کش سرور و افزایش امنیت

[joker_x]

همونطور که می دونید آی اس پی ها بطور گسترده از کش سرور استفاده می کنن برای کاهش مصرف ترافیک (مخصوصا بین الملل)
و یادمه یه بار که می خواستم یه نرم افزاری رو دانلود کنم دیدم که وقتی با چیز پی ان میرم یه نسخه جدیدتر ازش موجوده در حالیکه بدون چیز پی ان نسخه قدیمی تر وجود داشت . خب حالا این سوال پیش میاد که آیا آی اس پی نمی تونه اون نسخه قدیمی رو دستکاری کنه و یه امضای دیجیتال جدید هم براش بزاره ؟ مسلما می تونه ! پس بهترین راه برای دانلود نرم افزار همون استفاده از چیز پی ان یا تور هست . حالا می خوام نظر شما دوستان رو هم درباره این موضوع بدونم و اینکه آیا تجربه ای در این زمینه داشتین یا نه؟

[دانیال بهزادی]

اگه از https استفاده کنید، نباید چنین مشکلی پیش بیاد. گرچه همیشه استفاده از تور پیشنهاد می‌شه.

[M!lad]

دستکاری که می‌تونه کنه ولی امضاش رو به این راحتی نمی‌تونه جعل کنه.
https هم که گفت دیگه... برای تحویل نسخه دستکاری شده هم لازم نیست اصلا کش استفاده کنه.

[joker_x]

دستکاری که می‌تونه کنه ولی امضاش رو به این راحتی نمی‌تونه جعل کنه.
https هم که گفت دیگه... برای تحویل نسخه دستکاری شده هم لازم نیست اصلا کش استفاده کنه.

لازم نیست امضاش رو جعل کنه کافیه امضای فایل دستکاری شده رو به همراه فایل تغییر یافته قرار بده بجای قبلی شما از کجا می فهمی که امضا دستکاری شده ؟ (فقط در صورتی می فهمی که با چیز شکن از سایت مورد نظر بازدید کنی و همون فایل رو چک کنی)
"برای تحویل نسخه دستکاری شده هم لازم نیست اصلا کش استفاده کنه." میشه لطف کنین اینو بیشتر توضیح بدین

[M!lad]

لازم نیست امضاش رو جعل کنه کافیه امضای فایل دستکاری شده رو به همراه فایل تغییر یافته قرار بده بجای قبلی شما از کجا می فهمی که امضا دستکاری شده ؟ (فقط در صورتی می فهمی که با چیز شکن از سایت مورد نظر بازدید کنی و همون فایل رو چک کنی)

من تصور کردم شما درباره برنامه‌های موجود در مخازن توزیع‌های مختلف صحبت می‌کنید. در این حالت اگر نسخه اولیه سیستم‌عامل شما دستکاری نشده باشه و در زنجیره امضا تغییری اعمال بشه سیستم‌عامل فایل رو reject و ازش استفاده نمی‌کنه.

در حالتی که مدنظر خودتون هست. (برنامه و امضا کنار هم، مثلا program.tar.gz و program.asc). فرض بر این هست که یا شما امضا رو از یک کانال امن به دست آوردید یا از قبل کلید عمومی کسی که فایل رو امضا کرده رو از یک کانال امن دریافت کردید.

حتما این رو قبلا دیدید:

کد: [انتخاب]

WARNING: This key is not certified with a trusted signature!
که در واقع می‌گه هر کسی می‌تونه این امضا رو ایجاد کرده باشه. ولی اگر کلید رو در web of trust شما باشه:

کد: [انتخاب]

gpg: Good signature from "Developers of the program"
به طور کلی شما باید کلید رو از یک کانال امن دریافت کنید یا در زنجیره اطمینان شما موجود باشه تا بهش اطمینان کنید.

پاسخ سوال دوم هم اینکه روش‌های بسیاری برای تحویل یک فایل جایگزین به یک فرد در زمانی که از یک پروتکل ناامن استفاده می‌کنه هست.

