مراقب جیایمیل خود برابر جمهوری اسلامی باشید
دستهبندی شده در حرف های خودم در آبان.۱۶, ۱۳۸۸
دیروز منزل یکی از دوستان متوجه شدم که ISP ایشون SSL certificate گوگل رو دست کاری کرده و بدون شک هر کسی که این کار رو کرده میخواسته بتونه به اطلاعات شما دسترسی داشته باشه (در مورد جیمیل یعنی تمام ایمیل های شما – با استفاده از کوکی راحت میشه به همهی اطلاعات دسترسی پیدا کرد). امروز هم متوجه شدم همین کار رو ISP خودم انجام داده. بالاخره دارن پیش رفت میکنن دوستان فیلترچی، دستشون درد نکنه. برای بررسی (با فایرفاکس) میتونین روی icon سایت در آدرس بار کلیک کنین و روی اطلاعات بیشتر کلیک کنین، یه صفحهای باز میشه که شبیه یکی از ۲نمونهی زیر خواهد بود:
اطلاعات کامل در مورد مجوز لانچ پد - صحیح است
اطلاعات کامل در مورد مجوز گوگل - غلط است
آبان ۱۶م, ۱۳۸۸ در ۲۲:۰۵
نکته جالبی بود که من هم چند وقت پیش بهش فکر کردم اما به نظرم این امر غیر ممکن میاد. تا جایی که من اطلاعات دارم (که البته ممکنه اشتباه کنم) چنانچه بین راه اطلاعات ssl دستکاری بشه کل اطلاعات غیر استفاده میشه. یعنی یا دستکاری صورت نگرفته که در نتیجه اطلاعات صحیح رد و بدل میشه و یا دستکاری شده که در اون صورت شما سایت رو نمیتونید ببینید. هدف از ssl همین بوده.
آبان ۱۷م, ۱۳۸۸ در ۰۰:۳۶
دقیقا درست میفرمایین اما در صورتی که اطلاعات با اساسال رد و بدل بشه. اگه به اسکرین شات گوگل توجه کنین ظاهرا من توی https هستم اما هیچ certificate ی نداره. پس رمزگذاری اطلاعات هم انجام نمیشه و دست کاری / دست رسی کاملا عملی هست.
آبان ۱۶م, ۱۳۸۸ در ۲۳:۰۸
جدی؟
خب چاره چیه؟ یعنی اگه از یه ایمیل کلاینت استفاده کنیم حله؟
آبان ۱۷م, ۱۳۸۸ در ۰۰:۴۲
آره کلاینت به شرطی میتونه جلوی این کار رو بگیره که تیک ارتباط امن رو برای پروتوکل ها بزنی یه ساده تر ssl رو برای پروتوکل های pop3 و imap فعال کنی
البته امید وارم این دستکاری ها رو فقط روی وب انجام داده باشن. اما اگه اون ۲تا پروتوکل رو هم دستکاری کرده باشن تنها راه حلش پیچوندن غذا دور سره. مثل پروکسی، یعنی یه جایی که ssl رو دست کاری نکردن روش و ایمیل کلاینت تحت وب میده رو پیدا کنی و با اون ایمیلها رو چک کنی
آبان ۱۸م, ۱۳۸۸ در ۱۵:۰۴
با سلام ممنونم از توجهی که به امنیت جی میل من دارید. اما متاسفانه من فقط یک کاربر مبتدی هستم و در مورد مسایلی که شما صحبت کردید اصلا چیزی نمی دونم و کاری بلد نیستم بکنم . از شما دو تا خواهش دارم ۱- اگر ممکن به زبان ساده تر بطوری که برای من قابل فهم و اجرا باشه بفرمایید که در این خصوص ( حفظ امنیت جی میل ) چکار می تونم بکنم ؟ ۲- از لحاظ سنی بالای ۳۰ و متاهل و دارای دو فرزندم . اینارو گفتم که در مورد چیزی که ازتون می خوام فکر منفی نکنید و مسلم بدونید در جهت درمان یک بیماری قراره ازش استفاده بشه . سئوال :
لطفا به من بگید چه جوری می تونم به سایتهایی که تصاویر و فیلمهای سکس ( سکس در حد آموزش و بعنوان محرک نه سکس فاسد و تجاری ) دارند دسترسی پیدا کنتم و آنها را دانلود کنم ؟
با تشکر محسن
آبان ۳۰م, ۱۳۸۸ در ۲۳:۲۹
سلام
جوابتون رو با ایمیل دادم
آبان ۱۸م, ۱۳۸۸ در ۱۶:۰۸
سلام دوست عزیز، موردی رو که گفتی چک کردم، اتصال من هم ناامنه! از مشهد با سرور صبانت وصل میشم. چه راه حلی واسه برطرف کردن این مسئله ی بزرگ هست؟
آبان ۱۸م, ۱۳۸۸ در ۱۹:۴۳
به جز ۲تا راه حلی که به جواد جان گفتم میتونین از VPN هم استفاده کنین. البته جایی که بهش اطمینان دارین چون وقتی از VPN استفاده میکنین در حقیقت دارین اطلاعات رو از طریق یک کامپیوتر دیگه به سیستم خودتون میرسونین.
