رمزنگاری منسوخ فیسبوک و باز گذاشتن درها برای جاسوسی از کاربران توسط NSA

امین باقرزاده - یک شنبه 9 تیر ۱۳۹۲ - 17:16

اینکه از خانه خودتان سرقت کنید یک چیز است، و اینکه درها را برای سارقین باز بگذارید یک چیز دیگر.

اسناد سری لو رفته حاکی از آن است که آژانس امنیت ملی امریکا (NSA) از مدت ها قبل ضعف های رمزنگاری منسوخ فیسبوک و برخی دیگر از شرکت های امریکایی را کشف و برای استفاده از آنها برنامه ریزی کرده. حال این مورد را در کنار گزارش ادوارد اسنودن قرار دهید که جاسوسی NSA از ارتباطات در حال عبور از فیبرهای نوری را فاش کرد. به نظر می رسد بازخوانی ایمیل ها و سایر داده های جاری در کابل ها، برای این سازمان واقعا آسان است. موردی که قرار بود https ما را از آن در امان نگه دارد.

گویا فیسبوک و برخی دیگر از شرکت ها هنوز از تکنیک های رمزنگاری "تاریخ گذشته ای" را استفاده می کنند که رمزنویسان می گویند، شکستن آنها برای NSA -با در نظر داشتن جاسوسی کابلی- مثل آب خوردن است. فیسبوک از کلیدهای 1024 بیتی برای رمزنگاری عمومی استفاده می کند حال آنکه اپل، مایکروسافت، توییتر، دراپباکس و حتی مای اسپیس به کلید های 2048 بیتی کوچ کرده اند.

ساختن سخت افزاری که برای رمزگشایی کلیدهای 1024 بیتی طراحی شده اند، امروزه با هزینه 1 میلیون دلار امکان پذیر است. هر یک از چنین دستگاه هایی ظرف یک سال می توانند یک کلید 2024 بیتی را بشکنند. حالا تصور کنید سازمان هایی با بودجه های عظیم -مثل NSA با بودجه 10 میلیارد دلار در سال- از چه دستگاه هایی استفاده کرده و چقدر سریع تر می توانند رمزگشایی را به نتیجه برسانند.

البته گویا فیسبوک هم به دنبال مهاجرت به کلید های 2048 بیتی است، ولی سوال این است که وقتی شرکتی، یک آژانس اطلاعاتی را تهدید تلقی نکرده و اینقدر دیر اقدام به کاری چنین مهم می کند، دیگر برای چه باید مورد اعتماد قرار بگیرد؟

گوگل هم از کلیدهای 1024 بیتی استفاده می کند ولی از سال 2011 به این سو یک ترفند جالب به کار گرفته که به آن "forward secrecy" گفته می شود یعنی برای هر فاز از عملیات های تحت وب که رمزنگاری شده اند، به جای یک کلید اصلی، از کلیدی اختصاصی استفاده می کند. و البته این شرکت نیز در سال 2013 به کلیدهای 2048 بیتی مهاجرت خواهد کرد.

با این وجود، جالب است بدانید که گوگل، هر دو هفته یک بار کلیدهای رمزنگاری عمومی RSA  را تعویض می کند ولی فیسبوک هر 1 سال یکبار! غیر از فیسبوک، آمازون هم هنوز از کلیدهای 1024 بیتی ساده استفاده می کند.

اما در آن سوی میدان، سایت هایی نظیر Apache.org ،Hugedomains.com ،Openoffice.org و Phpbb.com از کلیدهای 4096 بیتی استفاده می کنند (شکستن کلیدهای 1024 بیتی 1000 بار سخت تر از کلیدهای 768 بیتی است، حساب و کتاب کلیدهای 4096 بیتی با شما.)

به لحاظ قوانین ایالات متحده، NSA مجبور نیست برای جاسوسی از ارتباطات کاربران خارجی سایت های امریکایی، زحمت زیادی به خود بدهد. درخواست دسترسی به اطلاعات مورد نیاز، معمولا با پاسخ مثبت همراه می شود. اما قطعاً این سازمان کامپیوترهای ذکر نشده ای در اختیار دارد که با آنها می تواند حملات لازم را بر علیه کلیدهای رمزنگاری عمومی ترتیب دهد. در نتیجه، دیرکرد شرکت ها در استفاده از کلیدهای جدید، مشکوک تر به نظر می رسد.

یکی از مهندسین نرم افزاری گوگل می گوید که شرکت متبوعش قادر است هر زمانی که بخواهد، کامپیوترهای خود را به عملیات شکستن کلیدهای 1024 بیتی RSA اختصاص دهد و یک روزه کار را به سرانجام برساند. سوال هوشمندانه این است: چرا باید فکر کنیم NSA از این کار عاجز است؟

پاک کردن کش مرورگر کروم و فایرفاکس با یک کلیک

رضا باقرزاده - یک شنبه 9 تیر ۱۳۹۲ - 14:01

سیستم کش مرورگرها سبب می شود که در مصرف پهنای باند صرفه جویی شده و سرعت باز شدن صفحات وب سریع تر باشد. اما همین سیستم معمولا برای توسعه دهندگان وب دردسر ایجاد می کند. 

