ هارد دیسک فعالیت شدید نشون بده، در حالیکه من بارها فایل های حجیم رو از سایتهای ssl دریافت کردم ولی بعد از اتمام دانلود هیچ اکتیویتی ای در سیستم و چراغ هارد مشاهده نکردم!
-
اولی رو درست میگید. سایت دومی از https استفاده نمیکنه. در نتیجه میشه کارهایی که گفتید رو انجام داد. چیزهایی که من گفتم مال وقتی هست که از https استفاده شده.
درباره دومی دارید اشتباه میگید. وقتی یه فایل دانلود میشه، اینجوری نیست که کل فایل دانلود بشه و بعد صحت اون بررسی بشه.
اینجوریه که هر بسته که دریافت میکنید، به همراهش یه پیام (هش) هم هست که با اون میشه بررسی کرد فایل وسط راه تغییر کرده یا نه. یعنی هر بسته که دریافت میشه، صحت اون هم بررسی میشه. وقتی همه بستهها درست باشند پس کل اطلاعات هم درست از سرور دریافت شده. اینجوری میشه مطمئن شد که اطلاعات از سرور تا شما تغییر نکرده.
بالاتر گفتم که چجوری اون پیام (هش) ساخته میشه.
-
باسلام
اگه از تور یا vpn استفاده نکنید،
من از مرورگر تور استفاده میکنم.(tor-browser)بعداز اجراع تا تور متصل نشه مرورگر بالا نمیاد.
پرسش اینجاست که مثل تور یا vpn داره عمل میکنه؟
توی گنو/لینوکس، معمولا برنامهها از مخازن نصب میشن. برنامههایی که از مخازن نصب میشن، به طور پیشفرض امضای دیجیتال اونها چک میشه. مگه اینکه خودتون به مدیر بسته بگید اینکار رو انجام نده. (که باعث میشه یه راه برای نفوذ باز بشه)
من غلط میکنم ;D
برنامه هایی که به صورت قابل (portable)هست و از سایت اصلی دانلود میشه چطور؟
مثل همین tor-browser که خوب مدام هم بروز رسانی میشه
یا برنامه هایی که از github نصب میشه؟
یه برنامه دارم به اسم OpenBoardViewکه از github نصب کردم وبه طور خودکاربروز رسانی نمیشه.
خیلی جاها خوندم که به vpn نمیشه اعتماد کرد :(
بعضی از دوستان میگن بهتره از vpn و تور با هم استفاده بشه ???
اگه اشتباه نکنم تو یکی از ویدوهای جادی دیدم احتمال میدم رادیو گیگ بود.
اگر در مورد ویدیو اشتباه کردم دوستان جوء ندند ](*,) \\:D/
-
اولی رو درست میگید. سایت دومی از https استفاده نمیکنه. در نتیجه میشه کارهایی که گفتید رو انجام داد. چیزهایی که من گفتم مال وقتی هست که از https استفاده شده.
پس به این سادگیها هم نیستش که سایتی مجهز به https باشه و بگیم تمومه و دیگه نیازی به چیز شگن نداریم و هرچی لینک دانلود داخلش هست میشه با خیال راحت دانلودش کرد, خیر! به هر حال در کشوری داریم زندگی میکنیم که یه زمانی (اون موقع که سایت گوگل هنوز به https مهاجرت نکرده بود) صفحه گوگل قلابی درست کرده بودند و هر وقت که به آدرس google.com مراجعه میکردید یه صفحه شبیه گوگل جلوی شما ظاهر میشد که گوگل واقعی نبود! حدود سال ۲۰۰۸-۲۰۰۹ بود اگه یادتون باشه. معمولاً هم بیخودی خطای کوکی میداد که اگر کاربر شک کرد فکر کنه که مشکل از مرورگر خودشه نه از صفحه. بدون شک برای فایلهای موجود در اینترنت هم از این کارها کرده اند و لینک جعلی گذاشته اند.