[ABOLDOM]

سلام درود سایتش یکم بررسی کن شاید برای ایرانی ها تفاوت میذاره خیلی سایت ها دیدم با ای پی ایران به دلیل تحریم یا دلایل دیگه طوری دیگه نمایش داده میشه یا یه چیزایی نداره و یا کلا فرق داره دیگه درمورد اینکه مشکل از ایران باشه بعید میدونم اینکارو کرده باشن یکم تخیلی میشه.. (ولی یکم ترس تو وجودم انداختی)

[#unknown#]

برای من این سوال پیش اومده که آی اس پی میتونه فعالیت های تو در اینترنت رو مشاهده کنه و زیر نظر بگیره ؟
حتی اگه از تور و وی * ان استفاده کنی ؟
چون تو اول به آی اس پی وصل میشی بعد به تور .

[M!lad]

اگر از ابزارهایی که نام بردید استفاده نکنید بله. اگر استفاده کنید اطلاع داره که برای مخفی کردن ترافیک خودتون از اون سرویس در حال استفاده هستید.

[bed123derkelo]

باسلام

اگر از ابزارهایی که نام بردید استفاده نکنید بله

اگر امکانش هست یکم بیشتر توضیح بدید
من فقط از مرورگر تور استفاده میکنم

لازم نیست امضاش رو جعل کنه کافیه امضای فایل دستکاری شده رو به همراه فایل تغییر یافته قرار بده بجای قبلی شما از کجا می فهمی که امضا دستکاری شده ؟

این موضوع مربوط به برنامه های گنو/لینوکس هست یا همه برنامه ها مثلا برنامه های موبایل و...؟

[joker_x]

لازم نیست امضاش رو جعل کنه کافیه امضای فایل دستکاری شده رو به همراه فایل تغییر یافته قرار بده بجای قبلی شما از کجا می فهمی که امضا دستکاری شده ؟ (فقط در صورتی می فهمی که با چیز شکن از سایت مورد نظر بازدید کنی و همون فایل رو چک کنی)

من تصور کردم شما درباره برنامه‌های موجود در مخازن توزیع‌های مختلف صحبت می‌کنید. در این حالت اگر نسخه اولیه سیستم‌عامل شما دستکاری نشده باشه و در زنجیره امضا تغییری اعمال بشه سیستم‌عامل فایل رو reject و ازش استفاده نمی‌کنه.

در حالتی که مدنظر خودتون هست. (برنامه و امضا کنار هم، مثلا program.tar.gz و program.asc). فرض بر این هست که یا شما امضا رو از یک کانال امن به دست آوردید یا از قبل کلید عمومی کسی که فایل رو امضا کرده رو از یک کانال امن دریافت کردید.

حتما این رو قبلا دیدید:

کد: [انتخاب]

WARNING: This key is not certified with a trusted signature!
که در واقع می‌گه هر کسی می‌تونه این امضا رو ایجاد کرده باشه. ولی اگر کلید رو در web of trust شما باشه:

کد: [انتخاب]

gpg: Good signature from "Developers of the program"
به طور کلی شما باید کلید رو از یک کانال امن دریافت کنید یا در زنجیره اطمینان شما موجود باشه تا بهش اطمینان کنید.

پاسخ سوال دوم هم اینکه روش‌های بسیاری برای تحویل یک فایل جایگزین به یک فرد در زمانی که از یک پروتکل ناامن استفاده می‌کنه هست.

ممنون از پاسخ دقیق تون
منظور من یک نرم افزار خارج از مخازن بود در این مورد خاص نرم افزار balena etcher بود که این مشکل رو داشت البته من چک نکردم که نسخه قدیمی این نرم افزار که بدون چیز شکن قابل دسترس بود و به اصطلاح روی کش سرور سرویس دهنده اینترنت من بود آیا دستکاری شده یا نه فقط یه احتمال دادم که حالا که سایتها رو کش می کنن اون هم به این روش با تاخیر زیاد پس می تونه احتمال دستکاری فایلها هم وجود داشته باشه (یکم تئوری توطئه توش داره )

[Dragon-]