شما تغییراتی در سایت تان می دهید اما به خاطر وجود کش آنها را نمی بینید. روش های مختلفی برای پاک کردن کش مرورگر وجود دارد. اما اگر از کروم استفاده می کنید و به دنبال یک راه حل بسیار ساده هستید، می توانید افزونه Cache Killer را روی این مرورگر نصب کنید.

این افزونه به شما اجازه می دهد تا با یک کلیک کش مرورگر را هنگام ریلود صفحه پاک کنید و خیالتان راحت باشد که چیزی در مرورگر کش نشده است.

اگر از فایرفاکس استفاده می کنید افزونه CacheToggle برای شما کار مشابهی انجام می دهد.

ابزارهایی کوچک و ساده که کار را راحت تر می کند. 
 

مراقب دسترسی اپلیکیشن های مختلف به حساب های خود باشید

امین باقرزاده - شنبه 8 تیر ۱۳۹۲ - 15:57

«آیا اجازه دسترسی به حساب شما را دارم؟» این پرسشی است که روز به روز اپلیکیشن ها و وبگاه های بیشتری از ما می پرسند؟ کمتر پیش می آید که محتوای اجازه نامه برای دسترسی به حساب های مختلف خود را بخوانیم و اغلب بی توجه به عواقب این عمل به هر اپلیکیشنی امکان دسترسی به حساب خود را می دهیم! پس از گذشت مدت زمانی هم فراموش می کنیم به کدام اپ ها و وبگاه ها چنین اجازه ای داده ایم و حتماً هم به خاطر نمی آوریم که سطح دسترسی مطالبه شده از سوی آن اپ یا وبگاه در چه حد بوده است.

این موضوع ممکن است بسیار خطرناک باشد؛ وقتی خود ما به این راحتی اطلاعات شخصی مان را در اختیار غریبه ها می گذاریم آیا به راستی باید نگران پروژه هایی مانند پریسمباشیم؟ حتماً شما هم در این میان به همین تناقض برخورده اید. اینکه وقتی خود افراد با آسودگی خاطر و به سادگی به هر اپلیکیشن امکان دسترسی به یک حساب کاملاً شخصی مانند فیسبوک را می‌دهند، آیا واقعاً باید خطر اصلی را از سوی سازمان های امنیتی دانست یا از طرف ناآگاهی و بی دقتی شهروندان سرزمین مجازی؟

ادامه مطلب را از دست ندهید.

 

معرفی لوگوی جدید برای مرورگر فایرفاکس

امین باقرزاده - شنبه 8 تیر ۱۳۹۲ - 15:55

روز گذشته بنیاد موزیلا از لوگوی جدید مرورگر فایرفاکس پرده برداری کرد. این چهارمین لوگوی معرفی شده برای فایرفاکس به حساب می آید که نسبت به نسخه قبلی دارای بافت برجسته کمتری است. 

در کنار آن نسخه بتای جدیدی از این مرورگر برای دسکتاپ و اندروید ارایه شده که یک امکان برجسته جدید آن برای توسعه دهندگان، Network Monitor نام دارد. با کمک آن می توان مشاهد کرد که هر کدام از عناصر صفحه با چه سرعتی بارگذاری می شوند.

هکرها و سرقت گواهینامه های امنیتی اوپرا از طریق حمله زیرساختی

رضا باقرزاده - شنبه 8 تیر ۱۳۹۲ - 15:50

مسئولان مرورگر نروژی Opera تایید کرده اند که حمله ای به زیرساخت شبکه این شرکت، باعث به سرقت رفتن گواهینامه های لازم برای تایید کدهای مورد استفاده توسط مرورگر اوپرا شده.

این شرکت اشاره دقیقی به جزئیات این حمله نکرده ولی تاثیرات ناشی از آن را محدود می داند. گواهینامه ای که به سرقت رفته می تواند در ساخت بدافزارها مورد استفاده قرار بگیرد به صورتی که ناشر آنها را اوپرا یا منبع آنها را مرورگر اوپرا جلوه دهد و به این صورت کاربران را مورد هدف قرار دهد.

اوپرا می گوید که سیستم های شرکت پاکسازی شده اند و اثری از درز کردن اطلاعات کاربران یافت نشده ولی جریان تحقیق برای یافتن عاملین و محدود کردن خطرات احتمالی ادامه دارد.

این احتمال وجود دارد که برخی کاربران ویندوز که در روز 19 ژوئن از مرورگر اوپرا استفاده می کرده اند، به طور خودکار بدافزارهایی را دریافت کرده باشند. به همین منظور اوپرا در صدد است نسخه ای از مرورگر خود را منتشر کند که از گواهینامه جدید بهره می برد. البته هنوز زمان عرضه دقیق آن اعلام نشده.

