من هم با مطرح شدن این بحث موافقم، بحث جالبی میتونه باشه.
Best Regards Reza Alizadeh Majd Http://ramajd.github.io Http://Edu.MediaPortal.Ir 2014-04-14 0:26 GMT+04:30 hamzeh khosravi <[email protected]>: > من با محمدرضا موافقم، حرف ایشون صحیح و کاملا درسته. > > > 2014-04-13 18:03 GMT+04:30 Mohammad Reza Kamalifard < > [email protected]>: > > بهنام گفت که این فقط یه باگ بوده و نمیشه در موردش ۳۰ دقیقه حرف زد! >> >> خوب در موردش میشه حرف زد همین نیست که بگی خوب یه باگ بوده >> ابعاد خیلی گسترده ای داشته و هر کسی که فک میکنه خوب من یه مطلب خودندم تو >> یه سایت پس همچی رو میدونم نیست >> قضیه گسترده ای داره و بیشتر از این که به امنیت ربط داشته باشه قضیه اوپن >> سورس و قضیه کامیونیتی هست که چرا همچین چیزی وجود داره و این سوال که حالا که >> کد های همچین چیز مهمی دیده نمیشده آیا بقیه چیزهای اوپن سورس رو هم برنامه >> نویس ها میبینن یا نه ! و کلا اوپن سورس چه کمکی به امنیت بیشتر کرده و نقش >> کامیونیتی چیه! >> لازمه که همه بدونن که چقدر باید بهش اعتماد کنن الان هر سایتی که فکر >> میکردی امنه امن نبوده! >> اینو دیدی !؟ https://www.cloudflarechallenge.com/heartbleed وقتی یه >> برنامه نویس تو خونش میتونه پرایوت کی یه سایت رو با همین روش در بیاره یعنی >> در مدت این چند سال همه چیز در اختیار کسایی بوده که میخواستن ما امن نباشیم! >> همه باید بدونن که چقدر پسورد هاشون و چیزایی که فکر میکردن امنه الان امن >> هستن >> >> >> اگر به نظر شما هم یه باگ بوده و ارائه مفید نیست بگید >> >> >> 2014-04-13 17:53 GMT+04:30 Behnam Tavakkoli <[email protected]>: >> >>> :) >>> >>> راجع به چیش میخواهی صحبت کنی؟ خوب یه باگ در مورد openssl بود که باعث >>> میشد این... >>> گفتنش که یک دقیقه است، این سی الی چهل دقیقه را با چه موضوعاتی در مورد >>> این باگ میخواهی پر کنی؟ >>> >>> >>> 2014-04-13 17:47 GMT+04:30 Mohammad Reza Kamalifard < >>> [email protected]>: >>> >>> لازم نیست بزنی @ این به میلینگ لیست نیست بین خودمونه >>>> من که بالا گفتم میخوام ارائه بدم چند تا ایمیل بری بالاتر میبینی >>>> خوب : >>>> >>>> پیشنهاد ارائه در مورد Heartbleed باگ در مورد OpenSSL توسط من و مهندس >>>> شجاری رو می دم. >>>> >>>> >>>> >>>> 2014-04-13 17:44 GMT+04:30 Behnam Tavakkoli <[email protected]>: >>>> >>>> @محمدرضا >>>>> >>>>> در مورد خونریزی قلبی میخوای صحبت کنی؟ یک تاپیک وار بگو در مورد چی این >>>>> موضوع مثلا میخواهی صحبت کنی که دوستان بدونند برای چی دارند میآیند... >>>>> >>>>> >>>>> 2014-04-13 17:36 GMT+04:30 Mohammad Reza Kamalifard < >>>>> [email protected]>: >>>>> >>>>> سلام >>>>>> بهنام >>>>>> من گفتم که میخوام ارائه فنی بدم این جلسه و کی اوکی اش میکنی که ما >>>>>> بتونیم روش کار کنیم؟ >>>>>> >>>>>> >>>>>> >>>>>> 2014-04-13 17:21 GMT+04:30 Behnam Tavakkoli <[email protected]>: >>>>>> >>>>>> چرا ایمیل هماهنگی جلسه را با بحث و جواب دادن به همدیگر شلوغ میکنید؟! >>>>>>> >>>>>>> *یک کلام،* کسی میخواهد بحث فنی پرزنت کنه یا مدیریت بحث آزاد جلسه >>>>>>> در مورد موضوع پیشنهادیش را بر عهده بگیره؟ اگر بله صریحا اعلام کند٪ >>>>>>> >>>>>>> >>>>>>> 2014-04-13 17:14 GMT+04:30 Mohammad Reza Kamalifard < >>>>>>> [email protected]>: >>>>>>> >>>>>>> سلام >>>>>>>> من این ایمیل بالایی رو ندیده بودم >>>>>>>> خوب سوتی اصلی رو این برنامه نویسه اونجایی داده که طول دیتایی که >>>>>>>> میگیره رو چک نمیکرده و در اون مورد که گفتی خوب چک میشه و نمیشه این >>>>>>>> کار >>>>>>>> رو کرد. >>>>>>>> >>>>>>>> >>>>>>>> 2014-04-11 14:33 GMT+04:30 11 11 <[email protected]>: >>>>>>>> >>>>>>>>> سلام >>>>>>>>> >>>>>>>>> لطفاً از این جلسه «فیلم» بگیرین برای امثال بنده که نمیتونن بیان! >>>>>>>>> فقط چون نمیتونم بیام نظرم رو همین الآن میگم: >>>>>>>>> >>>>>>>>> این متن طولانیست! >>>>>>>>> >>>>>>>>> در علم امنیت و امنیت اطّلاعات یه قاعده وجود داره که میگه هر چی >>>>>>>>>> مشکل سادهتر باشه احتمال کشفش کمتره! >>>>>>>>>> و اگه دقّت کرده باشین ایده این اکسپلویت خیلی ساده هست! (درخواست >>>>>>>>>> حجم نا معتری داده از سرور) >>>>>>>>>> بنده فکر میکنم این باگ در حقیقت یه اشتباه برنامهنویسی دانشجویی >>>>>>>>>> بوده باشه (با توجّه به سابقه کسی که اوّلین نویسنده کد باگخور بوده) >>>>>>>>>> ولی >>>>>>>>>> سیستمهای امنیتی، که کاملاً با قاعدهای که اوّل میل گفتم آشنایی >>>>>>>>>> دارن، از >>>>>>>>>> «خیلی» وقت پیش از وجود چنین باگی خبر داشتن و چیزی نگفتن! >>>>>>>>>> البته تعجّب اصلی بنده از امنیت کار ها و امنیتیهای ایرانه که چرا >>>>>>>>>> متوجّه چنین مشکلی نشدن! (بنده خیلی سواد نوشتن raw packet ندارم ولی >>>>>>>>>> از خیلی >>>>>>>>>> وقت پیش فکر میکردم با یه همچین ایدههایی چه کارها که نمیشه کرد! تو >>>>>>>>>> پانویس >>>>>>>>>> یه مثال میگم براتون) >>>>>>>>>> البته بد هم نیست تو این جلسه یه نگاهی هم به سایتهای دولتی و >>>>>>>>>> سازمانی ایرانی که قربانی این باگ شدن بندازین! (مثل ایرنیک و شاپرک و >>>>>>>>>> ... ) >>>>>>>>>> یه بررسی هم رو این موضوع کنین که «وقتی یه برنامه متنباز که کلّی >>>>>>>>>> آدم حرفهای دارن روش کار میکنن این طوری باگ میخوره دیگه >>>>>>>>>> برنامههایی که >>>>>>>>>> کدشون بستس چی دارن بگن؟؟» به نظرم بد نباشه! :دی >>>>>>>>>> ------- >>>>>>>>>> پ.ن. >>>>>>>>>> این صرفاً یه حدسه و شاید اصلاً درست نیاشه! به عنوان یه >>>>>>>>>> penetration scenario بهش نگاه کنین! >>>>>>>>>> مثلاً اگه کسی برای یه وب سرور یه فایلی قرار باشه آپلود کنه بعد >>>>>>>>>> بیاد تو هدر پکت content-size رو مثلاً بده ۵۱۲ بعد بیاد ۳۱ بایت داده >>>>>>>>>> بفرسته >>>>>>>>>> بعدش سریع EOF و بعد GEF (Group Execution Flag) بعد بقیه ۴۷۸ بایت >>>>>>>>>> باقی مونده >>>>>>>>>> رو raw shell code بفرسته بعد دوباره EOF و بعد EOT (End Of Transmit) >>>>>>>>>> خب اون >>>>>>>>>> شل کد رو سروره اجرا میشه! >>>>>>>>>> بنده فکر میکنم برای همینه که وب سرور ها اگه EOF بگیرن ولی حجم >>>>>>>>>> داده با حجم اعلام شده مطابقت نداشتهباشه سریع NACK میفرستن! >>>>>>>>>> پ.