البته من در مورد لینک های https دار هم مطمئن نیستم که نیاز به چیز شگن نداشته باشن! (نظر شخصی)، چون در همه سایتهای امن مثل سایت تور، تمامی فایلها در کنارشون کلید امضاء دیجیتال یا هش گذاشته شده! اگر به قول شما با وجود https نیازی به این چک کردنها نبود، پس چرا این فایلهای امضاء دیجیتال رو بصورت جداگانه کنار تک تک فایلهای دانلودی قرار دادند؟
در مورد چک کردن هش قبل از دریافت فایل با شما موافق نیستم. فایرفاکس یه افزونه داشت به اسم DownThemAll ، نمیدونم هنوز هست یا نه، این افزونه یه آپشن داشت که فایل متا دیتای فایلی رو که قصد دانلود کردنشو داشتید قبل از دانلود بهش میدادید، این متا دیتا شامل هش فایل و امضاء gpg بودش، من این فیچر رو برای اصمینان از صحت فایل دانلودی قبل از دانلود کردنش شدیداً نیاز داشتم اما هر کاری کردم که قبل از دانلود فایل، صحتش رو برام مشخص کنه نکرد! پیام میداد که اول باید فایل رو دانلود کنی بعد بهت نشون میدم که فایل سالمه یا نه. این از تجربه من. حالا نمیدونم شما رو چه حسابی میگید قبل از دریافت فایلی که پسوندش هم برای مرورگر ناشناخته است و نمیتونه اون رو حتی باز کنه و در بهترین حالت بایستی کل فایل رو در اختیار داشته باشه و روی کل اش هش چک انجام بده، چه جوری میخواد قبل از دانلود کردن از صحتش اطمینان حاصل کنه!
-
@Iranihamed
شما مفاهیم مختلف رو با هم قاطی کردید. هر کدوم از موارد که نام بردید کاربرد خاص خودشون رو دارند.
وقتی به یک سایت به وسیله HTTPS متصل هستید (و مطممئن هستید سیستم خودتون دستکاری نشده)، میتونید اطمینان داشته باشید:
۱. جایی که بهش متصل هستید همون جایی هست که میگه.
۲. ارتباط بین شما رمزنگاری شده هست.
که این ۲ خودشون مزایای مختلفی رو به ارمغان میارند.
استفاده امضای دیجیتال برای موارد دیگری هست.
اگر هرجایی این موارد براتون گنگ هست و فکر میکنید نشدنی و نظر متفاوتی دارید باید درباره پروتکلها و رمزنگاری نامتقارن و خصوصا SSL و الگوریتمهای Key exchange مطالعه کنید.
-
@Iranihamed
شما مفاهیم مختلف رو با هم قاطی کردید. هر کدوم از موارد که نام بردید کاربرد خاص خودشون رو دارند.
وقتی به یک سایت به وسیله HTTPS متصل هستید (و مطممئن هستید سیستم خودتون دستکاری نشده)، میتونید اطمینان داشته باشید:
۱. جایی که بهش متصل هستید همون جایی هست که میگه.
۲. ارتباط بین شما رمزنگاری شده هست.
که این ۲ خودشون مزایای مختلفی رو به ارمغان میارند.
استفاده امضای دیجیتال برای موارد دیگری هست.
اگر هرجایی این موارد براتون گنگ هست و فکر میکنید نشدنی و نظر متفاوتی دارید باید درباره پروتکلها و رمزنگاری نامتقارن و خصوصا SSL و الگوریتمهای Key exchange مطالعه کنید.
راستش من که گیج شدم، 🤔 به هر حال من از وقتی که اون صفحات جعلی رو مشاهده کردم فهمیدم اگه حواسمون نباشه توی اینترنتمون هم آب قاطی میکنند و از اون موقع به بعد بود که همیشه برای دانلود فایل های مهم مثل نرم افزارها و سیستم عامل ها از مسیر مطمئن و نرم افزار عبور از سد استفاده میکنم و دیگه نگران نیستم که سایت مورد نظر ssl داره یا نداره و یا اگر داره لینکهای داخلش هم تحت پوشش ssl هست یا نه. البته فایلهای حجیم رو بدون پراکسی میگیرم که البته هش اون رو هم با استفاده از پراکسی میگیرم تا مطمئن بشم رکب نخوردم 😃
-
همونطور که می دونید آی اس پی ها بطور گسترده از کش سرور استفاده می کنن برای کاهش مصرف ترافیک (مخصوصا بین الملل)
من در جایی خوندم که اگر ISP دیتای اینترنت رو کش کرده باشه، نرم افزارهای پراکسی نمیتونن به سرور خودش وصل بشن و از این طریق میشه فهمید که دیتای کش شده رو در اختیار کاربر گذاشته اند. البته نمیدونم این حرف تا چه حد درسته.