پرونده اوپرا نشان می دهد که گرایش هکرها برای حمله به زیرساخت شرکت های بزرگی که کاربران زیادی از نرم افزارهای آنها استفاده می کنند، رو به افزایش گذاشته. سال گذشته نیز شرکت ادوبی با موردی مشابه از این حمله های زیرساختی روبرو شده بود.

افتتاح رادیو ایران زمین

استانداردهای وب و اهمیت توجه به آنها

امین باقرزاده - جمعه 7 تیر ۱۳۹۲ - 18:25

اگر جزو طراحان و برنامه نویسان قدیمی وب باشید، احتمالا با عبارت «جنگ مرورگرها» آشنا هستید. مایکروسافت و نت اسکیپ در رقابت با یکدیگر امکانات جدیدی به مرورگرهایشان اضافه می کردند و مشکل این بود که این امکانات و فناوری ها در مرورگر رقیب پشتیبانی نمی شد.

به همین خاطر در پایین اغلب سایت های عبارتی را می دیدیم که در آن ذکر شده بود برای دیدن صحیح این صفحه وب باید از چه مرورگری استفاده کنید.

هدف از به وجود آوردن استانداردهای وب این است که برای فناوری های مورد استفاده در وب مانند HTML استانداردهایی تعریف شود که این مشکلات را حل نماید تا بتوان سایت/اپلیکیشن هایی ساخت که به خوبی در مرورگرهای مختلف دیده و استفاده شود.

برای رسیدن به این هدف بنیادهایی مانند کنسرسیوم W3 فروم هایی برای بحث و تبادل نظر به وجود آوردند و توافقنامه هایی حاصل شد که مورد قبول شرکت هایی باشد که مرورگرها را توسعه می دهند.

در کنار آن گروه های استاندارد سازی دیگری هم به وجود آمده که یکی از آنها WHATWG نام دارد و تمرکز آن روی استاندارد سازی HTML5 است.

هدف این گروه ها این است که برای هر فناوری به یک توافق کلی دست پیدا کنند و آن را تبدیل به استاندارد نمایند. چیزی که به طور کلی از آن به عنوان specifications یاد می کنند و در فناوری های وب مانند HTML و CSS مورد استفاده قرار می گیرد.

اما استانداردهای وب یک گروه مشخص و تعریف شده از قوانین نیستند که در یک کتاب نوشته شده باشند. آنها مرتب در حال تغییر اند و دایما توسط مجموعه های استاندارد سازی مختلفی در حال تکامل اند.

وقتی در مورد «استاندارد بودن»  یک صفحه وب صحبت می کنیم معمولا منظورمان این است که این صفحه دارای کدهای HTML، CSS و جاوااسکریپت Valid است. برای بررسی آن هم می توان از ابزارهای آنلاین مختلف مانند سرویس بررسی صحت کد W3 استفاده نمود.

در کنار آن وقتی صحبت از «تمام استاندارد» می کنیم منظورمان این است که علاوه بر صحت HTML، CSS و جاوااسکریپت روی استاندارد سازی موارد دیگر مانند اینکودیگ، RSS، RDF، متادیتا، XML، سرور و... هم کار کرده ایم.

می بینید که پرداختن به تمام این موارد کار ساده ای نیست و به خاطر تعدد، به راحتی آنها را فراموش می کنیم. به همین خاطر چک لیست های مختلفی برای کنترل اعمال استانداردهای وب ساخته شده که می توانید یک نمونه ساده آن را به صورت پی دی اف از اینجا دانلود کنید .

هنگام طراحی سایت جدید یا وب اپلیکیشن کافی است آن را پرینت نموده و موارد را بررسی و تیک بزنید تا چیزی از قلم نیوفتد. 

با این کار می توانید اطمینان داشته باشید که استانداردهای مهم وب در سایت شما اعمال شده است.

مزایای استفاده از استاندارد های وب چیست؟

استفاده از استانداردهای وب سبب می شود که هم ماشین ها و هم انسان ها از دیدن صفحات و اپلیکیشن شما لذت بیشتری ببرند. یک مرورگر کدی که استاندارد نوشته شده را راحت تر و سریع تر اجرا می کند و موتورهای جستجو هم شما را بهتر نمایش خواهند داد. 

از طرف دیگر کاربران نیز راحت تر از صفحات وب شما استفاده خواهند کرد. به خصوص کاربرانی که دچار برخی ناتوانایی های جسمی هستند و از ابزارهای کمکی استفاده می کنند.

نرم افزارهای کمکی این افراد تا حد زیادی وابسته به استانداردهای وب هستند و کافی است از خودتان بپرسید که نرم افزار چطور باید تشخیص دهد که در صفحه شما تیتر اصلی مطلب کدام است و پاراگراف ها چطور از هم جدا شده اند؟ 

استانداردهای وب را رعایت کنیم تا اپلیکیشن ها و سایت هایی با کیفیت بهتر و کاربر راضی تر داشته باشیم.