سایت مدرسان شریف رمز عبور من رو هش نکرده باید کجا شکایت کنم؟:(

[mr.soroush]

این عزیزی که میگه من تو فلان جا کار میکنم و بهمان جا!! خنده داره! از همین حرف باید به حال این انجمن تأسف خورد!

من فقط به عنوان یه کاربر این سایت رو چک کردم و به نظرم مشکلی نبود! و به نظرم اگه کسی ذره ای تجربه کار حرفه ای داشته باشه متوجه این موضوع میشه که در هر سایتی نیاز به HASH کردن پسورد نیست! مگه اینکه کلا با مفهوم HASH کردن مشکل داشته باشه!!!


درضمن اگه ذره ای کار برنامه نویسی کرده بودید متوجه میشدید که این سایت NET. ایه!! اونوقت برای من از phpmanual لینک نمیذاشتی!!! همین دلیل کافیه که بحث رو ادامه ندم و وقتم رو تو انجمن هایی با سطح بالاتر صرف کنم!

امیدوارم روزی برنامه نویس های ایرانی به سطح قابل قبولی از درک برنامه نویسی برسن.

خداحافظ «انجمنهای فارسی اوبونتو»!!!!

[سالار مقدم]

این عزیزی که میگه من تو فلان جا کار میکنم و بهمان جا!! خنده داره! از همین حرف باید به حال این انجمن تأسف خورد!

من فقط به عنوان یه کاربر این سایت رو چک کردم و به نظرم مشکلی نبود! و به نظرم اگه کسی ذره ای تجربه کار حرفه ای داشته باشه متوجه این موضوع میشه که در هر سایتی نیاز به HASH کردن پسورد نیست! مگه اینکه کلا با مفهوم HASH کردن مشکل داشته باشه!!!

درضمن منم لزومی به ادامه بحث نمیبینم! امیدوارم روزی برنامه نویس های ایرانی به سطح قابل قبولی از درک برنامه نویسی برسن.

خداحافظ «انجمنهای فارسی اوبونتو»!!!!

امیدوارم روزی مسولین بی مسولیت ایران چیزی از مسولیت بفهمند ...
خدافظ آقا سروش

[mr.soroush]

این عزیزی که میگه من تو فلان جا کار میکنم و بهمان جا!! خنده داره! از همین حرف باید به حال این انجمن تأسف خورد!

من فقط به عنوان یه کاربر این سایت رو چک کردم و به نظرم مشکلی نبود! و به نظرم اگه کسی ذره ای تجربه کار حرفه ای داشته باشه متوجه این موضوع میشه که در هر سایتی نیاز به HASH کردن پسورد نیست! مگه اینکه کلا با مفهوم HASH کردن مشکل داشته باشه!!!

درضمن منم لزومی به ادامه بحث نمیبینم! امیدوارم روزی برنامه نویس های ایرانی به سطح قابل قبولی از درک برنامه نویسی برسن.

خداحافظ «انجمنهای فارسی اوبونتو»!!!!

امیدوارم روزی مسولین بی مسولیت ایران چیزی از مسولیت بفهمند ...
خدافظ آقا سروش

جای توهم زدن و حرفهای پوشالی زدن درک برنامه نویسی تون رو بالا ببرید! گرچه به نظرم توقع بیجاییه! اینجا همونطور که از اسمش پیداست انجمن «اوبونتو» هست و کاربراش لزوما برنامه نویس نیستن! اما متعجبم چرا درمورد مسائل تخصصی برنامه نویسی که چیزی ازش سردرنمیارن بحث میکنن!
Good Luck

[سالار مقدم]

این عزیزی که میگه من تو فلان جا کار میکنم و بهمان جا!! خنده داره! از همین حرف باید به حال این انجمن تأسف خورد!

من فقط به عنوان یه کاربر این سایت رو چک کردم و به نظرم مشکلی نبود! و به نظرم اگه کسی ذره ای تجربه کار حرفه ای داشته باشه متوجه این موضوع میشه که در هر سایتی نیاز به HASH کردن پسورد نیست! مگه اینکه کلا با مفهوم HASH کردن مشکل داشته باشه!!!

درضمن منم لزومی به ادامه بحث نمیبینم! امیدوارم روزی برنامه نویس های ایرانی به سطح قابل قبولی از درک برنامه نویسی برسن.

خداحافظ «انجمنهای فارسی اوبونتو»!!!!

