Main

April 21, 2007

فرق بین پروتکل HTTP و HTTPS

دوستی در پیام گیر وبلاگ خُسن آقا در باره پروتکل HTTPS سوال کرده بودند، این مطلب را در این رابطه می‌نویسم:
هنگامی که کاربران بر روی اینترنت اطلاعات رد و بدل می‌کنند. این اطلاعات به صورت پروتکل‌های مختلف رد و بدل می‌شود که بستگی به نیاز کاربر و سرور مربوطه این پروتکل انتخاب می‌شود.
وقتی کاربر بخواهد به یک وب سایت معمولی یا یک وبلاگ برود، در قسمت آدرس نت براوزر خود (Internet explorer) یا هر نت براوزر دیگری که استفاده می‌کنیم، قبل از درج آدرس مربوطه اول پروتکل مورد نیاز را می‌نویسیم و بعد آدرس سایت را.
مثال : http://blog.hasanagha.net
به آدرس بالا نگاه کنید، این آدرس از دو بخش تشکیل شده بخش اول (//:http) پروتکل مورد استفاده است و بخش دوم (blog.hasanagha.net) آدرس وبلاگ خُسن آقا است.

در شرایطی نیاز به پروتکل (Protocol) دیگری برای رد و بدل کردن اطلاعات است، مثلا اگر کاربر بخواهد به سایت یک بانک یا موسسات دیگر که نیاز به رد و بدل کردن اطلاعات به صورت رمزگذاری شده باشد از پروتکل دیگری بنام HTTPS استفاده می‌شود. این پروتکل که Secure HTTP نام دارد، تمام اطلاعات رد و بدل شده بین کاربر و سایت (سرور سایت) را بصورت رمزگذاری شده رد و بدل می‌کند، تا اطلاعات رد و بدل شده بین کاربر و سرور مربوطه برای دیگران قابل خواندن نباشد. با استفاده از این روش قبل از ارسال اطلاعات، داده‌ها رمزگذاری می‌شوند و سپس به سایت مربوطه ارسال می‌شوند. اطلاعات ارسالی کاربر پس از رسیدن به سایت رمز گشایی می‌شود و مجددا اگر نیاز به پاسخ به کاربر باشد باز هم اطلاعات به صورت رمزگذاری بازگشت داده می‌شود و تا زمانی که در قسمت آدرس نت براوزر شما علامت (HTTPS) مورد استفاده قرار گرفته باشد تمام اطلاعات رد و بدل شده بصورت رمزگذاری شده رد و بدل خواهد شد.

به همین خاطر هم هست که هرگاه بخواهیم سایتی را با این مشخصات باز کنیم نت براوزر با نمایش Certificate (گواهینامه) سایت مربوطه از ما سوال می‌کند که آیا به این گواهینامه اعتماد داریم یا نه.
شما می توانید برای بررسی گواهینامه سایت مربوطه، با تقه زدن روی دکمه View Certificate مشخصات گواهینامه را مشاهده کنید. تصویر مشخصات را اینجا ببینید.

پنجره گواهینامه شامل سه بخش است که بخش‌های مختلف آنرا می‌توانید در این تصویر مشاهده کنید. برای مشاهده همه تصاویر در این نوشته به اندازه طبیعی روی آنها تقه بزنید

در شرایط دیگری هم ممکن است نیاز به رد و بدل کردن اطلاعات بصورت رمز گذاری شده باشد، مثل شرایط فیلترینگ ایران که برای جلوگیری از دسترسی عوامل رژیم ایران به اطلاعات رد و بدل شده، کاربران می‌توانند از پروتکل (HTTPS) استفاده کنند.
انتقال اطلاعات از طریق (HTTPS) هم پیرو شرایطی است که باید به آن توجه داشت. اولین نکته‌ای که در این زمینه باید در نظر داشت این است که آیا اطلاعاتی که می‌خواهد رد و بدل شود حساس است یا نه. مثلا اگر شما عضو یک حزب یا سازمان سیاسی باشید که برای رد و بدل کردن اطلاعات نیاز به روش امنی باشد، یقینا در این باره باید سیستم ایمنی فراهم کرد. ولی اگر شما تنها می‌خواهید یک سایت سیاسی را بخوانید و نمی‌خواهید که رژیم بداند که شما چه مطالبی را مطالعه می‌کنید نیاز به ایمنی چنان پیچیده‌ای نباشد. در هر صورت این مساله را کاربران خود باید تصمیم بگیرند و حد و اندازه ایمنی را خود مشخص و بر اساس آن عمل کنند.
برای استفاده صحیح از پروتکل (HTTPS) نیاز به یک Certificate (گواهینامه) هست. این گواهینامه‌ها را سایت‌ها با پرداخت پول به شرکت‌های شناخته شده و معتبر تهیه می‌کنند و در نتیجه شرکتی که این گواهینامه را صادر کرده باید شناخته شده باشد در غیر این صورت نمی‌توان به گواهینامه آن اعتماد کرد.
نمونه‌هایی از این گونه شرکت‌های صادر کننده گواهینامه:
http://www.verisign.com
http://www.globalsign.net/digital_certificate/index.cfm
http://certs.ipsca.com/?gclid=CIzWgOS204sCFSYSQgodrC_5aw

