اشتباه نابخشودنی موزیلا

[mintman]

به گزارش linuxsecurity.com سرور افزودنی های موزیلا اواسط دسامبر فایلی حاوی اطلاعات کاربران ثبت شده خود را به اشتباه در دسترس قرار داده و قابل دانلود بوده است.
لینک خبر :

http://www.linuxsecurity.com/content/view/154042?rdf

[RCLord]

اونوقت این یعنی چی ؟ یعنی اطلاعاتی همچون رمز عبور و ....

[mintman]

بله! دقیقا

[کرگدن]

درود

۱- این اطلاعات مربوط به کاربران غیر فعال بوده و نه کاربران فعال
۲- پسورد ها به طور md5 ذخیریه میشن که در عمل نمیشه ازشون استفاده خاصی کرد و پسورد اصلی رو بدست آورد

این کار خیلی بی دقتی بزرگی بوده ولی خوشبختانه خیلی اطلاعات مهمی نبوده ( مگر برای کار هایی که اطلاعات کاربران رو جمع می کنند)
البته اگر در آینده این اتفاق در مورد اطلاعات مهم تکرار نشه

[fzerorubigd]

درود

۱- این اطلاعات مربوط به کاربران غیر فعال بوده و نه کاربران فعال
۲- پسورد ها به طور md5 ذخیریه میشن که در عمل نمیشه ازشون استفاده خاصی کرد و پسورد اصلی رو بدست آورد

این کار خیلی بی دقتی بزرگی بوده ولی خوشبختانه خیلی اطلاعات مهمی نبوده ( مگر برای کار هایی که اطلاعات کاربران رو جمع می کنند)
البته اگر در آینده این اتفاق در مورد اطلاعات مهم تکرار نشه

دقیقا با همه حرفها موافقم جز اون قسمت که میگه در عمل نمیشه ازشون استفاده خاصی کرد.
یکی از مشکلات hash (مثلا md5 ) اینه که محدوده.
یعنی طول نتیجه md5 ثابته (فکر کنم ۱۲۸ بیت) یعنی تعداد حالات محدوده (زیاده ولی بی نهایت نیست) در مقابل تعداد کلمات بینهایته. طبق اصل لانه کبوتری (یادش بخیر جبر دبیرستان) بینهایت کلمه وجود دارن که میتونن md5 یکسان داشته باشن. طبیعیه که کافیه یه دیتابیس وجود داشته باشه که حاوی همه md5 ها (یا دست کم یه حوزه وسیع) باشه، یعنی عملا md5 قابل اعتماد نیست
اینه که معمولا در عمل md5 و sha رو استفاده میکنن یه سری salt هم بهش اضافه میکنن و ...
این کار موزیلا خیلی !!! مگه اینکه md5 یه چیزی هم باهاش داشته باشه که بی ارزش بشه اون اطلاعات.

[کرگدن]

درود

۱- این اطلاعات مربوط به کاربران غیر فعال بوده و نه کاربران فعال
۲- پسورد ها به طور md5 ذخیریه میشن که در عمل نمیشه ازشون استفاده خاصی کرد و پسورد اصلی رو بدست آورد

این کار خیلی بی دقتی بزرگی بوده ولی خوشبختانه خیلی اطلاعات مهمی نبوده ( مگر برای کار هایی که اطلاعات کاربران رو جمع می کنند)
البته اگر در آینده این اتفاق در مورد اطلاعات مهم تکرار نشه

دقیقا با همه حرفها موافقم جز اون قسمت که میگه در عمل نمیشه ازشون استفاده خاصی کرد.
یکی از مشکلات hash (مثلا md5 ) اینه که محدوده.
یعنی طول نتیجه md5 ثابته (فکر کنم ۱۲۸ بیت) یعنی تعداد حالات محدوده (زیاده ولی بی نهایت نیست) در مقابل تعداد کلمات بینهایته. طبق اصل لانه کبوتری (یادش بخیر جبر دبیرستان) بینهایت کلمه وجود دارن که میتونن md5 یکسان داشته باشن. طبیعیه که کافیه یه دیتابیس وجود داشته باشه که حاوی همه md5 ها (یا دست کم یه حوزه وسیع) باشه، یعنی عملا md5 قابل اعتماد نیست
اینه که معمولا در عمل md5 و sha رو استفاده میکنن یه سری salt هم بهش اضافه میکنن و ...
این کار موزیلا خیلی !!! مگه اینکه md5 یه چیزی هم باهاش داشته باشه که بی ارزش بشه اون اطلاعات.

