کش سرور و افزایش امنیت

[Iranihamed]

باز هم دارید اشتباه می‌کنید. اولا که http و https فقط برای متن و وب نیست. میشه از طریق اون اطلاعات دیگه رو هم انتقال داد.

فرض کنید یه وبسایت دارم با آدرس https://example.com و داخلش یک فایل رو قرار دادم با آدرس
 http://sample.com/image.iso
دقت کنید لینکی که داخل اون سایت هست با http شروع شده و آدرسش هم متفاوت از خود سایته. در اینجا آی اس پی نمی تونه محتوای سایت رو عوض کنه ولی میتونه توی کش سرورش به جای اون لینک، یک فایل جعلی قرار بده چون وقتی که من روی لینک کلیک میکنم در واقع مرورگر به یک آدرس جدید مراجعه میکنه خصوصاً اینکه اون لینک آدرسش زیر مجموعه سایتی که توش هستم نیست. پس آی اس پی اگر بخواد به راحتی میتونه توی کش سروری که دست خودش هست یک لینک مشابه همون لینک ایجاد بکنه و کلاینت یا همان مشترک یا دریافت کننده فایل رو فریب بده. امیداوارم متوجه منظورم شده باشید.
نکته دیگر اینه که فرض کنید اون فایل iso که بهش اشاره کردم هشت گیگا بایت حجم داشته باشه، اگر مرورگر بعد از اتمام دانلود, اصالت این فایل حجیم رو بصورت اوتوماتیک چک بکنه بایستی حداقل چندین ثانیه چراغ هارد دیسک فعالیت شدید نشون بده، در حالیکه من بارها فایل های حجیم رو از سایتهای ssl دریافت کردم ولی بعد از اتمام دانلود هیچ اکتیویتی ای در سیستم و چراغ هارد مشاهده نکردم!

[Dragon-]

اولی رو درست میگید. سایت دومی از https استفاده نمی‌کنه. در نتیجه میشه کار‌هایی که گفتید رو انجام داد. چیز‌هایی که من گفتم مال وقتی هست که از https استفاده شده.

درباره دومی دارید اشتباه می‌گید. وقتی یه فایل دانلود میشه، اینجوری نیست که کل  فایل دانلود بشه و بعد صحت اون بررسی بشه.
اینجوریه که هر بسته که دریافت می‌کنید، به همراهش یه پیام (هش) هم هست که با اون میشه بررسی کرد فایل وسط راه تغییر کرده یا نه. یعنی هر بسته که دریافت میشه، صحت اون هم بررسی میشه. وقتی همه بسته‌ها درست باشند پس کل اطلاعات هم درست از سرور دریافت شده. اینجوری میشه مطمئن شد که اطلاعات از سرور تا شما تغییر نکرده.
بالاتر گفتم که چجوری اون پیام (هش) ساخته میشه.

[bed123derkelo]

باسلام

اگه از تور یا vpn استفاده نکنید،

من از مرورگر تور استفاده میکنم.(tor-browser)بعداز اجراع تا تور متصل نشه مرورگر بالا نمیاد.
پرسش اینجاست که مثل تور یا vpn داره عمل میکنه؟

توی گنو/لینوکس، معمولا برنامه‌ها از مخازن نصب میشن. برنامه‌هایی که از مخازن نصب میشن، به طور پیش‌فرض امضای دیجیتال اونها چک میشه. مگه اینکه خودتون به مدیر بسته بگید اینکار رو انجام نده. (که باعث میشه یه راه برای نفوذ باز بشه)

من غلط میکنم

برنامه هایی که به صورت قابل (portable)هست و از سایت اصلی دانلود میشه چطور؟
مثل همین tor-browser که خوب مدام هم بروز رسانی میشه

یا برنامه هایی که از github نصب میشه؟
یه برنامه دارم به اسم OpenBoardViewکه از github نصب کردم وبه طور خودکاربروز رسانی نمیشه.

خیلی جاها خوندم که به vpn نمیشه اعتماد کرد
بعضی از دوستان میگن بهتره از vpn و تور با هم استفاده بشه
اگه اشتباه نکنم تو یکی از ویدوهای جادی دیدم احتمال میدم رادیو گیگ بود.
اگر در مورد ویدیو اشتباه کردم دوستان جوء ندند

[Iranihamed]

اولی رو درست میگید. سایت دومی از https استفاده نمی‌کنه. در نتیجه میشه کار‌هایی که گفتید رو انجام داد. چیز‌هایی که من گفتم مال وقتی هست که از https استفاده شده.