در مقابل این گونه گواهینامه‌ها، گواهینامه‌های دیگری هم وجود دارند که سایت ها خود درست می‌کنند و با اینکه یک شرکت معتبر این گواهینامه را صادر نکرده باز هم اطلاعات بصورت رمزگذاری رد و بدل می‌شود. نکته اساسی در اینجا این است که کاربر باید خود تصمیم بگیرد که آیا اطلاعاتی که می‌خواهد رد و بدل کند تا چه اندازه حساس است و اینکه آیا حتما نیاز به یک گواهینامه معتبر است یا اینکه یک گواهینامه معمولی بدون پشتوانه معتبر هم کفایت می‌کند. مثلا در شرایطی یک کاربر می خواهد فقط برای مطالعه یک وبلاگ از این گواهینامه استفاده کند در نتیجه ممکن است اطلاعات رد و بدل شده تا این اندازه حساس نباشد که نیاز به یک گواهینامه شناخته شده معتبر از یک شرکت معتبر بین‌المللی باشد.

https://blog.hasanagha.net
در شرایطی که یک گواهینامه معتبر در دسترس نباشد، می‌توان با استفاده از گواهینامه‌های خود ساخته یک شرایط حداقلی را فراهم کرد. مثلا وبلاگ خُسن آقا را با آدرس بالا می‌توانید با استفاده از همین روش بخوانید و مطمئن باشید که کسی نمی‌تواند به اطلاعات رد و بدل شده به دست کس دیگری برسد. ممکن است دوستان بپرسند که خوب این چه خاصیتی دارد، وقتی که نمی‌توان به گواهینامه اعتماد کرد!؟ در پاسخ باید گفت که اطلاعاتی که از این طریق رد و بدل می‌شود با اینکه معتبر نیست، ولی حداقل رمزگذاری شده و اگر خواننده به وبلاگ خُسن آقا و نویسنده آن اعتماد دارد می‌تواند به گواهینامه‌ای هم که خُسن آقا استفاده می‌کند اعتماد کند و با استفاده از این روش حداقل از دسترسی رژیم به این اطلاعات جلوگیری کند.

سخن آخر اینکه: اگر شما بجای استفاده از آدرس http://blog.hasanagha.net از آدرس https://blog.hasanagha.net که با پروتکل HTTPS رد و بدل می شود استفاده کنید مطمئن هستید که مطالبی را که از این طریق مطالعه می‌کنید کسی نمی‌تواند در بین راه مطلب را دست کاری یا مطالعه کند در نتیجه وقتی نتواند مطالب را در بین راه بخواند، نمی‌تواند آنرا نیز بر اساس محتویات آن سانسور یا دستکاری کند. این روش خصوصا برای وضع سانسور در ایران مفید است، زیرا بعضی از سایت‌ها به علت محتوای آن سانسور می‌شود در نتیجه وقتی از این روش استفاده شود دیگر رژیم نمی‌تواند محتویات رد و بدل شده را بخواند و در نتیجه نمی‌تواند بصورت اتوماتیک آنرا سانسور کند.

June 17, 2006

هشدار!

شرکت فناوری اطلاعات که یکی از زیر مجموعه‌های وزارت ارتباطات و فناوری اطلاعات است برنامه‌ای ساخته تا مثلا در زمینه استاندارد کردن چیدمان صفحه کلید فارسی کامپیوتر غلطی کرده باشد. این شرکت هم مثل دیگر موسسات زیر مجموعه آخوندی قابل اعتماد نیست و مخصوصا وقتی دست به کاری می‌زنند که از پیش به نظر مشکوک می‌نماید باید ملت بی خبر از همه جا را هشدار داد. از این رو تصمیم گرفتم این متن را بنویسم. اول خبر را بخوانید تا بعد بروم سر توضیحات.