معمولا این کار رو می کنن (که در آخر گفتید )
در مورد md5 می دونم این قضیه رو ولی اصلا به این شکلی که شما می گید نیست
یعنی در این حد نیست و خیلی خیلی سخت میشه این حالت رو به وجود آورد ( ولی حرفتون کاملا درسته و از نظر امکان داشتن امکان داره )
( همچنین شرایط string و محدودیت های انتخاب پسورد رو هم در نظر بگیرید که ممکنه حالت هایی رو هم حذف کنه )
به طوری که یک نفر که بعد از ۷ ۸ سال از عمر md5 می گذره امسال تونست دو رشته مشابه پیدا کنه و جایزه ۱۰ هزار دلاری رو ببره
برای همین هم گفتم در عمل

موزیلا هم از۲۰۰۹ sha  استفاده می کنه
و این مربوط به کاربران غیر فعال قدیمیشون بوده

[rezass]

به طوری که یک نفر که بعد از ۷ ۸ سال از عمر md5 می گذره امسال تونست دو رشته مشابه پیدا کنه و جایزه ۱۰ هزار دلاری رو ببره
برای همین هم گفتم در عمل

البته پیدا کردن دو رشته مشابه که فکر کنم الان کاری نداره.
ولی بحث سر اینه که یه رشته حداقل تعداد بیتش رو تغییر داد تا md5 یکی بشه دو تا پروفسور چینی همین ماه قبل فکر کنم یه روش پیدا کردن و یه جایزه هم گذاشتن برای کسی که بتونه با عوض کردن دو تا بیت یه رشته ۵۱۲ بیتی md5 یکسان بسازه. تا سال ۲۰۱۳ هم وقت دادن و ۱۰ هزار دلار جایزه

[کرگدن]

به طوری که یک نفر که بعد از ۷ ۸ سال از عمر md5 می گذره امسال تونست دو رشته مشابه پیدا کنه و جایزه ۱۰ هزار دلاری رو ببره
برای همین هم گفتم در عمل

البته پیدا کردن دو رشته مشابه که فکر کنم الان کاری نداره.
ولی بحث سر اینه که یه رشته حداقل تعداد بیتش رو تغییر داد تا md5 یکی بشه دو تا پروفسور چینی همین ماه قبل فکر کنم یه روش پیدا کردن و یه جایزه هم گذاشتن برای کسی که بتونه با عوض کردن دو تا بیت یه رشته ۵۱۲ بیتی md5 یکسان بسازه. تا سال ۲۰۱۳ هم وقت دادن و ۱۰ هزار دلار جایزه

پیدا کردن دو رشته با یک نتیجه md5 ( چون  نتیجه مهم نیست و فقط یکسان بودنشون مهمه )راحت تر ( و حتی این هم به اون آسونی که میگید نیست وگرنه مسابقه و جایزه ی این چنینی ندتاشت ) از پیدا کردن یک رشته برای نتیجه ی یک md5 هست ( md5 یک الگوریتم یک طرفه هست و .....)

در هر صورت موزیلا پسورد این اکانت های غیر فعال رو عوض کرده و بهشون پیشنهاد داده که پسورد رو ریست کنند

[mintman]

غیر فعال بودن چه اهمیتی  داره مهم اینه که اطلاعات شخصی از جمله آدرس ایمیل و خیلی چیزهای دیگه در دسترس بوده یعنی مثلا شما چند وقت نیای ایجا و غیرفعال بکنن شما رو بطور مثال البته خوبه اطلاعاتت رو بگذارند حراج.

[fzerorubigd]

غیر فعال بودن چه اهمیتی  داره مهم اینه که اطلاعات شخصی از جمله آدرس ایمیل و خیلی چیزهای دیگه در دسترس بوده یعنی مثلا شما چند وقت نیای ایجا و غیرفعال بکنن شما رو بطور مثال البته خوبه اطلاعاتت رو بگذارند حراج.

خیلی چیزهای دیگه.... مثلا؟ نه اینو یه کم شلوغش کردن. اطلاعات دیگه جز ایمیل نبوده. در ثانی، شما این گیر رو به خیلی جاها که رسما دارن اینکارو میکنن نمیدی؟ مثلا یه نفر برمیگرده میگه : ما میتونیم میل همه رو ظرف ۲۴ ساعت بخونیم (نقل قول از یه بنده خدا!! بگرد تو اینترنت میفهمی کی) ما ککمون نمیگزه! (گر چه همه میدونن چرت میگه مهم نفس اینه که به خودشون اجازه میدن و اینو حق خودشون میدونن) اونوقت میایم گیر میدیم به مثلا OpennSSh که با صداقت اعلام میکنه که احتمالا!! توی کدش یه backdoor قرار گرفته و دارن میگردن که خنثی کنن البته اگه باشه!
--
من کلا موافق این که موزیلا این اشتباه رو کرده نیستم. اما باید فرق گذاشت بین اشتباه، و عمد. از این اشتباهات خیلی پیش میاد فقط بر اساس سیاست شرکت ممکنه هیچ کس نفهمه! یعنی اونی که حرفی ازش نیست، به معنی این نیست که اصلا هیچ حرفی نیست. مثلا اینکه facebook الان رسما داره اینکار رو انجام میده چرا همچین تاپیکی با موضوع facebook پیدا نمیشه؟؟

[کرگدن]

غیر فعال بودن چه اهمیتی  داره مهم اینه که اطلاعات شخصی از جمله آدرس ایمیل و خیلی چیزهای دیگه در دسترس بوده یعنی مثلا شما چند وقت نیای ایجا و غیرفعال بکنن شما رو بطور مثال البته خوبه اطلاعاتت رو بگذارند حراج.