امیدوارم روزی مسولین بی مسولیت ایران چیزی از مسولیت بفهمند ...
خدافظ آقا سروش

جای توهم زدن و حرفهای پوشالی زدن درک برنامه نویسی تون رو بالا ببرید! گرچه به نظرم توقع بیجاییه! اینجا همونطور که از اسمش پیداست انجمن «اوبونتو» هست و کاربراش لزوما برنامه نویس نیستن! اما متعجبم چرا درمورد مسائل تخصصی برنامه نویسی که چیزی ازش سردرنمیارن بحث میکنن!
Good Luck

چون به امنیت خودمون در فضای مجازی اهمیت میدیم ... در ضمن هش کردن یه پسورد تخصص برنامه نویسی میخواد؟

[mr.soroush]

اون دوستی که میگه پسورد رو بهت رو دسکتاپت نشون میده، من رفتم فقط به خاطر این انجمن وقت گذاشتم و تو این سایت ثبت نام کردم برای اینکه ببینم بازیابیش چجوریه.

اول بهت میگه شماره موبایلت رو بده. خوب اینجا مثلا من هم میتونم برم شماره موبایل یکی دیگه رو بدم و ادامه بدم.

مرحله بعد ازت میخواد اننتخاب کنی که پسورد رو برات SMS کنن یا میخوای سؤال امنیتی رو جواب بدی و از این طریق پسوردت رو بازیابی کنی.

من اول زدم SMS و رمز عبورم برام SMS شد چون گوشی خودم دست خودمه و اگه تو مرحله اول شماره کس دیگه ای رو وارد کرده باشی، SMS رو دریافت نمیکنی و SMS برای شماره ای فرستاده میشه که گوشی دستشه! فکر میکنم واضحه که مشکلی نداره! مگه اینکه گوشیت رو دزدیده باشن و بخوان باهاش رمز عبورت تو این سایت رو بازیابی کنن!!!

روش دوم پاسخ دادن به سؤال امنیتیه. سؤال امنیتی که باهاش آشنا هستی؟! تمام سایتهای معتبر دنیا مثل جی میل و یاهو و فیسبوک و... از این فرمت بازیابی رمز عبور استفاده میکنن! سؤال امنیتی رو کاربر موقع پر کردن فرم جواب میده و برای بازیابی رمز عبور دقیقا همون کلمه ای که کاربر موقع ثبت نام وارد کرده باید وارد بشه تا فرآیند بازیابی کامل بشه.
امکان پاسخ دادن سؤال امنیتی دقیقا همونطوری که کاربر اصلی وارد کرده، وجود داره اما احتمالش بسیار بسیار پایینه!
البته این سایت بعد از اینکه سؤال امنیتی رو جواب میدی، رمز عبور رو برات نشون میده که این قسمتش به نظرم میتونست دیگه به کاربر نشون نده پسورد رو و این یک عیبه. اگه بعد از درست بودن سؤال امنیتی رمز عبور رو برای کاربر SMS میکرد بنابر توضیحاتی که بالا دادم مشکلی نبود. اما این قسمتش یکم میلنگه!

درکل موفق باشید

[mr.soroush]

این عزیزی که میگه من تو فلان جا کار میکنم و بهمان جا!! خنده داره! از همین حرف باید به حال این انجمن تأسف خورد!

من فقط به عنوان یه کاربر این سایت رو چک کردم و به نظرم مشکلی نبود! و به نظرم اگه کسی ذره ای تجربه کار حرفه ای داشته باشه متوجه این موضوع میشه که در هر سایتی نیاز به HASH کردن پسورد نیست! مگه اینکه کلا با مفهوم HASH کردن مشکل داشته باشه!!!

درضمن منم لزومی به ادامه بحث نمیبینم! امیدوارم روزی برنامه نویس های ایرانی به سطح قابل قبولی از درک برنامه نویسی برسن.

خداحافظ «انجمنهای فارسی اوبونتو»!!!!