آبان ۱۹م, ۱۳۸۸ در ۱۰:۱۴
ممنونم، فکر میکنم استفاده از پروکسی راحت ترین راه باشه!
بازم ریسکی هست تو این راه؟
آبان ۱۹م, ۱۳۸۸ در ۱۸:۲۵
بله. ۱۰۰٪ رسیک وجود داره. ببینید اساسال برای این درست شد که واسطههایی که بین شما و سرور مقصد وجود دارن نتونن اطلاعات رو بازیابی / دست کاری کنن و شما وقتی از پروکسی استفاده میکنین اون پروکسی به راحتی به اطلاعاتی که از طریق اون جا به جا میکنین دسترسی کامل داره.
آذر ۵م, ۱۳۸۸ در ۰۰:۵۲
سلام دوست گرامی …
من این چیزی که نوشتید رو مورد بررسی قرار دادم…
اون چیزی که شما عکسش را گرفتهای و گزاشتی و نوشته است No مربوط به این است که آیا نام کاربری و کلمه عبور در این آدرس ذخیره شده است یا خیر و چون همیشه وقتی وارد سایت gmail می شیم به این آدرس میره :
https://www.google.com/accounts/ServiceLogin?service=mail&passive=true&rm=false&continue=http://mail.google.com/mail/%3Fui%3Dhtml%26zy%3Dl&bsv=zpwhtygjntrz&scc=1<mpl=default<mplcache=2
برای همین نام کاربری و کلمهی عبور هم اگر ذخیره شده باشد با آدرس google.com ذخیره شده و آدرسی که ایمیل باز میشود mail.google.com است برای همین هیچوقت حتی با پروکسی و اینها هم اون گذینه yes نمیشود…
اگر یوزرنیم و پسورد ذخیره شود در آدرس بالا که دادم یعنی این :
https://www.google.com/accounts/ServiceLogin?service=mail&passive=true&rm=false&continue=http://mail.google.com/mail/%3Fui%3Dhtml%26zy%3Dl&bsv=zpwhtygjntrz&scc=1<mpl=default<mplcache=2
اون گزینه yes است و در صورتی که ذخیره نشده باشد no است…
برای ملاحضه بهتر این موضوع یک سایت دیگر را بررسی نمایید، که آدرس قبل و بعد از ورود یکی باشد…
امیدوارم توضیحاتم کامل باشه…( ممنونم از مطلبت که من رو به این داشت تا این بررسی ها رو انجام بدم و با هم یک چیز جدید یاد بگیریم )
موفق باشید
مبین زاده کوچک
آذر ۵م, ۱۳۸۸ در ۱۰:۳۳
سلام
خیر عزیز. منظور من قسمت جزئیات فنی (technical details) بود برای این که متوجه بشین الان درست کار میکنه یه نگاه به این عکس بکنین و قسمتی رو که گفتم با عکس قبل مقایسه کنین.
http://ur1.ca/gk6e
آذر ۵م, ۱۳۸۸ در ۱۲:۵۹
بله من حالا متوجه منظور شما شدم…
و حالا که چک کردم دیدم هنوز آی اس پی من این کار رو نکرده و فعلا در حالت امن به سر می برم!
آذر ۱۶م, ۱۳۸۸ در ۰۲:۲۹
salam,khoobi prince?yadame ghablana too kare ghaleb boodi,man az chand sal pish be webet sar mizadam ba ghalebaye prince hal mikardam.rastesh ba word press kar nakardam,age rajebesh too webet tozih bedi mamnun misham va inke ye ghalebe khoob vase blogfa age mitooni behem moarefi kon.khoshhal misham tabadole link konim.man ba webloge raya portable bargashtam
آذر ۱۷م, ۱۳۸۸ در ۱۰:۳۰
سلام
خیلی وقته که دیگه قالب درست نمیکنم مخصوصا برای بلاگفا
برای این که با وردپرس هم آشنا بشی یه جست و جوی کوچیک به فارسی توی گوگل بکنی کلی مطلب پیدا میکنی. خوشحال شدم که دوباره مینویسی.