باسلام

اگر از ابزارهایی که نام بردید استفاده نکنید بله

اگر امکانش هست یکم بیشتر توضیح بدید
من فقط از مرورگر تور استفاده میکنم

اگه از تور یا vpn استفاده نکنید، سرویس دهنده اینترنت، می‌تونه ببینه که شما سراغ چه وبسایت‌هایی رفتید یا برنامه‌های شما به کجا وصل شدن. اگه وبسایتی که بازدید می‌کنید، از ssl/tls یا به صورت کلی‌تر رمزنگاری، استفاده کرده باشه، سرویس دهنده اینترنت نمی‌تونه بفهمه که شما توی اون سایت چیکار کردید یا از کدوم بخش سایت استفاده کردید یا چه اطلاعاتی بین شما و سایت منتقل شده. فقط میفهمه که از چه وبسایتی بازدید کزدید. بقیه برنامه‌ها هم اگه از ssl/tls یا رمزنگاری استفاده کنند، مشخص نمیشه که چی بین برنامه و سرور فرستاده شده.
البته اگه از ssl/tls برای رمزنگاری استفاده نشده، باید دید که دقیقا چیکار کردند و چیز مطمئنی (مثل gpg) هست یا نه.

لازم نیست امضاش رو جعل کنه کافیه امضای فایل دستکاری شده رو به همراه فایل تغییر یافته قرار بده بجای قبلی شما از کجا می فهمی که امضا دستکاری شده ؟

این موضوع مربوط به برنامه های گنو/لینوکس هست یا همه برنامه ها مثلا برنامه های موبایل و...؟

توی گنو/لینوکس، معمولا برنامه‌ها از مخازن نصب میشن. برنامه‌هایی که از مخازن نصب میشن، به طور پیش‌فرض امضای دیجیتال اونها چک میشه. مگه اینکه خودتون به مدیر بسته بگید اینکار رو انجام نده. (که باعث میشه یه راه برای نفوذ باز بشه)
توی گنو/لینوکس امضای دیجیتال معمولا با استفاده از gpg انجام میشه. ولی معمولا اطلاعات از مخازن بدون رمزنگاری دریافت میشه. اطلاعات امضای دیجیتال داره در نتیجه اگه وسط راه تغییر کنه، متوجه میشیم. ولی اطلاعات رمزنگاری نشده و بقیه می‌تونند ببینند که ما چی دریافت کردیم.
اگه از مخازنی استفاده کنید که از ssl/tls پشتیبانی می‌کنه، دیگه این مشکل پیش نمیاد. فکر کنم مخازن اصلی اوبونتو از https پشتیبانی می‌کنند (http + ssl/tls) ولی به طور پیش‌فرض از ssl/tls استفاده نمیشه. درباره این مطمئن نیستم.

برنامه‌های موبایل رو باید از جای مطمئن دانلود کنید مثل خود گوگل‌پلی یا f-droid یا مثلا بزارید خود برنامه خودش رو آپدیت کنه. ممکنه برنامه از رمزنگاری و امضای دیجیتال استفاده کنه تا از صحت اطلاعات دریافت شده مطمئن بشه ممکن هم هست چنین کاری نکنه.
چون سازنده برنامه‌ها معمولا برای برنامه‌ها موبایل امضای دیجیتال فراهم نمی‌کنند، بهترین راه اینه که از یه جای مطمئن برنامه رو دانلود کنید. برای ویندوز هم همینطور برنامه رو از جای مطمئن باید گرفت. چون اگه برنامه رو تغییر بدن و امضای دیجیتال از خود سازنده برنامه یا جای قابل اعتماد وجود نداشته باشه، نمیشه مطمئن شد که برنامه همون هست. برای لینوکس هم حواستون باشه که اگه برنامه‌ای از خارج مخازن نصب میشه، مطمئن باشید که برنامه درست هست. چه کد برنامه باشه که شما کامپایل می‌کنید چه خود فایل اجرایی چه یه اسکریپت. باید مطمئن بشید که این همون هست که ادعا می‌کنه. با استفاده از امضای دیجیتال یا دریافت اطلاعات از خود سازنده با ssl/tls.
کلا باید برنامه‌ها رو از جای مطمئن دریافت کرد. توی گنو/لینوکس هم همینطوره. تقرییا همه‌ی برنامه‌ها از مخازن نصب میشن که یه‌جای مورد اعتماد هست و همه‌ی اطلاعات هم امضای دیحیتال داره. در نتیجه حتی اگه از ssl/tls هم استفاده نشه، باز هم میشه از صحت اطلاعات مطمئن شد.
اینم بگه که gpg در اصل همون نسخه آزاد pgp هست. اگه جایی دیدید بدونید.