امیدوارم روزی مسولین بی مسولیت ایران چیزی از مسولیت بفهمند ...
خدافظ آقا سروش

جای توهم زدن و حرفهای پوشالی زدن درک برنامه نویسی تون رو بالا ببرید! گرچه به نظرم توقع بیجاییه! اینجا همونطور که از اسمش پیداست انجمن «اوبونتو» هست و کاربراش لزوما برنامه نویس نیستن! اما متعجبم چرا درمورد مسائل تخصصی برنامه نویسی که چیزی ازش سردرنمیارن بحث میکنن!
Good Luck

چون به امنیت خودمون در فضای مجازی اهمیت میدیم ... در ضمن هش کردن یه پسورد تخصص برنامه نویسی میخواد؟

به نظرم چون به امنیت خودتون «شک» دارید!
درضمن موافقم تخصص بالایی نیازی نداره، اما به درک برنامه نویسی نیاز داره که بدونی کجا پسوردت رو HASH کنی و کجا نیازی به این کار نیست!
درسته HASH کردن پسورد یکی از اصول کار امنیته اما باید یاد بگیریم همیشه نیازی به رعایت کردن تمام اصول نیست!

[سالار مقدم]

این عزیزی که میگه من تو فلان جا کار میکنم و بهمان جا!! خنده داره! از همین حرف باید به حال این انجمن تأسف خورد!

من فقط به عنوان یه کاربر این سایت رو چک کردم و به نظرم مشکلی نبود! و به نظرم اگه کسی ذره ای تجربه کار حرفه ای داشته باشه متوجه این موضوع میشه که در هر سایتی نیاز به HASH کردن پسورد نیست! مگه اینکه کلا با مفهوم HASH کردن مشکل داشته باشه!!!

درضمن منم لزومی به ادامه بحث نمیبینم! امیدوارم روزی برنامه نویس های ایرانی به سطح قابل قبولی از درک برنامه نویسی برسن.

خداحافظ «انجمنهای فارسی اوبونتو»!!!!

امیدوارم روزی مسولین بی مسولیت ایران چیزی از مسولیت بفهمند ...
خدافظ آقا سروش

جای توهم زدن و حرفهای پوشالی زدن درک برنامه نویسی تون رو بالا ببرید! گرچه به نظرم توقع بیجاییه! اینجا همونطور که از اسمش پیداست انجمن «اوبونتو» هست و کاربراش لزوما برنامه نویس نیستن! اما متعجبم چرا درمورد مسائل تخصصی برنامه نویسی که چیزی ازش سردرنمیارن بحث میکنن!
Good Luck

چون به امنیت خودمون در فضای مجازی اهمیت میدیم ... در ضمن هش کردن یه پسورد تخصص برنامه نویسی میخواد؟

به نظرم چون به امنیت خودتون «شک» دارید!
درضمن موافقم تخصص بالایی نیازی نداره، اما به درک برنامه نویسی نیاز داره که بدونی کجا پسوردت رو HASH کنی و کجا نیازی به این کار نیست!
درسته یکی از اصول کار امنیته اما باید یاد بگیریم همیشه نیازی به رعایت کردن تمام اصول نیست!

این دقیقا همون اصلیه که هکر ها دوست دارند بقیه رعایت کنند!

[mr.soroush]

این عزیزی که میگه من تو فلان جا کار میکنم و بهمان جا!! خنده داره! از همین حرف باید به حال این انجمن تأسف خورد!

من فقط به عنوان یه کاربر این سایت رو چک کردم و به نظرم مشکلی نبود! و به نظرم اگه کسی ذره ای تجربه کار حرفه ای داشته باشه متوجه این موضوع میشه که در هر سایتی نیاز به HASH کردن پسورد نیست! مگه اینکه کلا با مفهوم HASH کردن مشکل داشته باشه!!!

درضمن منم لزومی به ادامه بحث نمیبینم! امیدوارم روزی برنامه نویس های ایرانی به سطح قابل قبولی از درک برنامه نویسی برسن.

خداحافظ «انجمنهای فارسی اوبونتو»!!!!

امیدوارم روزی مسولین بی مسولیت ایران چیزی از مسولیت بفهمند ...
خدافظ آقا سروش

جای توهم زدن و حرفهای پوشالی زدن درک برنامه نویسی تون رو بالا ببرید! گرچه به نظرم توقع بیجاییه! اینجا همونطور که از اسمش پیداست انجمن «اوبونتو» هست و کاربراش لزوما برنامه نویس نیستن! اما متعجبم چرا درمورد مسائل تخصصی برنامه نویسی که چیزی ازش سردرنمیارن بحث میکنن!
Good Luck

چون به امنیت خودمون در فضای مجازی اهمیت میدیم ... در ضمن هش کردن یه پسورد تخصص برنامه نویسی میخواد؟

به نظرم چون به امنیت خودتون «شک» دارید!
درضمن موافقم تخصص بالایی نیازی نداره، اما به درک برنامه نویسی نیاز داره که بدونی کجا پسوردت رو HASH کنی و کجا نیازی به این کار نیست!
درسته HASH کردن پسورد یکی از اصول کار امنیته اما باید یاد بگیریم همیشه نیازی به رعایت کردن تمام اصول نیست!

