يك پرسش فوري و مهم در مورد امنيت هاست.

Jondan

New Member
سلام دوستان عزيز.
من چند وقت پيش هاستم رو از يك شركتي خريدم. :)
مي دونم سوالم رو بهتره از يك انجمن مربوط به هك بپرسم.اول اين موضوع رو تو سايت آشيانه مطرح كردم ولي جواب درست و درموني نگرفتم.

چند روز پيش داشتم هاستم رو اسكن مي كردم. ديدم يك مورد SSL weak ciphers رو پيدا كرد. خوب احتمالا وقتي يك اسكنر مشكلي رو پيدا مي كنه حتما امنيتيه ديگه.

براي همين يك تيكت زدم به پشتيباني و اين موضوع رو گفتم و اونها هم جواب دادند.

با توجه به اینکه مشکل سایفر اس.اس.ال ضعیف یک ایراد امنیتی سطح متوسط بدین صورت بوده که شخصی که بین سیستم شما و سرور قرار دارد با دریافت اطلاعات ردوبدل شده ممکن است بتواند آنرا رمزگشایی کند و در حال حاضر حتی گواهینامه اس.اس.ال نیز برای سایت خود تهیه نکرده‌اید این مسئله نشاندهنده ضعف یا قوت امنیتی نبوده و سایتهایی که دارای گواهینامه معتبر نیستند با استفاده از قویترین پروتکل٬ کلید و الگوریمتها نیز از حمله
Man-in-the-middle
در امان نخواهند بود زیرا قادر به تشخیص اینکه گواهینامه ارسالی از سرور بوده یا شخص دیگری روی شبکه٬ برای کاربر سایت امکانپذیر نخواهد بود.

چنانچه اطلاعات مورد نقل و انتقال دارای درجه اهمیت بالا و محرمانه می‌باشد می‌توانید برای سایت خود گواهینامه اس.اس.ال به همراه آی.پی اختصاصی تهیه کنید و بعد از آن تنظیمات مربوطه در این رابطه نیز برای سایت شما انجام خواهد شد.

در مورد جواب آقای
xxxxxx
در لینک ارسالی نیز لازم به ذکر است که چنانچه به نظر شما روی سایت شما اس.اس.ال فعال است می‌توانید به سادگی آدرس سایت را به صورت
https://site.com
در نوار آدرس مرورگر اینترنت خود وارد کرده و نتیجه را مشاهده بفرمایید.

سایت شما نمایش داده نخواهد شد و به جای آن بطور ساده یک پیغام مبنی بر کارکرد صحیح آپاچی نمایش داده می‌شود و این موضوع به این دلیل است که قبلا یکی از کاربران روی یکی از سرورها بعد از فیلتر شدن سایت اقدام به فعال کردن اس.اس.ال در دایرکت.ادمین و تبلیغ آن برای دور زدن فیلترینگ از این طریق در سایت خود کرده بود که به این دلیل پورت اس.اس.ال آی.پی اشتراکی آن سرور از طرف مخابرات مسدود شد و به همین دلیل این امکان که قبلا به صورت پیشفرض فعال بود حذف شد.

برای شروع آشنایی در این موارد می‌توانید به لینکهایی مانند
http://en.wikipedia.org/wiki/SSL
http://en.wikipedia.org/wiki/Transport_Layer_Security
http://en.wikipedia.org/wiki/Public_key_infrastructure
http://en.wikipedia.org/wiki/Man-in-the-middle_attack
مراجعه فرمایید و برای اطلاعات دقیقتر نیز منابع زیادی در اینترنت قابل جستجو و دسترسی می‌باشد.

ميشه يكم منو در اين باره راهنمايي كنيد و اين مطلب رو يكم تحليل كنيد؟ :shock:

خيلي ممنون ميشم.
 

Jondan

New Member
مي خوام بدونم اين موضوع يك ضعف امنيتيه و مي تونه باعث افزايش احتمال هك شدن بشه؟
 

local_lover

Member
میشه یه عکس بگیرید از محیط اسکنرتون ؟
و بفرمایید نوع اسکنر و اسمش چی بوده ؟
تا من دقیقا بگم سایت شما چه مشکلی داره
 

Jondan

New Member
با Acunetix Web Vulnerability Scanner v7.0 اسكن كردم.
در ميون موارد پيدا شده يكي هست با نام ياد شده. SSL Weak Ciphers
 

Cyletech

Member
من امنیت سرور کار نکردم والا ولی میدونم یه چیزایی. SSL مربوط به همون https میشه. دامینی که براش ssl خریداری شده خب قطعاً امنیتش بیشتره. ولی امنیت از چه نظر؟ در ssl تمام اطلاعات رمزگذاری میشن. اعم از اطلاعات دریافتی و ارسالی. خب اینطوری نفوذگر کارش سخت تره. البته من ssl رو مثل یک private browsing میدونم چون هرچیزی هم ذخیره نمیشه. شما برای درک بیشتر این مسئله میتونید از نسخه Inprivate browsing در IE و Enter private browsing در FF استفاده کنید.
مشکل حادی نیست. برای دامنه هایی که ssl رو ساپورت نمی کنن همیشه این خطا رو میده. شما نگران نباش. خود گوگل هم صفحاتی که نیاز باشه مثل لوگین ها فقط از https استفاده می کنه. باقی صفحاتش http معمولیه.
 

جدیدترین ارسال ها

بالا