انجمن‌های فارسی اوبونتو

لطفاً به انجمن‌ها وارد شده و یا جهت ورود ثبت‌نام نمائید

لطفاً جهت ورود نام کاربری و رمز عبورتان را وارد نمائید

نویسنده موضوع: آیا استفاده از سرویس‌های DNS serverها می‌تواند باعث نقص حریم خصوصی شود؟  (دفعات بازدید: 2545 بار)

0 کاربر و 2 مهمان درحال مشاهده موضوع.

آفلاین A. Ekramian

  • Jr. Member
  • *
  • ارسال: 71
  • جنسیت : پسر
... مقاله رو هم گذرا مطالعه کردم. (قبلا هم مقاله‌ای با همین عنوان توی یه سایت دیگه خونده بودم.) همونطور که گفتم منم نمی‌گم مو لای درز تور نمی‌ره، حفره‌های امنیتی همیشه و همه جا پیدا میشن ...
بله گذرا مطالعه کردید. مسئله یکی دوتا حفره امنیتی کوچیک نبود.

... تور خیلی جدی‌تر از این حرفاست که هر کسی بیاد یه نود بزنه و برای خودش اطلاعات مردم رو جمع کنه :) با یه مقاله‌ای که حدود 12 سال پیش نوشته شده نمی‌شه همچین نتیجه گیری‌ای کرد.
هر جور خودتون میدونید. به نظرم به صورت فنی و تخصصی به قدر کافی بحث شد در این مورد.

آفلاین majid.ee

  • Jr. Member
  • *
  • ارسال: 33
بحث جالبی بود خواستم منم وارد شم

نقل‌قول
دوست عزیز درخواست‌های DNS شما در مرحله‌ی اول امکان مانیتور توسط خود ISP شما رو داره پس اگر نگرانی از این بابت هست باید از ISP خود هم نگران باشید.
دقیقا برای همین گفته می شه از Tor و Tor dns استفاده کنین

نقل‌قول
سال ۲۰۰۷ یک متخصص سوئدی با مونیتور کردن ترافیک خروجی نودهای شبکه‌ی تور نام کاربری و پسورد حساب‌های ایمیل رو جمع آوری کرد. اطلاعات بیشتر: (https://goo.gl/Eqzpv5)
 
تنها و تنها exit node های تور به دیتا خام دسترسی دارن
این فرد هم کار خاصی نکرده فقط از همین قضیه استفاده کرده زمانی می تونیم این رو ایراد شبکه تور مطرح کنیم که فرد مثلا از طریق پل ها و یا رله های میانی داده ها رو اسنیف می کرد وگرنه با یه آشنایی سطحی از شبکه ی تور همه می دونن که رله های خروجی می تونن به دیتاها دسترسی داشته باشن.
بحث سر اینه که آیا می تونن این اطلاعات رو لاگ کنن ؟
جواب خیر هستش چون رله های خروجی به ip شما دسترسی ندارن و نمی دونن فلان سایت توسط چه کسی باز شده و موقع لاگ کردن اطلاعات مشخص نیست که کدوم اطلاعات مال چه کسی هستش.

ولی نکته ای هستش اینه که این مورد به شرط این هستش که دیتا به خودی خود اطلاعات هویتی شما رو نداشته باشه.
خب در اون صورت همینی می شه که شما لینکش رو گذاشتین.

فقط یه نکته ی دیگه ای که می مونه این هستش که سال ۲۰۰۷ مواردی مثل ssl و tls مرسوم نبودن و خیلی از سایتایی که با اطلاعات هویتی افراد در ارتباط بودن از ssl استفاده نمی کردن
مثلا خود جیمیل که شما مثال زدین تو سال ۲۰۰۷ (که هنوز توی مرحله ی تست کردن بود) از ssl فقط تو صفحه ی لاگین استفاده می کرد و اینباکس ها بدون رمزنگاری بودن و همین باعث می شد رله های خروجی تور که به محتوی خام دسترسی دارن بتونن مواردی مثل هویت و پیام ها و ... افراد رو اسنیف کنن ولی الان این طور نیست الان دیگه تمام سایتایی که با موارد هویتی افراد طرف هستش از ssl یا tls استفاده می کنن و دیگه دسترسی به اطلاعات خام نمی تونه مهم باشه
در واقع اگه بخوام جمع بندی کنم:

مواردی که شکن بهشون دسترسی داره :

در مورد در مورد سایتای با پروتکل http که اطلاعات هویتی ندارن :
می تونی به تمام محتوی و کارایی که می کنین دقیقا با ip شما (به عبارتی به اسم شما) لاگ کنه

در مورد سایتای با پروتکل http که اطلاعات هویتی دارن :
طبیعتا هر چقدر هم کار واجبی داشته باشین نباید از این تیپ سایتای ناامن استفاده کنین ولی اگه استفاده کنین تمام اطلاعاتتون لو می ره

در مورد سایتایی با https:
به اطلاعات ورودی و خروجی دسترسی نداره ولی همچنان می تونه بازدید شما رو از یه سایت لاگ کنه و با ip شما یادداشت بشه که شما مثلا فلان سایتو نیگا کردین

در مورد تور:
در مورد در مورد سایتای با پروتکل http که اطلاعات هویتی ندارن :
هیچ دسترسی که به کارایی که شما انجام می دین نداره و فقط می تونه بفهمه فلان کار (توسط فردی نامعلوم) در حال اجراس

در مورد سایتای با پروتکل http که اطلاعات هویتی دارن :
طبیعتا هر چقدر هم کار واجبی داشته باشین نباید از این تیپ سایتای ناامن استفاده کنین ولی اگه استفاده کنین تمام اطلاعاتتون لو می ره

در مورد سایتایی با https:
به اطلاعات ورودی و خروجی دسترسی نداره و نمی تونه بگه شما چه بازدیدهایی رو داشتین

خب الان شما بین موارد بالا کدوم رو انتخاب می کنین ؟
اگه یه فرد از ساختار تور اطلاع داشته باشه احتمال نشت اطلاعاتیش خیلی پایین میاد ولی این در مورد شکن صادق نیست


طببعتا هیچ امنیت صد درصدی وجود نداره و هزاران راه (باگ) برای دور زدن موارد امنیتی وجود داره مثلا همین ssl که جیمیل استفاده می کنه و شما هم بهش اشاره کردین ، همین چند سال قبل توسط ایران با جعل گواهی ها دور زده شد و اطلاعات خیلی از حساب ها مثل جیمیل و ... لو رفت
اینجاس که گفته می شه امنیت صد درصد وجود نداره ولی ما باید منطقی ترین و بهترین راه رو انتخاب کنیم

آفلاین A. Ekramian

  • Jr. Member
  • *
  • ارسال: 71
  • جنسیت : پسر
تنها و تنها exit node های تور به دیتا خام دسترسی دارن
این فرد هم کار خاصی نکرده فقط از همین قضیه استفاده کرده زمانی می تونیم این رو ایراد شبکه تور مطرح کنیم که فرد مثلا از طریق پل ها و یا رله های میانی داده ها رو اسنیف می کرد وگرنه با یه آشنایی سطحی از شبکه ی تور همه می دونن که رله های خروجی می تونن به دیتاها دسترسی داشته باشن.
بحث سر اینه که آیا می تونن این اطلاعات رو لاگ کنن ؟
جواب خیر هستش چون رله های خروجی به ip شما دسترسی ندارن و نمی دونن فلان سایت توسط چه کسی باز شده و موقع لاگ کردن اطلاعات مشخص نیست که کدوم اطلاعات مال چه کسی هستش.

ولی نکته ای هستش اینه که این مورد به شرط این هستش که دیتا به خودی خود اطلاعات هویتی شما رو نداشته باشه.
خب در اون صورت همینی می شه که شما لینکش رو گذاشتین.

