April 21, 2007

فرق بین پروتکل HTTP و HTTPS

دوستی در پیام گیر وبلاگ خُسن آقا در باره پروتکل HTTPS سوال کرده بودند، این مطلب را در این رابطه می‌نویسم:
هنگامی که کاربران بر روی اینترنت اطلاعات رد و بدل می‌کنند. این اطلاعات به صورت پروتکل‌های مختلف رد و بدل می‌شود که بستگی به نیاز کاربر و سرور مربوطه این پروتکل انتخاب می‌شود.
وقتی کاربر بخواهد به یک وب سایت معمولی یا یک وبلاگ برود، در قسمت آدرس نت براوزر خود (Internet explorer) یا هر نت براوزر دیگری که استفاده می‌کنیم، قبل از درج آدرس مربوطه اول پروتکل مورد نیاز را می‌نویسیم و بعد آدرس سایت را.
مثال : http://blog.hasanagha.net
به آدرس بالا نگاه کنید، این آدرس از دو بخش تشکیل شده بخش اول (//:http) پروتکل مورد استفاده است و بخش دوم (blog.hasanagha.net) آدرس وبلاگ خُسن آقا است.

در شرایطی نیاز به پروتکل (Protocol) دیگری برای رد و بدل کردن اطلاعات است، مثلا اگر کاربر بخواهد به سایت یک بانک یا موسسات دیگر که نیاز به رد و بدل کردن اطلاعات به صورت رمزگذاری شده باشد از پروتکل دیگری بنام HTTPS استفاده می‌شود. این پروتکل که Secure HTTP نام دارد، تمام اطلاعات رد و بدل شده بین کاربر و سایت (سرور سایت) را بصورت رمزگذاری شده رد و بدل می‌کند، تا اطلاعات رد و بدل شده بین کاربر و سرور مربوطه برای دیگران قابل خواندن نباشد. با استفاده از این روش قبل از ارسال اطلاعات، داده‌ها رمزگذاری می‌شوند و سپس به سایت مربوطه ارسال می‌شوند. اطلاعات ارسالی کاربر پس از رسیدن به سایت رمز گشایی می‌شود و مجددا اگر نیاز به پاسخ به کاربر باشد باز هم اطلاعات به صورت رمزگذاری بازگشت داده می‌شود و تا زمانی که در قسمت آدرس نت براوزر شما علامت (HTTPS) مورد استفاده قرار گرفته باشد تمام اطلاعات رد و بدل شده بصورت رمزگذاری شده رد و بدل خواهد شد.

به همین خاطر هم هست که هرگاه بخواهیم سایتی را با این مشخصات باز کنیم نت براوزر با نمایش Certificate (گواهینامه) سایت مربوطه از ما سوال می‌کند که آیا به این گواهینامه اعتماد داریم یا نه.
شما می توانید برای بررسی گواهینامه سایت مربوطه، با تقه زدن روی دکمه View Certificate مشخصات گواهینامه را مشاهده کنید. تصویر مشخصات را اینجا ببینید.

پنجره گواهینامه شامل سه بخش است که بخش‌های مختلف آنرا می‌توانید در این تصویر مشاهده کنید. برای مشاهده همه تصاویر در این نوشته به اندازه طبیعی روی آنها تقه بزنید