-
@Iranihamed
شما مفاهیم مختلف رو با هم قاطی کردید. هر کدوم از موارد که نام بردید کاربرد خاص خودشون رو دارند.
وقتی به یک سایت به وسیله HTTPS متصل هستید (و مطممئن هستید سیستم خودتون دستکاری نشده)، میتونید اطمینان داشته باشید:
۱. جایی که بهش متصل هستید همون جایی هست که میگه.
۲. ارتباط بین شما رمزنگاری شده هست.
که این ۲ خودشون مزایای مختلفی رو به ارمغان میارند.
استفاده امضای دیجیتال برای موارد دیگری هست.
اگر هرجایی این موارد براتون گنگ هست و فکر میکنید نشدنی و نظر متفاوتی دارید باید درباره پروتکلها و رمزنگاری نامتقارن و خصوصا SSL و الگوریتمهای Key exchange مطالعه کنید.
راستش من که گیج شدم، 🤔 به هر حال من از وقتی که اون صفحات جعلی رو مشاهده کردم فهمیدم اگه حواسمون نباشه توی اینترنتمون هم آب قاطی میکنند و از اون موقع به بعد بود که همیشه برای دانلود فایل های مهم مثل نرم افزارها و سیستم عامل ها از مسیر مطمئن و نرم افزار عبور از سد استفاده میکنم و دیگه نگران نیستم که سایت مورد نظر ssl داره یا نداره و یا اگر داره لینکهای داخلش هم تحت پوشش ssl هست یا نه. البته فایلهای حجیم رو بدون پراکسی میگیرم که البته هش اون رو هم با استفاده از پراکسی میگیرم تا مطمئن بشم رکب نخوردم 😃
اتفاقا در حین استفاده از یک پراکسی وقتی از نسخه وبسایت که SSL نداره استفاده میکنید خطر بیشتری شما رو تهدید میکنه. حتی وقتی از Tor استفاده میکنید پیشنهاد میشه از نسخه HTTPS وب سایتها استفاده کنید تا Exit Node ترافیک شما رو شنود یا تغییر نده.
-
راستش من که گیج شدم، 🤔 به هر حال من از وقتی که اون صفحات جعلی رو مشاهده کردم فهمیدم اگه حواسمون نباشه توی اینترنتمون هم آب قاطی میکنند و از اون موقع به بعد بود که همیشه برای دانلود فایل های مهم مثل نرم افزارها و سیستم عامل ها از مسیر مطمئن و نرم افزار عبور از سد استفاده میکنم و دیگه نگران نیستم که سایت مورد نظر ssl داره یا نداره و یا اگر داره لینکهای داخلش هم تحت پوشش ssl هست یا نه. البته فایلهای حجیم رو بدون پراکسی میگیرم که البته هش اون رو هم با استفاده از پراکسی میگیرم تا مطمئن بشم رکب نخوردم 😃
توی جواب بالاتر یه لینک گذاشتم. اگه میخواهید بفهمید چجوری اینها کار میکنند، اونجا رو ببینید.
لینک رو اینجا هم میزارم. اینجا (https://maktabkhooneh.org/course/%D8%A2%D9%85%D9%88%D8%B2%D8%B4-%D8%B1%D8%A7%DB%8C%DA%AF%D8%A7%D9%86-%D8%A7%D9%85%D9%86%DB%8C%D8%AA-%D8%B4%D8%A8%DA%A9%D9%87-mk689/) رو میگفتم.
