خوب این اگه بشه بحث آزاد منطقی تره :) اینکه خود این باگ چی بوده خیلی پیچیده نیست، چیز عجیب غریبی هم نداره، به نظرم یه برنامه ارایه دیگه پیشنهاد داده بشه و این بمونه برای بحث آزاد :))
2014-04-14 7:30 GMT+04:30 Reza Alizadeh Majd <[email protected]>: > من هم با مطرح شدن این بحث موافقم، بحث جالبی میتونه باشه. > > Best Regards > > Reza Alizadeh Majd > Http://ramajd.github.io > Http://Edu.MediaPortal.Ir > > > > 2014-04-14 0:26 GMT+04:30 hamzeh khosravi <[email protected]>: > > من با محمدرضا موافقم، حرف ایشون صحیح و کاملا درسته. >> >> >> 2014-04-13 18:03 GMT+04:30 Mohammad Reza Kamalifard < >> [email protected]>: >> >> بهنام گفت که این فقط یه باگ بوده و نمیشه در موردش ۳۰ دقیقه حرف زد! >>> >>> خوب در موردش میشه حرف زد همین نیست که بگی خوب یه باگ بوده >>> ابعاد خیلی گسترده ای داشته و هر کسی که فک میکنه خوب من یه مطلب خودندم >>> تو یه سایت پس همچی رو میدونم نیست >>> قضیه گسترده ای داره و بیشتر از این که به امنیت ربط داشته باشه قضیه اوپن >>> سورس و قضیه کامیونیتی هست که چرا همچین چیزی وجود داره و این سوال که حالا که >>> کد های همچین چیز مهمی دیده نمیشده آیا بقیه چیزهای اوپن سورس رو هم برنامه >>> نویس ها میبینن یا نه ! و کلا اوپن سورس چه کمکی به امنیت بیشتر کرده و نقش >>> کامیونیتی چیه! >>> لازمه که همه بدونن که چقدر باید بهش اعتماد کنن الان هر سایتی که فکر >>> میکردی امنه امن نبوده! >>> اینو دیدی !؟ https://www.cloudflarechallenge.com/heartbleed وقتی یه >>> برنامه نویس تو خونش میتونه پرایوت کی یه سایت رو با همین روش در بیاره یعنی >>> در مدت این چند سال همه چیز در اختیار کسایی بوده که میخواستن ما امن نباشیم! >>> همه باید بدونن که چقدر پسورد هاشون و چیزایی که فکر میکردن امنه الان امن >>> هستن >>> >>> >>> اگر به نظر شما هم یه باگ بوده و ارائه مفید نیست بگید >>> >>> >>> 2014-04-13 17:53 GMT+04:30 Behnam Tavakkoli <[email protected]>: >>> >>>> :) >>>> >>>> راجع به چیش میخواهی صحبت کنی؟ خوب یه باگ در مورد openssl بود که باعث >>>> میشد این... >>>> گفتنش که یک دقیقه است، این سی الی چهل دقیقه را با چه موضوعاتی در مورد >>>> این باگ میخواهی پر کنی؟ >>>> >>>> >>>> 2014-04-13 17:47 GMT+04:30 Mohammad Reza Kamalifard < >>>> [email protected]>: >>>> >>>> لازم نیست بزنی @ این به میلینگ لیست نیست بین خودمونه >>>>> من که بالا گفتم میخوام ارائه بدم چند تا ایمیل بری بالاتر میبینی >>>>> خوب : >>>>> >>>>> پیشنهاد ارائه در مورد Heartbleed باگ در مورد OpenSSL توسط من و مهندس >>>>> شجاری رو می دم. >>>>> >>>>> >>>>> >>>>> 2014-04-13 17:44 GMT+04:30 Behnam Tavakkoli <[email protected]>: >>>>> >>>>> @محمدرضا >>>>>> >>>>>> در مورد خونریزی قلبی میخوای صحبت کنی؟ یک تاپیک وار بگو در مورد چی >>>>>> این موضوع مثلا میخواهی صحبت کنی که دوستان بدونند برای چی دارند >>>>>> میآیند... >>>>>> >>>>>> >>>>>> 2014-04-13 17:36 GMT+04:30 Mohammad Reza Kamalifard < >>>>>> [email protected]>: >>>>>> >>>>>> سلام >>>>>>> بهنام >>>>>>> من گفتم که میخوام ارائه فنی بدم این جلسه و کی اوکی اش میکنی که ما >>>>>>> بتونیم روش کار کنیم؟ >>>>>>> >>>>>>> >>>>>>> >>>>>>> 2014-04-13 17:21 GMT+04:30 Behnam Tavakkoli <[email protected]>: >>>>>>> >>>>>>> چرا ایمیل هماهنگی جلسه را با بحث و جواب دادن به همدیگر شلوغ میکنید؟! >>>>>>>> >>>>>>>> *یک کلام،* کسی میخواهد بحث فنی پرزنت کنه یا مدیریت بحث آزاد جلسه >>>>>>>> در مورد موضوع پیشنهادیش را بر عهده بگیره؟ اگر بله صریحا اعلام کند٪ >>>>>>>> >>>>>>>> >>>>>>>> 2014-04-13 17:14 GMT+04:30 Mohammad Reza Kamalifard < >>>>>>>> [email protected]>: >>>>>>>> >>>>>>>> سلام >>>>>>>>> من این ایمیل بالایی رو ندیده بودم >>>>>>>>> خوب سوتی اصلی رو این برنامه نویسه اونجایی داده که طول دیتایی که >>>>>>>>> میگیره رو چک نمیکرده و در اون مورد که گفتی خوب چک میشه و نمیشه >>>>>>>>> این کار >>>>>>>>> رو کرد. >>>>>>>>> >>>>>>>>> >>>>>>>>> 2014-04-11 14:33 GMT+04:30 11 11 <[email protected]>: >>>>>>>>> >>>>>>>>>> سلام >>>>>>>>>> >>>>>>>>>> لطفاً از این جلسه «فیلم» بگیرین برای امثال بنده که نمیتونن بیان! >>>>>>>>>> فقط چون نمیتونم بیام نظرم رو همین الآن میگم: >>>>>>>>>> >>>>>>>>>> این متن طولانیست! >>>>>>>>>> >>>>>>>>>> در علم امنیت و امنیت اطّلاعات یه قاعده وجود داره که میگه هر چی >>>>>>>>>>> مشکل سادهتر باشه احتمال کشفش کمتره! >>>>>>>>>>> و اگه دقّت کرده باشین ایده این اکسپلویت خیلی ساده هست! (درخواست >>>>>>>>>>> حجم نا معتری داده از سرور) >>>>>>>>>>> بنده فکر میکنم این باگ در حقیقت یه اشتباه برنامهنویسی دانشجویی >>>>>>>>>>> بوده باشه (با توجّه به سابقه کسی که اوّلین نویسنده کد باگخور بوده) >>>>>>>>>>> ولی >>>>>>>>>>> سیستمهای امنیتی، که کاملاً با قاعدهای که اوّل میل گفتم آشنایی >>>>>>>>>>> دارن، از >>>>>>>>>>> «خیلی» وقت پیش از وجود چنین باگی خبر داشتن و چیزی نگفتن! >>>>>>>>>>> البته تعجّب اصلی بنده از امنیت کار ها و امنیتیهای ایرانه که چرا >>>>>>>>>>> متوجّه چنین مشکلی نشدن! (بنده خیلی سواد نوشتن raw packet ندارم ولی >>>>>>>>>>> از خیلی >>>>>>>>>>> وقت پیش فکر میکردم با یه همچین ایدههایی چه کارها که نمیشه کرد! >>>>>>>>>>> تو پانویس >>>>>>>>>>> یه مثال میگم براتون) >>>>>>>>>>> البته بد هم نیست تو این جلسه یه نگاهی هم به سایتهای دولتی و >>>>>>>>>>> سازمانی ایرانی که قربانی این باگ شدن بندازین! (مثل ایرنیک و شاپرک و >>>>>>>>>>> ... ) >>>>>>>>>>> یه بررسی هم رو این موضوع کنین که «وقتی یه برنامه متنباز که کلّی >>>>>>>>>>> آدم حرفهای دارن روش کار میکنن این طوری باگ میخوره دیگه >>>>>>>>>>> برنامههایی که >>>>>>>>>>> کدشون بستس چی دارن بگن؟؟» به نظرم بد نباشه! :دی >>>>>>>>>>> ------- >>>>>>>>>>> پ.ن. >>>>>>>>>>> این صرفاً یه حدسه و شاید اصلاً درست نیاشه! به عنوان یه >>>>>>>>>>> penetration scenario بهش نگاه کنین! >>>>>>>>>>> مثلاً اگه کسی برای یه وب سرور یه فایلی قرار باشه آپلود کنه بعد >>>>>>>>>>> بیاد تو هدر پکت content-size رو مثلاً بده ۵۱۲ بعد بیاد ۳۱ بایت داده >>>>>>>>>>> بفرسته >>>>>>>>>>> بعدش سریع EOF و بعد GEF (Group Execution Flag) بعد بقیه ۴۷۸ بایت >>>>>>>>>>> باقی مونده >>>>>>>>>>> رو raw shell code بفرسته بعد دوباره EOF و بعد EOT (End Of Transmit) >>>>>>>>>>> خب اون >>>>>>>>>>> شل کد رو سروره اجرا میشه! >>>>>>>>>>> بنده فکر میکنم برای همینه که وب سرور ها اگه EOF بگیرن ولی حجم >>>>>>>>>>> داده با حجم اعلام شده مطابقت نداشتهباشه سریع NACK میفرستن! >>>>>>>>>>> پ.ن.