در شرایط دیگری هم ممکن است نیاز به رد و بدل کردن اطلاعات بصورت رمز گذاری شده باشد، مثل شرایط فیلترینگ ایران که برای جلوگیری از دسترسی عوامل رژیم ایران به اطلاعات رد و بدل شده، کاربران می‌توانند از پروتکل (HTTPS) استفاده کنند.
انتقال اطلاعات از طریق (HTTPS) هم پیرو شرایطی است که باید به آن توجه داشت. اولین نکته‌ای که در این زمینه باید در نظر داشت این است که آیا اطلاعاتی که می‌خواهد رد و بدل شود حساس است یا نه. مثلا اگر شما عضو یک حزب یا سازمان سیاسی باشید که برای رد و بدل کردن اطلاعات نیاز به روش امنی باشد، یقینا در این باره باید سیستم ایمنی فراهم کرد. ولی اگر شما تنها می‌خواهید یک سایت سیاسی را بخوانید و نمی‌خواهید که رژیم بداند که شما چه مطالبی را مطالعه می‌کنید نیاز به ایمنی چنان پیچیده‌ای نباشد. در هر صورت این مساله را کاربران خود باید تصمیم بگیرند و حد و اندازه ایمنی را خود مشخص و بر اساس آن عمل کنند.
برای استفاده صحیح از پروتکل (HTTPS) نیاز به یک Certificate (گواهینامه) هست. این گواهینامه‌ها را سایت‌ها با پرداخت پول به شرکت‌های شناخته شده و معتبر تهیه می‌کنند و در نتیجه شرکتی که این گواهینامه را صادر کرده باید شناخته شده باشد در غیر این صورت نمی‌توان به گواهینامه آن اعتماد کرد.
نمونه‌هایی از این گونه شرکت‌های صادر کننده گواهینامه:
http://www.verisign.com
http://www.globalsign.net/digital_certificate/index.cfm
http://certs.ipsca.com/?gclid=CIzWgOS204sCFSYSQgodrC_5aw

در مقابل این گونه گواهینامه‌ها، گواهینامه‌های دیگری هم وجود دارند که سایت ها خود درست می‌کنند و با اینکه یک شرکت معتبر این گواهینامه را صادر نکرده باز هم اطلاعات بصورت رمزگذاری رد و بدل می‌شود. نکته اساسی در اینجا این است که کاربر باید خود تصمیم بگیرد که آیا اطلاعاتی که می‌خواهد رد و بدل کند تا چه اندازه حساس است و اینکه آیا حتما نیاز به یک گواهینامه معتبر است یا اینکه یک گواهینامه معمولی بدون پشتوانه معتبر هم کفایت می‌کند. مثلا در شرایطی یک کاربر می خواهد فقط برای مطالعه یک وبلاگ از این گواهینامه استفاده کند در نتیجه ممکن است اطلاعات رد و بدل شده تا این اندازه حساس نباشد که نیاز به یک گواهینامه شناخته شده معتبر از یک شرکت معتبر بین‌المللی باشد.

https://blog.hasanagha.net
در شرایطی که یک گواهینامه معتبر در دسترس نباشد، می‌توان با استفاده از گواهینامه‌های خود ساخته یک شرایط حداقلی را فراهم کرد. مثلا وبلاگ خُسن آقا را با آدرس بالا می‌توانید با استفاده از همین روش بخوانید و مطمئن باشید که کسی نمی‌تواند به اطلاعات رد و بدل شده به دست کس دیگری برسد. ممکن است دوستان بپرسند که خوب این چه خاصیتی دارد، وقتی که نمی‌توان به گواهینامه اعتماد کرد!؟ در پاسخ باید گفت که اطلاعاتی که از این طریق رد و بدل می‌شود با اینکه معتبر نیست، ولی حداقل رمزگذاری شده و اگر خواننده به وبلاگ خُسن آقا و نویسنده آن اعتماد دارد می‌تواند به گواهینامه‌ای هم که خُسن آقا استفاده می‌کند اعتماد کند و با استفاده از این روش حداقل از دسترسی رژیم به این اطلاعات جلوگیری کند.

سخن آخر اینکه: اگر شما بجای استفاده از آدرس http://blog.hasanagha.net از آدرس https://blog.hasanagha.net که با پروتکل HTTPS رد و بدل می شود استفاده کنید مطمئن هستید که مطالبی را که از این طریق مطالعه می‌کنید کسی نمی‌تواند در بین راه مطلب را دست کاری یا مطالعه کند در نتیجه وقتی نتواند مطالب را در بین راه بخواند، نمی‌تواند آنرا نیز بر اساس محتویات آن سانسور یا دستکاری کند. این روش خصوصا برای وضع سانسور در ایران مفید است، زیرا بعضی از سایت‌ها به علت محتوای آن سانسور می‌شود در نتیجه وقتی از این روش استفاده شود دیگر رژیم نمی‌تواند محتویات رد و بدل شده را بخواند و در نتیجه نمی‌تواند بصورت اتوماتیک آنرا سانسور کند.