ن.۲: میبخشین اگه طولانی شد! >>>>>>>>> >>>>>>>>> >>>>>>>>> التماس دعا! >>>>>>>>> >>>>>>>>> >>>>>>>>> >>>>>>>>> >>>>>>>>> >>>>>>>>> >>>>>>>>> _______________________________________________ >>>>>>>>> general mailing list >>>>>>>>> [email protected] >>>>>>>>> http://lists.tehlug.org/mailman/listinfo/general >>>>>>>>> unsubscribe: http://lists.tehlug.org/mailman/options/general >>>>>>>>> >>>>>>>> >>>>>>>> >>>>>>>> _______________________________________________ >>>>>>>> general mailing list >>>>>>>> [email protected] >>>>>>>> http://lists.tehlug.org/mailman/listinfo/general >>>>>>>> unsubscribe: http://lists.tehlug.org/mailman/options/general >>>>>>>> >>>>>>> >>>>>>> >>>>>>> >>>>>>> -- >>>>>>> >>>>>>> - مرکز گنو/لینوکس سیتو : www.sito.ir >>>>>>> - خدمات وب بهرا : www.behra.ir >>>>>>> - پنل ارسال پیام کوتاه اکسون اساماس : www.axonsms.com >>>>>>> >>>>>>> <http://www.buysoft.ir/>−−−−−− >>>>>>> آدرس دفتر مرکزی : تهران - فلکه دوم صادقیه - ابتدای بلوار فردوس - >>>>>>> پلاک ۱۴ - واحد یک >>>>>>> کد پستی : ۱۴۸۱۷۹۷۳۷۱ | صندوق پستی : ۱۴۵۱۵/۹۳۹ >>>>>>> تلفن : ۴۴۰۰۰۷۵۱ | فکس : ۸۹۷۸۷۷۷۷ | تلفن همراه : ۰۹۱۹۲۰۶۵۶۳۴ >>>>>>> بهنام توکلی کرمانی >>>>>>> >>>>>>> >>>>>>> _______________________________________________ >>>>>>> general mailing list >>>>>>> [email protected] >>>>>>> http://lists.tehlug.org/mailman/listinfo/general >>>>>>> unsubscribe: http://lists.tehlug.org/mailman/options/general >>>>>>> >>>>>> >>>>>> >>>>> >>>>> >>>>> >>>> >>> >>> >>> -- >>> >>> - مرکز گنو/لینوکس سیتو : www.sito.ir >>> - خدمات وب بهرا : www.behra.ir >>> - پنل ارسال پیام کوتاه اکسون اساماس : www.axonsms.com >>> >>> <http://www.buysoft.ir/>−−−−−− >>> آدرس دفتر مرکزی : تهران - فلکه دوم صادقیه - ابتدای بلوار فردوس - پلاک ۱۴ >>> - واحد یک >>> کد پستی : ۱۴۸۱۷۹۷۳۷۱ | صندوق پستی : ۱۴۵۱۵/۹۳۹ >>> تلفن : ۴۴۰۰۰۷۵۱ | فکس : ۸۹۷۸۷۷۷۷ | تلفن همراه : ۰۹۱۹۲۰۶۵۶۳۴ >>> بهنام توکلی کرمانی >>> >>> >> >> _______________________________________________ >> general mailing list >> [email protected] >> http://lists.tehlug.org/mailman/listinfo/general >> unsubscribe: http://lists.tehlug.org/mailman/options/general >> > > > > -- > > *RegardsHamzeh Khosravi* > > Network & Security Architect > GNU/Linux System Administrator > +989128887967 || +989354025848 > > _______________________________________________ > general mailing list > [email protected] > http://lists.tehlug.org/mailman/listinfo/general > unsubscribe: http://lists.tehlug.org/mailman/options/general >
_______________________________________________ general mailing list [email protected] http://lists.tehlug.org/mailman/listinfo/general unsubscribe: http://lists.tehlug.org/mailman/options/general