۲: میبخشین اگه طولانی شد! >>>>>>>>>> >>>>>>>>>> >>>>>>>>>> التماس دعا! >>>>>>>>>> >>>>>>>>>> >>>>>>>>>> >>>>>>>>>> >>>>>>>>>> >>>>>>>>>> >>>>>>>>>> _______________________________________________ >>>>>>>>>> general mailing list >>>>>>>>>> [email protected] >>>>>>>>>> http://lists.tehlug.org/mailman/listinfo/general >>>>>>>>>> unsubscribe: http://lists.tehlug.org/mailman/options/general >>>>>>>>>> >>>>>>>>> >>>>>>>>> >>>>>>>>> _______________________________________________ >>>>>>>>> general mailing list >>>>>>>>> [email protected] >>>>>>>>> http://lists.tehlug.org/mailman/listinfo/general >>>>>>>>> unsubscribe: http://lists.tehlug.org/mailman/options/general >>>>>>>>> >>>>>>>> >>>>>>>> >>>>>>>> >>>>>>>> -- >>>>>>>> >>>>>>>> - مرکز گنو/لینوکس سیتو : www.sito.ir >>>>>>>> - خدمات وب بهرا : www.behra.ir >>>>>>>> - پنل ارسال پیام کوتاه اکسون اساماس : www.axonsms.com >>>>>>>> >>>>>>>> <http://www.buysoft.ir/>−−−−−− >>>>>>>> آدرس دفتر مرکزی : تهران - فلکه دوم صادقیه - ابتدای بلوار فردوس - >>>>>>>> پلاک ۱۴ - واحد یک >>>>>>>> کد پستی : ۱۴۸۱۷۹۷۳۷۱ | صندوق پستی : ۱۴۵۱۵/۹۳۹ >>>>>>>> تلفن : ۴۴۰۰۰۷۵۱ | فکس : ۸۹۷۸۷۷۷۷ | تلفن همراه : ۰۹۱۹۲۰۶۵۶۳۴ >>>>>>>> بهنام توکلی کرمانی >>>>>>>> >>>>>>>> >>>>>>>> _______________________________________________ >>>>>>>> general mailing list >>>>>>>> [email protected] >>>>>>>> http://lists.tehlug.org/mailman/listinfo/general >>>>>>>> unsubscribe: http://lists.tehlug.org/mailman/options/general >>>>>>>> >>>>>>> >>>>>>> >>>>>> >>>>>> >>>>>> >>>>> >>>> >>>> >>>> -- >>>> >>>> - مرکز گنو/لینوکس سیتو : www.sito.ir >>>> - خدمات وب بهرا : www.behra.ir >>>> - پنل ارسال پیام کوتاه اکسون اساماس : www.axonsms.com >>>> >>>> <http://www.buysoft.ir/>−−−−−− >>>> آدرس دفتر مرکزی : تهران - فلکه دوم صادقیه - ابتدای بلوار فردوس - پلاک >>>> ۱۴ - واحد یک >>>> کد پستی : ۱۴۸۱۷۹۷۳۷۱ | صندوق پستی : ۱۴۵۱۵/۹۳۹ >>>> تلفن : ۴۴۰۰۰۷۵۱ | فکس : ۸۹۷۸۷۷۷۷ | تلفن همراه : ۰۹۱۹۲۰۶۵۶۳۴ >>>> بهنام توکلی کرمانی >>>> >>>> >>> >>> _______________________________________________ >>> general mailing list >>> [email protected] >>> http://lists.tehlug.org/mailman/listinfo/general >>> unsubscribe: http://lists.tehlug.org/mailman/options/general >>> >> >> >> >> -- >> >> *RegardsHamzeh Khosravi* >> >> Network & Security Architect >> GNU/Linux System Administrator >> +989128887967 || +989354025848 >> >> _______________________________________________ >> general mailing list >> [email protected] >> http://lists.tehlug.org/mailman/listinfo/general >> unsubscribe: http://lists.tehlug.org/mailman/options/general >> > > > _______________________________________________ > general mailing list > [email protected] > http://lists.tehlug.org/mailman/listinfo/general > unsubscribe: http://lists.tehlug.org/mailman/options/general > -- ----------------------------- http://cyberrabbits.net
_______________________________________________ general mailing list [email protected] http://lists.tehlug.org/mailman/listinfo/general unsubscribe: http://lists.tehlug.org/mailman/options/general