ممنون
دی ۱۹م, ۱۳۸۸ در ۱۱:۵۹
با سلام خدمت مدیریت سایت
یک مشکل جدی در مورد جیمیل برایم اتفاق افتاده که اگر ممکن است راهنماییم کنید
الان بیشتر از یک ماه است که هرچی با سیستم خودم میخوام که به جیمیل وارد شوم نمیتونم بگم که میتونم وارد اکانت گوگل شوم . هیچ جیمیلی رو نمیشه با سیستم من چک کرد با سیستم های دیگه میتونم اما فقط با این سیستم نمتونم . چند بار ویندوز و حتی پارتشین بندی جدید هم کردم اما با سیستم های دیگه با همین خط راحت میتونم وارد . آیا مادربردم سریال مخصوصی داره که شناسایی شده و جیمیلم رو با این سیستم مسدود کردند؟
راه
دی ۱۹م, ۱۳۸۸ در ۱۳:۵۳
درود بر شما
اول این نکته رو بگم که به هیچ وجه اطلاعاتی مثل سریال سیستم شما یا چیزهایی مثل این به سایتها ارسال نمیشود. برای نمونه کل اطلاعاتی که من از سیستم شما دارم:
Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/532.5 (KHTML, like Gecko) Chrome/4.0.249.25 Safari/532.5که نشان میدهد شما ویندوز اکسپی و مرورگر گوگل کروم استفاده میکنید پس آن چیزی که فرمودید اتفاق نمیافتد. اما در مورد این که مشکل چیست تا اطلاعات بیشتری نداشته باشم نمیتوانم کمک کنم. اطلاعاتی مثل آن که میتوانید جیمیل را در حالت موبایل باز کنید؟ آیا فقط مشکل در مورد اساسال است یا با اچتیتیپی هم مشکل دارید؟ میتوانید از کلاینتی مثل thunderbird استفاده کنید یا آن هم مشکل دارد؟
بهمن ۲۴م, ۱۳۸۸ در ۱۳:۰۷
سلام.
شبکه شاتل (www.shatel.ir) هم همین کار را کرده است و به هیچوجه نمیتوان به Gmail بهصورت ایمن Login کرد.
بهمن ۳۰م, ۱۳۸۸ در ۰۰:۱۸
۱٫ نمیشه اینا کاری بکنن که مثلا وقتی ما مینویسیم HTTPS://a.com این صفحه رو باز بکنه در حقیقت: HTTP://a.com ؟
۲٫ با اینکه سرعت اینترنت من خیلی بالا هستش ولی این HTTPS اصلا جواب نمیده! یعنی اصلا کار نمیکنه!
۳٫ خیلی ممنون از مطالب مفیدتون. یک سوال هم داشتم و میخواستم بدونم که این (http://i759.photobucket.com/albums/xx236/peyman_dooste_to/FalseHTTPS.png) یعنی چی؟
۴٫ یک سوال دیگه: وقتی در سایت WordPress.com گزینه همیشه از HTTPS استفاده شود (یا یه چیزی مثل این) رو فعال میکنم، دیگه نمیتونم وارد اکانتم بشم!!! این مورد سوال ۱ رو تقویت میکنه. وقتی با firefox در صفحه اصلی وردپرس روی log و وارد صفحه جدید میشم، نشون میده که ارتباط امن هست. اما کروم دیگه حتی بازش هم نمیکنه! (http://i759.photobucket.com/albums/xx236/peyman_dooste_to/ChromeWordpressLogin.png)
بهمن ۳۰م, ۱۳۸۸ در ۱۳:۵۳
۱. همهی سایتها اطلاعات مهمی جا به جا نمیکنن که نیاز به SSL داشته باشن پس دلیلی هم نداره برای داشتن SSL درست هزینهی اضافی بدن.
۲. فیلترچیهای عزیز لطف کردن تا جایی که میتونستن SSL رو دستکاری کردن یا بستن پس HTTPS هم کار نمیکنه.
۳. یعنی ظاهرا شما دارید از SSL استفاده میکنید اما این SSL مربوط به گوگل نیست. پس کسی که این دستکاری رو کرده میتونه اطلاعات شما رو بخونه در حالی که اگه SSL صحیح بود نمیشد.
۴. متاسفانه وردپرس.کام هم جزو سایتهایی هست که دستکاری کردن و وقتی از SSL استفاده کنید اصلا سایت بالا نمیاد. باید از صفحهی لاگین موبایل برای لاگین شدن تو وردپرس استفاده کنید.
بهمن ۳۰م, ۱۳۸۸ در ۰۰:۲۶
http://i759.photobucket.com/albums/xx236/peyman_dooste_to/ChromeWordpressLogin2.png
آخرین وضعیت با کروم