پس به این سادگی‌ها هم نیستش که سایتی مجهز به https باشه و بگیم تمومه و دیگه نیازی به چیز شگن نداریم و هرچی لینک دانلود داخلش هست میشه با خیال راحت دانلودش کرد, خیر! به هر حال در کشوری داریم زندگی میکنیم که یه زمانی (اون موقع که سایت گوگل هنوز به https مهاجرت نکرده بود) صفحه گوگل قلابی درست کرده بودند و هر وقت که به آدرس google.com مراجعه میکردید یه صفحه شبیه گوگل جلوی شما ظاهر میشد که گوگل واقعی نبود! حدود سال ۲۰۰۸-۲۰۰۹ بود اگه یادتون باشه. معمولاً هم بیخودی خطای کوکی میداد که اگر کاربر شک کرد فکر کنه که مشکل از مرورگر خودشه نه از صفحه. بدون شک برای فایلهای موجود در اینترنت هم از این کارها کرده اند و لینک جعلی گذاشته اند.
البته من در مورد لینک های https دار هم مطمئن نیستم که نیاز به چیز شگن نداشته باشن! (نظر شخصی)، چون در همه سایتهای امن مثل سایت تور، تمامی فایلها در کنارشون کلید امضاء دیجیتال یا هش گذاشته شده! اگر به قول شما با وجود https نیازی به این چک کردنها نبود، پس چرا این فایلهای امضاء دیجیتال رو بصورت جداگانه کنار تک تک فایلهای دانلودی قرار دادند؟
در مورد چک کردن هش قبل از دریافت فایل با شما موافق نیستم. فایرفاکس یه افزونه داشت به اسم DownThemAll ، نمیدونم هنوز هست یا نه، این افزونه یه آپشن داشت که فایل متا دیتای فایلی رو که قصد دانلود کردنشو داشتید قبل از دانلود بهش میدادید، این متا دیتا شامل هش فایل و امضاء gpg بودش، من این فیچر رو برای اصمینان از صحت فایل دانلودی قبل از دانلود کردنش شدیداً نیاز داشتم اما هر کاری کردم که قبل از دانلود فایل، صحتش رو برام مشخص کنه نکرد! پیام میداد که اول باید فایل رو دانلود کنی بعد بهت نشون میدم که فایل سالمه یا نه. این از تجربه من. حالا نمیدونم شما رو چه حسابی میگید قبل از دریافت فایلی که پسوندش هم برای مرورگر ناشناخته است و نمیتونه اون رو حتی باز کنه و در بهترین حالت بایستی کل فایل رو در اختیار داشته باشه و روی کل اش هش چک انجام بده، چه جوری میخواد قبل از دانلود کردن از صحتش اطمینان حاصل کنه!

[M!lad]

@Iranihamed

شما مفاهیم مختلف رو با هم قاطی کردید. هر کدوم از موارد که نام بردید کاربرد خاص خودشون رو دارند.

وقتی به یک سایت به وسیله HTTPS متصل هستید (و مطممئن هستید سیستم خودتون دستکاری نشده)، میتونید اطمینان داشته باشید:

۱. جایی که بهش متصل هستید همون جایی هست که می‌گه.
۲. ارتباط بین شما رمزنگاری شده هست.

که این ۲ خودشون مزایای مختلفی رو به ارمغان میارند.

استفاده امضای دیجیتال برای موارد دیگری هست.

اگر هرجایی این موارد براتون گنگ هست و فکر می‌کنید نشدنی و نظر متفاوتی دارید باید درباره پروتکل‌ها و رمزنگاری نامتقارن و خصوصا SSL و الگوریتم‌های Key exchange مطالعه کنید.

[Iranihamed]

@Iranihamed

شما مفاهیم مختلف رو با هم قاطی کردید. هر کدوم از موارد که نام بردید کاربرد خاص خودشون رو دارند.

وقتی به یک سایت به وسیله HTTPS متصل هستید (و مطممئن هستید سیستم خودتون دستکاری نشده)، میتونید اطمینان داشته باشید:

۱. جایی که بهش متصل هستید همون جایی هست که می‌گه.
۲. ارتباط بین شما رمزنگاری شده هست.

که این ۲ خودشون مزایای مختلفی رو به ارمغان میارند.

استفاده امضای دیجیتال برای موارد دیگری هست.

اگر هرجایی این موارد براتون گنگ هست و فکر می‌کنید نشدنی و نظر متفاوتی دارید باید درباره پروتکل‌ها و رمزنگاری نامتقارن و خصوصا SSL و الگوریتم‌های Key exchange مطالعه کنید.