تولید نرم‌افزار چیدمان صفحه کلید فارسی در شرکت فناوری اطلاعات

نرم‌افزار «چیدمان صفحه کلید فارسی استاندارد» Standard Persian Keyboard Layout، با هدف تبادل اطلاعات فارسی با کدهای منطبق بر استاندارد یونـی‌کد در شرکت فناوری اطلاعات تولید شـد. این نرم‌افزار که توسط شرکت فناوری اطلاعات طراحی و تولید شده است، سعی دارد تا مشکلات موجود در زمینه ورود اطلاعات با کد فارسی در نرم‌افزارهای تحت سیستم عامل Windows را مرتفع سازد.
شرکت فناوری اطلاعات در راستای استاندارد سازی کد تبادل اطلاعات فارسی و با هدف ترویج زبان فارسی در اینترنت اقدام به تهیه‌ی این نرم‌افزار نموده است.
روابط عمومی شرکت فناوری اطلاعات طی این خبر اظهار داشت که یکی از مشکلات فعلی در زمینه‌ی تبادل اطلاعات فارسی در رایانه‌ها، از هم گسیختگی در کدهای حروف فارسی می‌باشد. بطور مثال در متون فارسی فعلی غالباً از حروف «ي» و «ك» با کد عربی استفاده شده است همینطور اعداد اکثراً با کد انگلیسی وارد کامپیوتر شده و یا حتی در بعضی از موارد از کاراکترهای زبان اردو مثل «ۀ» در داده‌های فارسی استفاده شده است.
به گفته‌ی مهندس لاجوردی‌پور مجری ساخت این نرم‌افزار، از هم گسیختگی کد اطلاعات فارسی معضلاتی را بوجود آورده و در آینده نیز مشکلات بزرگتری را ایجاد خواهد کرد. این مشکل زمانی نمود می‌یابد که کاربر قصد تبادل اطلاعات در شبکه را داشته باشد. یکی از این مشکلات هنگام جستجوی اطلاعات فارسی در اینترنت پدیدار می شود. به عنوان مثال اگر کلمه «کامپیوتر» در یک موتور جستجو همانند Google جستجو شود، بسته به اینکه ترکیبات مختلف «ی» و «ک» عربی یا فارسی در کلمه‌ی مورد جستجو درج شود. نتیجه‌ی جستجو متفاوت خواهد بود.


حالا هشدار حقیر: یکی از متدهای هک کردن به این صورت انجام می‌شود که هک کننده برنامه‌ای را در پی‌سی مورد نظر اجرا می‌کند و بعد به وسیله این برنامه هر نوع استفاده از کلید کامپیوتر ضبط و متن ضبط شده به هک کننده ارسال می‌گردد. مثلا هک کننده می‌تواند از این طریق شناسه و پسورد شما را بوسیله این برنامه ثبت کند و بعدا که به اینترنت وصل شدید یا اگر همزمان به اینترنت وصل هستید آنرا برای هک کننده ارسال کند. تولید نرم افزاری برای چیدمان صفحه کلید فارسی به نظر من کاری است بس مشکوک زیرا این چیدمان بوسیله ویندوز (مخصوصا XP و 2000) به درستی انجام گرفته و با استفاده از این چیدمان می‌توان فارسی را به خوبی نوشت و نیازی به برنامه دیگری نیست مخصوصا اگر این برنامه بوسیله یکی از دستگاه های رژیم اسلامی طراحی و ساخته شده باشد.
برای آگاهی بیشتر از این نوع برنامه‌ها که قادر هستند نوشته‌های شما را به دیگران منتقل کنند می‌توانید به نوشته‌ها و مطالب زیر که همگی انگلیسی هستند مراجعه کنید.

این هم یک برنامه از این نوع که قادر است کلیدهای شما را ضبط کند.
Stealth Keyboard Interceptor

دو مقاله انگلیسی در همین زمینه
Introduction to Spyware Keyloggers
Keyloggers on the rise

برای مقالات بیشتر به این آدرس مراجعه کنید.

اینگونه برنامه‌ها برنامه‌های جاسوسی در پی‌سی شماست و برای خلاصی از آنها و ایمن بودن از این نوع برنامه‌ها حتما یک برنامه ضد جاسوسی (Anti spyware) را بر روی پی‌سی خود نصب کنید.
یکی از آنهایی که از همه مورد اعتمادتر است (این مورد اعتماد بودن نسبی است ها یک دفعه جو گیر نشوید ها!!) برنامه‌ای است بنام ویندوز دفندر Windows Defender که آنرا می‌توانید از این آدرس مکروسافت داونلود و نصب کنید.

خلاصه مطلب اینکه هر برنامه‌ای را که روی نت پیدا کردید بی خودی روی پی‌سی خود سوار نکنید و همیشه قبل از سوار کردن چنین برنامه‌هایی در باره آنها تحقیق کنید.

April 16, 2006

یک نکته در مورد امنیت

یک نکته در مورد امنیت روی نت. اگر جاوا در براوزر شما اکتیو هست آی‌پی شما لو خواهد رفت، حتی اگر از پراکسی سرور اسفتاده کنید و یا پشت یک دیوار دفاعی باشید.
من معمولآ جوا را در PC هایی که استفاده می‌کنم از کار می‌اندازم. دیروز برای کارهای بانکی مجبور شدم جاوای براوزرم را آکتیو کنم برای اینکه از موقعیت امنیت PC و تغییراتی که داده شده آگاه شوم یک تست کوچک انجام دادم این تست نشان داد که جاوا سوراخی گشاد در سیستم ایمنی PC باز می‌کند که حتی IP خصوصی شما را هم در چنین حالتی قابل رویت می‌کند.

حالا به کسانی که می‌خواهند کارهای خلاف اسلام ناب محمدی بکنند حتمآ تاکید می‌کنم حداقل در زمان‌هایی که می‌خواهید کارهای غیر شرعی انجام دهند جاوا را در براوزر خود از کار بیندازید (Disable) کنید. اگر نمی‌دانید چگونه جاوا را از کار بیندازید به این صفحه بروید روش ازکار انداختن آن را در (IinternetExplorer) که با تصویر نشان داده شده ببینید.