مسلما شما فرق بین حراج گذاشتن - عمل غیر عمدی و عمدی رو می دونید

اشتباه پیش میاد خیلی از سیستم ها هستن که این مشکلات براشون پیش میاد
مهم بر خورد و اصلاح هست

همین قضیه به یه شکل دیگه در فیس بوک پیش اومد ( به طوری که روبوت ها اطلاعات ملیون ها نفر که شامل آدرس تلفن ایمیل تحصیلات و..... کاربران میشه رو بدست آوردن ) و فیس بوک دائما در حال تغییر سیستم خودش هست تا این موارد کمتر و کمتر بشه

یا خیلی از سیستم های تجاری که بسیار حساس هستن مثل بانک ها و بیمه و بورس تا حالا بهشون نفوذ شده و اطلاعات شخصی و تجاری و مالی و خیلی حساس که موجب تغییر در سهام و یا زندگی هزاران نفر میشه مورد نفوذ قرار گرفتن که اکثر این مشکلات به خاطر وجود مشکلی در محصولات اصلی ( مثل وب سرور - دیتابیس ها وسیستم عامل ها و... ) و یا نحوه ی استفاده و کانفیگ اونها در محیط عملیاتی بوده
شما هیج محصول و نرم افزار بدون مشکل ( و در نتیجه بدون مشکل امنیتی ) در دنیا نمی تونید پیدا کنید ( بحث امنیت هم نسبی هست و هیچ وقت به امنیت ۱۰۰ درصد نمی رسید )
این مشکلات همیشه پیش میاد و همه سیستم عامل ها و وب سرور ها و دیتا بیس ها و کارمندان شرکت ها و برنامه نویس ها اشتباه می کنند
این مهمه که کدوم محصولات مشکلات کمتری دارن، در صورت مشکل کدوم ها زودتر مشکل رو رفع می کنن ، اطلاع رسانی مناسبی برای جلوگیری می کنن و همچنین در آینده چطور رفتار می کنند که این اشتباه ها کمتر بشه

برای مثال همون openbsd که در یک تاپیک دیگه در موردش گفتید ( که در صورت مشخص شدن خیلی خیلی حساس تر از این قضیه هست )
یک سیستم مثل openbsd یکی از امن ترین سیستم هاست
در اولین مراحل خبر رو منتشر می کنن و از همه کاربران درخواست کمک می کنن
به همه در مورد احتمال وجود مشکل خبر می دن
تیمی رو برای بازبینی قسمت های مورد نظر میذارن ( که در این میان دو تا باگ بی ربط به این قضیه هم پیدا میشه )
تمام کامیت ها روی سورس بررسی میشن ( و چیز جالبی که شنیدم ( البته ۱۰۰ مطمئن نیستم ) برای کد زدن در قسمت های حساس مثل openssh برنامه نویس های آمریکا به کانادا می رفتن و همونجا کد می زدن و حتی انقدر حساس بودن )
این رفتار هست که openbsd رو امن ترین سیستم عامل دنیا می کنه ( امنیت از رو هوا که نمیاد )
البته این سیستم عامل هم امنیت ۱۰۰ درصد رو تضمین نمی کنه و ادعای بی ایراد بودن نمی کنه

انسان ها به دنیا اومدن که اشتباه کنند و یاد بگیرند که چطور از اشتباهشون درس بگیرن ( تجربه ) و خودشون رو بهتر کنن

ویرایش: خیلی از حرفام رو دوستمون زد قبل از اینکه ایشون پست بزنن این مطلب رو نوشته بودم که چون یکم طولانی تر شد بعد از پست ایشون اومد

[fzerorubigd]

به شدت با کرگدن موافقم!!!
ms میاد و کلی پچ میده هر هفته. در مورد ۸۰ درصدشون حتی اعلام نمیکنه مشکل چی بوده، چند وقته این مشکل وجود داره و ... اونوقت ما میایم سریعا میگیم فلانی یه اشتباه غیر عمدی کرد و باید اعدام بشه اصلا!!!! یادمون نره، این شرکت داره برای ما یه محصول رایگان تا حد ممکن قابل اعتماد ایجاد میکنه که ما رو از شر شرکتهایی مثل ms راحت کنه!
یا اون قضیه bsd یه نفر اومده یه کار نافرم و ناجور انجام داده و این که ما اینجوری رفتار میکنیم رسما میشه توهین به همه اون کسایی که برای این پروژه زحمت کشیدن و هیچ کار ناشایستی هم حتی به ذهنشون خطور نکرده.