راستش من که گیج شدم، 🤔 به هر حال من از وقتی که اون صفحات جعلی رو مشاهده کردم فهمیدم اگه حواسمون نباشه توی اینترنتمون هم آب قاطی میکنند و از اون موقع به بعد بود که همیشه برای دانلود فایل های مهم مثل نرم افزارها و سیستم عامل ها از مسیر مطمئن و نرم افزار عبور از سد استفاده میکنم و دیگه نگران نیستم که سایت مورد نظر ssl داره یا نداره و یا اگر داره لینکهای داخلش هم تحت پوشش ssl هست یا نه. البته فایلهای حجیم رو بدون پراکسی میگیرم که البته هش اون رو هم با استفاده از پراکسی میگیرم تا مطمئن بشم رکب نخوردم 😃

[Iranihamed]

همونطور که می دونید آی اس پی ها بطور گسترده از کش سرور استفاده می کنن برای کاهش مصرف ترافیک (مخصوصا بین الملل)

من در جایی خوندم که اگر ISP دیتای اینترنت رو کش کرده باشه، نرم افزارهای پراکسی نمیتونن به سرور خودش وصل بشن و از این طریق میشه فهمید که دیتای کش شده رو در اختیار کاربر گذاشته اند. البته نمیدونم این حرف تا چه حد درسته.

[M!lad]

@Iranihamed

شما مفاهیم مختلف رو با هم قاطی کردید. هر کدوم از موارد که نام بردید کاربرد خاص خودشون رو دارند.

وقتی به یک سایت به وسیله HTTPS متصل هستید (و مطممئن هستید سیستم خودتون دستکاری نشده)، میتونید اطمینان داشته باشید:

۱. جایی که بهش متصل هستید همون جایی هست که می‌گه.
۲. ارتباط بین شما رمزنگاری شده هست.

که این ۲ خودشون مزایای مختلفی رو به ارمغان میارند.

استفاده امضای دیجیتال برای موارد دیگری هست.

اگر هرجایی این موارد براتون گنگ هست و فکر می‌کنید نشدنی و نظر متفاوتی دارید باید درباره پروتکل‌ها و رمزنگاری نامتقارن و خصوصا SSL و الگوریتم‌های Key exchange مطالعه کنید.

راستش من که گیج شدم، 🤔 به هر حال من از وقتی که اون صفحات جعلی رو مشاهده کردم فهمیدم اگه حواسمون نباشه توی اینترنتمون هم آب قاطی میکنند و از اون موقع به بعد بود که همیشه برای دانلود فایل های مهم مثل نرم افزارها و سیستم عامل ها از مسیر مطمئن و نرم افزار عبور از سد استفاده میکنم و دیگه نگران نیستم که سایت مورد نظر ssl داره یا نداره و یا اگر داره لینکهای داخلش هم تحت پوشش ssl هست یا نه. البته فایلهای حجیم رو بدون پراکسی میگیرم که البته هش اون رو هم با استفاده از پراکسی میگیرم تا مطمئن بشم رکب نخوردم 😃

اتفاقا در حین استفاده از یک پراکسی وقتی از نسخه وب‌سایت که SSL نداره استفاده می‌کنید خطر بیشتری شما رو تهدید می‌کنه. حتی وقتی از Tor استفاده می‌کنید پیشنهاد می‌شه از نسخه HTTPS وب سایت‌ها استفاده کنید تا Exit Node ترافیک شما رو شنود یا تغییر نده.

[Dragon-]

راستش من که گیج شدم، 🤔 به هر حال من از وقتی که اون صفحات جعلی رو مشاهده کردم فهمیدم اگه حواسمون نباشه توی اینترنتمون هم آب قاطی میکنند و از اون موقع به بعد بود که همیشه برای دانلود فایل های مهم مثل نرم افزارها و سیستم عامل ها از مسیر مطمئن و نرم افزار عبور از سد استفاده میکنم و دیگه نگران نیستم که سایت مورد نظر ssl داره یا نداره و یا اگر داره لینکهای داخلش هم تحت پوشش ssl هست یا نه. البته فایلهای حجیم رو بدون پراکسی میگیرم که البته هش اون رو هم با استفاده از پراکسی میگیرم تا مطمئن بشم رکب نخوردم 😃

توی جواب بالاتر یه لینک گذاشتم. اگه می‌خواهید بفهمید چجوری اینها کار می‌کنند، اونجا رو ببینید.
لینک رو اینجا هم میزارم. اینجا رو می‌گفتم.