-
من از مرورگر تور استفاده میکنم.(tor-browser)بعداز اجراع تا تور متصل نشه مرورگر بالا نمیاد. پرسش اینجاست که مثل تور یا vpn داره عمل میکنه؟
مرورگر تور دار از تور استفاده میکنه دیگه. البته نه اون سرویس تور که ممکنه روی سیستم در حال اجرا باشه. اگه میخواهید بدونید تور چجوری کار میکنه، اینجا (https://molaei.org/tor/) رو ببینید.
مگه اینکه خودتون به
برنامه هایی که به صورت قابل (portable)هست و از سایت اصلی دانلود میشه چطور؟
مثل همین tor-browser که خوب مدام هم بروز رسانی میشه
یا برنامه هایی که از github نصب میشه؟
یه برنامه دارم به اسم OpenBoardViewکه از github نصب کردم وبه طور خودکاربروز رسانی نمیشه.
خیلی جاها خوندم که به vpn نمیشه اعتماد کرد :(
بعضی از دوستان میگن بهتره از vpn و تور با هم استفاده بشه ???
اگه اشتباه نکنم تو یکی از ویدوهای جادی دیدم احتمال میدم رادیو گیگ بود.
اگر در مورد ویدیو اشتباه کردم دوستان جوء ندند ](*,) \\:D/
۱- برای برنامههای portable اگه جایی که اونها رو دانلود میکنید، از https استفاده میکنه، مطمئن میشید که این همون چیزی است که سرور فرستاده. البته ممکنه خود اون برنامه خطرناک باشه که در اینصورت ممکنه کامپیوتر شما رو خراب کنه.
۲- گیتهاب از ssl/tls استفاده میکنه. پس چیزهایی که از اون میگیرید، همونی هست که خود گیتهاب فرستاده. البته ممونه توسعهدهنده اون برنامه، برنامهای نوشته باشه که باعث خرابی بشه. این هم مثل بالا میتونه خطرناک باشه. ممکنه اون برنامه با توزیع شما هماهنگ نباشه و ایجاد مشکل کنه.
توی مورد گیتهاب، بیشتر مشکل از این پیش میاد که برنامه با سیستم شما سازگار نباشه. اینجور نیست که کسی به همین راحتی، اطلاعات رو وسط راه تغییر بده.
۳- vpn فعالیت شما رو از سرویسدهنده اینترنت مخفی میکنه. هر چند سرویسدهنده اینترنت، میفهمه که شما دارید از vpn استفاده میکنید.
ولی خوب هنوز خود vpn میدونه که شما چیکار میکنید. توی اون مورد باید برید سراغ vpn که مطمئن هست و بعیده که اطلاعات جمع کرده از شما رو بهجایی بده.(چیزی که فکر نکنم اصلا پیدا بشه :()
۴- vpn و تور رو میشه با هم استفاده کرد. ولی من نمیدونم چجوری. در مورد اینکه جادی درباره این چیزی گفته، باز هم نمیدونم.
-
اگه از فایرفاکس استفاده میکنید، گزینهٔ «فعالسازی حالت فقط-HTTPS در تمام پنجرهها» رو بزنید. دیگه چیزهای بدون https اصلاً نشون داده نمیشن.
-
باسلام
Dragon-
سپاس از پاسخ شما :)
اگه از فایرفاکس استفاده میکنید، گزینهٔ «فعالسازی حالت فقط-HTTPS در تمام پنجرهها» رو بزنید. دیگه چیزهای بدون https اصلاً نشون داده نمیشن.
این گزینه تو Firefox 78.esr پشتیبانی نمیشه ](*,)
-
این گزینه تو Firefox 78.esr پشتیبانی نمیشه ](*,)
افزونه Https Everywhere نصب کنید.
-
باسلام
افزونه Https Everywhere نصب کنید.