البته چیز‌های دیگه هم هستند که دیگه جا نمیشه اینجا گفت. بهتره خودتون درباره امنیت اطلاعات جست‌و‌جو کنید.
می‌تونیداین دوره درباره امنیت اطلاعات رو ببینید. رایگان هم هست. فقط لازمه که توی وبسایت عضو بشید. جلسه پنجم بیشتر با چیز‌هایی که‌گفتیم مرتبط هست. جلسه دهم هم درباره ssl/tls توضیح میده. بقیه جلسات هم اطلاعت زیاد و مفیدی دارند.

[Iranihamed]

دوستان فرمودند اگر سایتی https باشه isp نمی فهمه که به کدامیک از بخشهای سایت مراجعه کردیم، من فکر میکنم این برداشت اشتباست. فرض کنید یوتیوب در ایران فیلتر نیست و از پروتوکل https هم پشتیبانی میکنه، اگر وارد سایت یوتیوب بشم توی آدرس بار مرورگرم نوشته youtube.com ، خب تا اینجا آی اس پی فهمید که به یوتیوب رفتم، اگه به قسمت about سایت مراجعه کنم، آدرسش در داخل آدرس بار میشه: youtube.com/about ، پس باز هم آی اس پی فهمید که من به کجای سایت مراجعه کردم. همینطور در مورد ویدئوهایی که داخل اون سایت باز میکنم هر کدام آدرس منحصر به فرد خودشون رو دارن که در آدرس بارِ مرورگر هم نمایش داده میشه، پس آی اس پی میفهمه که من به چه لینک هایی مراجعه کردم. اون چیزی که آی اس پی نمیفهمه رمز عبور و اطلاعات فرم هستش، نه بخشهای مختلف یک سایت. اگه اشتباه میکنم دوستان راهنمایی کنند.
یکی دیگر از دوستان فرمودند اگر سایتی https باشه، فایل هایی هم که از اون سایت دانلود میکنیم اصالت داره و مثلاً آی اس پی نمیتونه یک فایل تقلبی رو با همون اسم به جای اون فایل قرار بده. من فکر میکنم این برداشت هم اشتباست، تا جایی که اطلاع دارم اولاً پروتکل https فقط اصالت صفحه وب رو تضمین میکنه نه فایلهای دانلودی رو! خود صفحه رو هم به این دلیل که حجمش کم هست و مرورگر میتونه همون لحظه مقداری از صفحه رو لود کنه و داخلش رو باز کنه و استوار نامه رو چک بکنه میتونه تضمین کنه، ولی فایل‌های دانلودی رو نمیتونه قبل از دریافتِ کامل، باز کنه و داخلشون رو چک بکنه. فرضاً که دریافت هم کرد، چنین عملیاتی به صورت پیشفرض براش تعریف نشده، مگر اینکه خودتون هش یا متا دیتای اون فایل رو از یک مسیر مطمئن دریافت کرده باشید و اون دیتا رو به مرورگر یا دانلود منیجر بدید و ازش بخواهید بعد از اتمام دانلود اصالت فایل رو بررسی کنه, که این عملیات هم ربطی به عملیات اول (امنیت پروتوکل https) نداره و یک عملیات جداگانه محسوب میشه که خود کاربر انجامش داده. اگر اشتباه میکنم لطفاً من رو راهنمایی کنید.