[Dragon-]

من از مرورگر تور استفاده میکنم.(tor-browser)بعداز اجراع تا تور متصل نشه مرورگر بالا نمیاد. پرسش اینجاست که مثل تور یا vpn داره عمل میکنه؟

مرورگر تور دار از تور استفاده می‌کنه دیگه. البته نه اون سرویس تور که ممکنه روی سیستم در حال اجرا باشه. اگه می‌خواهید بدونید تور چجوری کار می‌کنه، اینجا رو ببینید.

مگه اینکه خودتون به
برنامه هایی که به صورت قابل (portable)هست و از سایت اصلی دانلود میشه چطور؟
مثل همین tor-browser که خوب مدام هم بروز رسانی میشه

یا برنامه هایی که از github نصب میشه؟
یه برنامه دارم به اسم OpenBoardViewکه از github نصب کردم وبه طور خودکاربروز رسانی نمیشه.

خیلی جاها خوندم که به vpn نمیشه اعتماد کرد
بعضی از دوستان میگن بهتره از vpn و تور با هم استفاده بشه
اگه اشتباه نکنم تو یکی از ویدوهای جادی دیدم احتمال میدم رادیو گیگ بود.
اگر در مورد ویدیو اشتباه کردم دوستان جوء ندند

۱- برای برنامه‌های portable اگه جایی که اونها رو دانلود می‌کنید، از https استفاده می‌کنه، مطمئن میشید که این همون چیزی است که سرور فرستاده. البته ممکنه خود اون برنامه خطرناک باشه که در اینصورت ممکنه کامپیوتر شما رو خراب کنه.

۲- گیتهاب از ssl/tls استفاده می‌کنه. پس چیز‌هایی که از اون می‌گیرید، همونی هست که خود گیتهاب فرستاده. البته ممونه توسعه‌دهنده اون برنامه، برنامه‌ای نوشته باشه که باعث خرابی بشه. این هم مثل بالا می‌تونه خطرناک باشه. ممکنه اون برنامه با توزیع شما هماهنگ نباشه و ایجاد مشکل کنه.
توی مورد گیتهاب، بیشتر مشکل از این پیش میاد که برنامه با سیستم شما سازگار نباشه. اینجور نیست که کسی به همین راحتی، اطلاعات رو وسط راه تغییر بده.

۳- vpn فعالیت شما رو از سرویس‌دهنده اینترنت مخفی می‌کنه. هر چند سرویس‌دهنده اینترنت، میفهمه که شما دارید از vpn استفاده می‌کنید.
ولی خوب هنوز خود vpn می‌دونه که شما چیکار می‌کنید. توی اون مورد باید برید سراغ vpn که مطمئن هست و بعیده که اطلاعات جمع کرده از شما رو به‌جایی بده.(چیزی که فکر نکنم اصلا پیدا بشه )

۴- vpn و تور رو میشه با هم استفاده کرد. ولی من نمی‌دونم چجوری. در مورد اینکه جادی درباره این چیزی گفته، باز هم نمی‌دونم.

[دانیال بهزادی]

اگه از فایرفاکس استفاده می‌کنید، گزینهٔ «فعال‌سازی حالت فقط-HTTPS در تمام پنجره‌ها» رو بزنید. دیگه چیزهای بدون https اصلاً نشون داده نمی‌شن.

[bed123derkelo]

باسلام
Dragon-
سپاس از پاسخ شما

اگه از فایرفاکس استفاده می‌کنید، گزینهٔ «فعال‌سازی حالت فقط-HTTPS در تمام پنجره‌ها» رو بزنید. دیگه چیزهای بدون https اصلاً نشون داده نمی‌شن.

این گزینه تو Firefox 78.esr پشتیبانی نمیشه

[M!lad]

این گزینه تو Firefox 78.esr پشتیبانی نمیشه

افزونه Https Everywhere نصب کنید.

[bed123derkelo]

باسلام

افزونه Https Everywhere نصب کنید.

سپاس از شما نصب کردم

[Iranihamed]

ممنون از دراگون عزیز و میلاد گرامی. حالا این سوال برای من پیش اومده که اگه به دانلود منیجر هم یک لینک دانلود بدیم که با https شروع میشه، آیا اصالت فایل رو میتونه تشخیص بده یا این فیچر فقط مختص به مرورگرهاست؟ یه سوال دیگه، شنیدم آی اس پی متوجه میشه که کاربر داره از نرم افزار عبور از سد استفاده میکنه، میخوام بدانم آیا نوع اون نرم‌افزار رو هم تشخیص میده؟ پیشاپیش ممنون از راهنمایی تان 💐