سپاس از شما نصب کردم :)
-
ممنون از دراگون عزیز و میلاد گرامی. حالا این سوال برای من پیش اومده که اگه به دانلود منیجر هم یک لینک دانلود بدیم که با https شروع میشه، آیا اصالت فایل رو میتونه تشخیص بده یا این فیچر فقط مختص به مرورگرهاست؟ یه سوال دیگه، شنیدم آی اس پی متوجه میشه که کاربر داره از نرم افزار عبور از سد استفاده میکنه، میخوام بدانم آیا نوع اون نرمافزار رو هم تشخیص میده؟ پیشاپیش ممنون از راهنمایی تان 💐
-
ممنون از دراگون عزیز و میلاد گرامی. حالا این سوال برای من پیش اومده که اگه به دانلود منیجر هم یک لینک دانلود بدیم که با https شروع میشه، آیا اصالت فایل رو میتونه تشخیص بده یا این فیچر فقط مختص به مرورگرهاست؟ یه سوال دیگه، شنیدم آی اس پی متوجه میشه که کاربر داره از نرم افزار عبور از سد استفاده میکنه، میخوام بدانم آیا نوع اون نرمافزار رو هم تشخیص میده؟ پیشاپیش ممنون از راهنمایی تان 💐
در SSL اصالت به معنایی که مورد نظر شماست وجود نداره. اگر از یک مدیر دانلود معقول استفاده کنید (برای مثال: wget, aria2, ...) همه گواهینامه SSL رو بررسی میکنند. اگر مورد تایید باشه شما اون ۲ موردی که اشاره کردم رو ازش اطمینان داری. ۱. سروری که بهش متصل هستید همونه که ادعا میکنه و ۲. ارتباط بین شما رمزنگاری شده. یعنی این وسط فایل تغییر نمیتونه داده بشه. اما اگر یک نفر به سرور نفوذ کرده باشه و برنامه رو تغییر داده باشه دیگه بحث جدا هست. اینجا امضا دیجیتال وارد میشه و شما میتونید فرضا با کلید عمومی توسعه دهنده که از قبل دارید متوجه بشید که این فایل که دانلود کردید فایل اصلی نیست و تغییر داده شده.
-
ممنون از دراگون عزیز و میلاد گرامی. حالا این سوال برای من پیش اومده که اگه به دانلود منیجر هم یک لینک دانلود بدیم که با https شروع میشه، آیا اصالت فایل رو میتونه تشخیص بده یا این فیچر فقط مختص به مرورگرهاست؟
این ویژگی، جزو ساختار قرارداد https است.
یه سوال دیگه، شنیدم آی اس پی متوجه میشه که کاربر داره از نرم افزار عبور از سد استفاده میکنه، میخوام بدانم آیا نوع اون نرمافزار رو هم تشخیص میده؟ پیشاپیش ممنون از راهنمایی تان 💐
نه لزوماً… بستگی به روش و نرمافزارش داره. مثلاً اگه از تور با obfs4proxy استفاده کنید، نمیتونن متوجّه شن.
-
ممنون از دراگون عزیز و میلاد گرامی. حالا این سوال برای من پیش اومده که اگه به دانلود منیجر هم یک لینک دانلود بدیم که با https شروع میشه، آیا اصالت فایل رو میتونه تشخیص بده یا این فیچر فقط مختص به مرورگرهاست؟ یه سوال دیگه، شنیدم آی اس پی متوجه میشه که کاربر داره از نرم افزار عبور از سد استفاده میکنه، میخوام بدانم آیا نوع اون نرمافزار رو هم تشخیص میده؟ پیشاپیش ممنون از راهنمایی تان 💐
میتونه مطمئن بشه که این فایل همونی هست که سرور فرستاده.
سرویسدهنده اینترنت هم بسته به شرایط، میتونه بفهمه که از چه چیزی برای عبور از سد استفاده میکنید.
مثلا اگه از تور بدونه پلهای obfs4 استفاده کنید، متوجه میشه که به تور وصل شدید. یا اگه از vpn استفاده میکنید، ممکنه متوجه بشه که vpn از چه پروتکلی استفاده میکنه. ولی حتمی نیست.
-
بسیار توضیحات خوبی دادند دوستان گرامی. واجب شد یک تاپیک در مورد اونواع پل و کاربردهاش بزنم. برای خودم و خیلی ها سواله.