این دقیقا همون اصلیه که هکر ها دوست دارند بقیه رعایت کنند!

دوست عزیز پیامم رو ویرایش کردم اما مثل اینکه شما متوجه نشدید!
درسته HASH کردن پسورد یکی از اصول کار امنیته اما باید یاد بگیریم همیشه نیازی به رعایت کردن تمام اصول نیست!

به نظرم اولین اصل امنیت اینه که خودت از امنیت کارت مطمئن باشی و بهش شک نداشتی باشی! حالا در این بین اصول روتین امنیت رو (مثل HASH کردن پسوردو..) رعایت نکردی هم نکردی!!

درضمن اگه بی احترامی ای از جانب من به اعضای این انجمن صورت گرفت عذرخواهی منو بپذیرید.
با تشکر از همه شما

[!]

با یک نگاه به تاریخ ایجاد و این تاپیک و تاریخ شروع دوبارش تقریبا یچیزایی روشن میشه

بعدش برنامه نویسای خوب مسائل اولیه ی امنیت رو انتظار داریم درک کنن و لااقل یک امکانی بزارن که اگه پسورد یارو یه جایی لو رفت بتونن عوضش کنن و البته اشکال نداره اینو میزاریم پای درک نداشته ی دوستان از مفاهیم برنامه نویسی، مهندسی نرم افزار و صد البته امنیت.

نمیشه کاریشون کرد نهایتش این حرف جادیه :

کارشون هیچ جای دنیا جرم نیست و فقط مشکلش اینه که همه می گن «بابا اینا عجب بیسوادایی هستن» و باهاشون کار نمی کنن.

و آقای سروش شما هم بدون منطق به بحث چیز نچسبونین و سعی نکنین از کسایی که احساس عمومی اینه که سرشون به تنشون پنالتی میزنه دفاع کنین.

جای بحث بیشتری نداره این تاپیک تو انجمن چون احساس میکنم هیچ ربطی نداره به اینجا و دیگه بحث اضافیه.


اگه مشکلی بود من این بحث رو تو فروم تخصصی برنامه نویس یک تاپیک ایجاد میکنم که بحث علمی تر و خب با حضور اساتید .net باشه بلکم ما اشتباه کنیم و تو .net اگه امنیت رعایت بشه و هش کنیم پسوردارو کارمون اشتباهه 

[!]

البته متذکر بشم که ازونجایی که بقول دوستمون تو ایران توسعه دهنده ها دو دسته اند:

دسته ی اول : برنامه نویس ها که عموما کارهای خفن انجام میدن و دوستشون داریم که خب .net هم کار میکنن و میدونن که مفاهیم امنیت و برنامه نویسی تو زبانهای مختلف تفاوتی نداره، مثلا هش کردن و این تفاوتها تو نحوه پیاده سازی و سینتکس ها و روش های مهندسیه.

دسته ی دوم : .net کارها که لزوما برنامه نویس نیستن!


خب اینو بیخیال؛
سری میزنیم به msdn، جایی که اون زمان که ویندوزی بودم زیاد بهش سر میزدم و یکی از شاهکارهای مایکروسافته با داکیومنتیشن عالیش درمورد کانسپتهای برنامه نویسی و البته پلتفورم . net :

Profiles Encryption and Decryption

It is important to encrypt sensitive Profiles data, such as passwords and credit card numbers. If data is not encrypted, it is stored in the database in clear text, allowing any user that has access to the applicable database table to view sensitive data.

http://msdn.microsoft.com/en-us/library/aa544793%28v=cs.70%29.aspx

How to Validate Passwords

You cannot simply read encrypted data from the database and decrypt it. This action would present a potential compromise to sensitive data. Instead, you must compare, or validate, known data against encrypted data stored in the database. For example, you can validate a user's password that is typed into a Web page text box against encrypted passwords stored in the Profiles database. The fact that data is encrypted when it is stored and cannot be decrypted is known as one-way encryption.

This topic explores how to validate passwords, but the same concept can be applied to any encrypted data stored in Commerce Server.