[دانیال بهزادی]

برنامه‌های موبایل رو باید از جای مطمئن دانلود کنید مثل خود گوگل‌پلی یا f-droid یا مثلا بزارید خود برنامه خودش رو آپدیت کنه. ممکنه برنامه از رمزنگاری و امضای دیجیتال استفاده کنه تا از صحت اطلاعات دریافت شده مطمئن بشه ممکن هم هست چنین کاری نکنه.
چون سازنده برنامه‌ها معمولا برای برنامه‌ها موبایل امضای دیجیتال فراهم نمی‌کنند، بهترین راه اینه که از یه جای مطمئن برنامه رو دانلود کنید.

البته گوگل‌پلی اصلاً جای مطمينی نیست. تنها جای مطمين،‌مخازن رسمی اف‌دروید هستن که امضا هم دارن

[M!lad]

@Iranihamed

در هر دو مورد اشتباه می‌کنید. درباره HTTPS مطالعه کنید.

[Dragon-]

دوستان فرمودند اگر سایتی https باشه isp نمی فهمه که به کدامیک از بخشهای سایت مراجعه کردیم، من فکر میکنم این برداشت اشتباست.

دارید اشتباه می‌کنید. اون قسمت از url که بعد از / قرار می‌گیره، به سرور میگه که چه صفحه‌ یا فایل یا دایرکتوری رو نشون بده.
سرویس دهنده اینترنت لازم نیست این رو بدونه. فقط سرور سایت این رو لازم داره. پس توی درخواست https این قسمت رمز میشه.

یکی دیگر از دوستان فرمودند اگر سایتی https باشه، فایل هایی هم که از اون سایت دانلود میکنیم اصالت داره و مثلاً آی اس پی نمیتونه یک فایل تقلبی رو با همون اسم به جای اون فایل قرار بده. من فکر میکنم این برداشت هم اشتباست.

باز هم دارید اشتباه می‌کنید. اولا که http و https فقط برای متن و وب نیست. میشه از طریق اون اطلاعات دیگه رو هم انتقال داد.
توی https از hmac استفاده میشه. هر بسته‌ای که قراره ارسال بشه، یه پیام احراز هویت هم همراهش هست. تا از صحت اطلاعات مطمئن شد.
اول یه کلید که موقع وصل شدن ساخته شده، با چیزی به اسم ipad عملیات xor انجام میشه. یه‌بار هم همون کلید با چیزی به اسم opad عملیات xor انجام میشه. نتیجه دوتا چیز میشه به اسم i key pad و o key pad.
i key pad گذاشته میشه سر اون بسته، یه‌بار از چیزی که بدست اومده هش گرفته، بعد o key pad گذاشته میشه سر اون هش درست شده و دوباره هش گرفته میشه. این دوبار هش گرفتن برای این هست که نشه حمله افزایش طول انجام داد.
بعد این هش دومی که بدست اومده، به همراه بسته فرستاده میشه. وقتی مرورگر بسته رو دریافت می‌کنه، همین کار رو انجام میده. اگه هش بدست اومده با چیزی که از سرور دریافت شده یکی باشه، میشه مطمئن شد که اطلاعات رو کسی فرستاده که کلید رو داشته و فقط سرور سایت اون کلید رو داره پس مطمئن میشیم که کسی اطلاعات رو وسط راه تغییر نداده.

برای هر بسته که ارسال میشه، این کار انجام میگیره. اینجوری میشه فهمید که اطلاعات از سرور تا شما تغییر نکرده.
البته این تضمین نمی‌کنه که اطلاعاتی که خود سرور فرستاده، بدونه مشکل هست. برای مثال ممکنه شما یه برنامه رو از جای نا‌مطمئنی دانلود کنید که از https هم استفاده می‌کنه. ولی اونجا، داخل برنامه فایل‌های مخرب قرار داده. https فقط این رو تضمین می‌کنه که کسی نمیفهمه شما چی دریافت کردید و چیزی که دریافت کردید، همون هست که از طرف فرستنده ارسال شده.
یه لینک توی جواب بالاتر فرستادم. اونجا همه‌ی اینها و چیز‌های بیشتری رو هم توضیح داده.