October 21, 2006

فید بلیدز Feedblitz

FeedBlitzLogo.jpgاین هم یک فید ریدر جدید هست مثل فید ریدر گوگل. به همان صورتی که فید ریدر گوگل قادر است برای عبور از فیلتر ما را یاری دهد، این ریدر را نیز می توان به همان روش استفاده کرد. اگر وقت کردم در آیند روش استفاده از این یکی را هم توضیح خواهم داد.
برای استفاده از ریدر گوگل به مطلب قبل مراجعه کنید.

June 22, 2006

آر‌اس‌اس و مبارزه با سانسور

مدتها بود که می‌خواستم این مطلب را بنویسم فقط پیگیر این بودم که وقت کافی برای راه استفاده از آنرا هم ارائه دهم. وقتی که می‌گویند "وقت طلا است" به این خاطر است.
همه آنهایی که وبلاگ می‌خوانند با این تصویر و یا این یکی آشنا هستند. این آیکونها (Icon) را روی هر وبلاگ یا سایتی که دیدید به این معنی است که وبلاگ یا سایت مورد نظر مطالب خود را به فرمت RSS هم ارائه می‌دهد.
در این نوشته قصد این را ندارم که درس آر‌اس‌اس بدهم هدف این نوشته روش استفاده از این نوع پرونده‌های روی نت است و استفاده از آنها برای عبور از سد فیلترینگ.
گوگل یکی از بهترین آر‌اس‌اس ریدرها (RSS Reader) را روی نت ارائه می‌دهد که با استفاده از آن می‌توانید به راحتی صفحه گوگل خود را تبدیل کنید به یک فیلتر شکن که به سادگی قابل استفاده است.
قبل از هر چیز به این صفحه بروید و عضو شوید.(تصویر زیر)

google_rss.jpg

پس از عضو شدن اول با وارد کردن شناسه و گذرواژه خود وارد گوگل شوید و در صفحه اصلی در آن قسمتی که نوشته (You can also enter a URL to find a feed for a website) آدرس وبلاگی را که می‌خواهید به لیست خود اضافه کنید را وارد کرده و تقه بزنید. معمولا آدرس (URL) مربوطه کافی است ولی من مشاهده کردم که برای وبلاگ‌های بلاگ اسپات گوگل قادر نیست تنها با آدرس وبلاگ نسخه RSS آنرا برای شما پیدا کند در چنین صورتی کافی است نام نسخه RSS وبلاگ را بدانید. تمام وبلاگ‌های بلاگ اسپات نام فایل RSS آنها atom.xml است پس با افزودن آدرس وبلاگ به اضافه نام این فایل دکمه کنار (Search for new content) را تقه بزنید و منتظر شوید تا گوگل صفحه وبلاگ را برای شما باز کند. (تصویر زیر)

google_rss2.jpg

بعد از باز شدن صفحه دکمه‌ای ظاهر می‌شود به نام (Subscribe) آنرا تقه بزنید تا وبلاگ را به صفحه گوگل خود بیفزاید. پس از این نیازی نیست که این پروسس را هر بار انجام دهید هر وبلاگی را که به گوگل ریدر خود بیفزاید همیشه در اختیار شما خواهد بود.
در این صفحه می‌توایند همه وبلاگ ها یا وب سایتهای مورد علاقه خود را که مجهز به نسخه RSS هست را جمع کنید و با ورود به این صفحه همه آنها را یک جا بخوانید.(تصویر زیر)

google_rss3.jpg


برای افزودن وبلاگ یا سایتهای بیشتر به همان روش بالا عمل کنید.
بعد از افزودن سایتها و وبلاگهای مورد علاقه تان از آن به بعد همه آنها در این صفحه قابل دسترسی هستند. برای دسترسی به آنها کافقی است که از منوی بالای صفحه روی منوی Subscriptions تقه بزنید و از لیست مربوطه وبلاگ یا سایت مورد علاقه خود را انتخواب کنید و مطالب آنرا در این صفحه بخوانید (تصویر زیر)


google_rss4.jpg