فقط یه نکته ی دیگه ای که می مونه این هستش که سال ۲۰۰۷ مواردی مثل ssl و tls مرسوم نبودن و خیلی از سایتایی که با اطلاعات هویتی افراد در ارتباط بودن از ssl استفاده نمی کردن
مثلا خود جیمیل که شما مثال زدین تو سال ۲۰۰۷ (که هنوز توی مرحله ی تست کردن بود) از ssl فقط تو صفحه ی لاگین استفاده می کرد و اینباکس ها بدون رمزنگاری بودن و همین باعث می شد رله های خروجی تور که به محتوی خام دسترسی دارن بتونن مواردی مثل هویت و پیام ها و ... افراد رو اسنیف کنن ولی الان این طور نیست الان دیگه تمام سایتایی که با موارد هویتی افراد طرف هستش از ssl یا tls استفاده می کنن و دیگه دسترسی به اطلاعات خام نمی تونه مهم باشه
اول اینکه من به ذکر یک نکته در مورد تور اکتفا کردم که دوستان فکر نکن امنیت کاملی وجود داره. قصه‌ی تور مسئله‌ی فراتری هست که از حوصله‌ی این بحث خارج هست اما به صورت خلاصه عرض میکنم: «حتی تکنیک‌هایی برای ردیابی اطلاعات هویتی بین نودهای شبکه‌ی تور وجود دارد.»
دوم اینکه در تمام پاسخ‌هایم به این نکته اشاره کردم که اگر رمزنگاری e2e وجود داشته باشه اونوقت مسئله حل شدس. در واقع چه از تور استفاده کنید چه از سرویس‌هایی مثل شکن، نگرانی بی‌مورد هست. گفتید الآن همه‌ی سایت‌ها از SSL و TLS بهره می‌برن پس استفاده از تور اشکالی نداره. پس خودتون نتیجه بگیرید استفاده از سرویس‌های مثل شکن در مورد سایت‌های HTTPS مشکلی نداره ...
اما در مورد اطلاعات هویتی که ذکر کردید:

مواردی که شکن بهشون دسترسی داره :

در مورد در مورد سایتای با پروتکل http که اطلاعات هویتی ندارن :
می تونی به تمام محتوی و کارایی که می کنین دقیقا با ip شما (به عبارتی به اسم شما) لاگ کنه

در مورد سایتای با پروتکل http که اطلاعات هویتی دارن :
طبیعتا هر چقدر هم کار واجبی داشته باشین نباید از این تیپ سایتای ناامن استفاده کنین ولی اگه استفاده کنین تمام اطلاعاتتون لو می ره

در مورد سایتایی با https:
به اطلاعات ورودی و خروجی دسترسی نداره ولی همچنان می تونه بازدید شما رو از یه سایت لاگ کنه و با ip شما یادداشت بشه که شما مثلا فلان سایتو نیگا کردین
تا حدودی مطالبتون غلطه. صرفا سایت‌های تحریمی به سرورهای شکن هدایت میشن. بقیه‌ی سایت‌ها به آی‌پی‌های خودشون resolve میشن. حتی یه مزیت خارج از بحثی که این سرویس داره آدرس‌هایی که توسط فیلترینگ ایران به آی‌پی‌های ثانوی هدایت میشن به درستی پاسخ میده.

خب الان شما بین موارد بالا کدوم رو انتخاب می کنین ؟
اگه یه فرد از ساختار تور اطلاع داشته باشه احتمال نشت اطلاعاتیش خیلی پایین میاد ولی این در مورد شکن صادق نیست
بله ممکنه یه فردی ترجیح بده تمام ترافیک اینترنت خودشو از شبکه‌ی تور مسیردهی کنه و در عوض کاهش پهنای باند و افزایش پینگ چند برابری و جدیدا هزینه‌ی ترافیک نصفه که در قبال بازدید از سایت‌های داخلی می‌پردازه؛ درخواست خودشو بین حداقل ۳ کشور دور دنیا بچرخونه تا به سروری که ۱۰۰ کیلومتر باهاش فاصله داره بروسونه و در عوض هویت خودشو تا حدی مخفی نگه داره.

... همین چند سال قبل توسط ایران با جعل گواهی ها دور زده شد و اطلاعات خیلی از حساب ها مثل جیمیل و ... لو رفت ...
منظورتون متوجه نشدم. باگ Heartbleed رو میگید؟!

« آخرین ویرایش: 18 مهر 1397، 12:20 ق‌ظ توسط A. Ekramian »