The process of validating passwords and other data is complex. It consists of this process:

    Determine how the password is stored in the Profiles System.

    If the password is not encrypted or is asymetrically encrypted, compare the clear text password with the value stored in the Profiles System.

    If the password is encrypted with a one-way hash, strip the salt value from the password hash stored in the Profiles System. A salt value is a byte sequence that you use to hash the clear text passwords. For more information, see How to Hash Passwords.

    You hash the clear text password by using the salt value. You use the hashed value to compare the clear text password against the encrypted password stored in the database. For more information, see How to Hash Passwords.

To validate a password

    Create a function called VerifyPassword that retrieves a user's password from the Profiles System.

    Hash the password and compare it to the user's entered password.

    Inside the VerifyPassword function, create a CommerceContext object and call the GetProfile method.

    Retrieve the Password property from the UserProfile property collection.

    Create a function called VerifyHashedPassword that compares the user's entered password against a hashed password. This function will use the HashPassword function that is described in How to Hash Passwords.

http://msdn.microsoft.com/en-us/library/aa545760%28v=cs.70%29.aspx

بقیشم حال ندارم بنویسم فقط لینک میزارم که کمی از .net بیشتر بدونید و جلوی یکی که یک زمان .net کار بود از مفاهیم من درآوردی و غلط دفاعی نکنید :

http://msdn.microsoft.com/en-us/library/aa544648%28v=cs.70%29.aspx

http://msdn.microsoft.com/en-us/library/aa544762%28v=cs.70%29.aspx

http://msdn.microsoft.com/en-us/library/aa545602%28v=cs.70%29.aspx

http://msdn.microsoft.com/en-us/library/aa545949%28v=cs.70%29.aspx

و صدها مورد دیگر از کمپانیه دوست و برادر، مایکروسافت 

[سجاد !]

بله دات نت در سطح مبتدی امنیت بالا تری رو نسبت به پی اچ پی ایجاد میکنه
جایی که کلا هش مطرح نیست
اما در سطح حرفه ای به مفاهیم مشابهی میرسن که در یک سطح عمل میکنن

هش یک طرفه هست و امیدوارم دوستمون که باهاش مخالفت میکنن بدونن(یعنی اگه هش شه دیگه رمز رو بهت نخواهد داد و فقط باید تغییرش بدی)
و این که رمز من در یک سایتی هش نشه به این معنا هست که پسورد من به طور واضح در دیتابیس قرار گرفته(البته ممکنه خیلی واضح نباشه و فقط به صورت قابل برگشت کد شده باشه که بعدا دیکد شه(که البته اینم غلطه))

و به خاطر همینه که میتونه پسورد منو بهم برگردونه . یعنی هرکسی بتونه به دیتابیس دسترسی داشته باشه میتونه پسورد و ایمیل و... منو به راحتی ببینه

فرض کنیم من تنها کسی هستم که به هاست دسترسی دارم و امنیت سایتم در بالا ترین سطح هست که هیچکس نمیتونه نفوذ کنه
با این حال من خودم که میتونم پسورد مردمو ببینم
و این امنیت مردمو به خطر میندازه

خیلی ها پسوردشون عمومیه و نمیتونن 100 تا پسورد مختلف واسه سایت های مختلف داشته باشن
خب من میتونم به ایمیل خیلی ها دسترسی داشته باشم
من میتونم اطلاعات بفروشم

و حتی اگر هم این کار رو نکنم. اگر همچین اتفاقی برای کسی بیوفته که مثلا اطلاعاتش به فروش بره اولین کسی که متهم میشه من هستم
چون نتونستم به کاربرم ثابت کنم که اطلاعاتش امنه(با دادن پسورد به خودش)
 
پس اولین مشکل برای خود منه!

[!]

یک مساله ی جالبی که برام بود یزمان این بود که یکی اومد و به شدت از مدرسان شریف و سایتش دفاع کرد.

الان میفهمم چرا با جستوجوی کلمه ی سایت مدرسان شریف این تاپیک یکی از پیشنهادهای صفحات اوله گوگله 

[پیام]

اینجا تو ایران فقط صورت مسئله رو پاک میکنن منم که میگم هکش کنیم بعد کاری که با ایران داک انجام شد بکنید رو home page  ایران داک بزرگ نوشته بود هر چی گشتم برای ثبت نام جایی پیدا نکردم هکش کردم