رفتن به مطلب
جامعه‌ی برنامه‌نویسان مُدرن ایران
  • 0
amirb

امنیت متد XmlHttpRequest


سوال

با سلام و عرض خسته نباشید.

می خواستم بدونم امنیت xmlhttprequest در qt quick بر بستر https چطوره؟ آیا میشه داده ها رو با wireshark یا fiddler با مجوز جعلی رمز گشایی کرد؟

کسی تا حالا امتحان کرده؟

https://docs.telerik.com/fiddler/Configure-Fiddler/Tasks/DecryptHTTPS

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

3 پاسخ به این سوال تا کنون داده شده است

پست های پیشنهاد شده

  • 0
در در 8 مرداد 1398 در 22:00، amirb گفته است :

با سلام و عرض خسته نباشید.

می خواستم بدونم امنیت xmlhttprequest در qt quick بر بستر https چطوره؟ آیا میشه داده ها رو با wireshark یا fiddler با مجوز جعلی رمز گشایی کرد؟

کسی تا حالا امتحان کرده؟

https://docs.telerik.com/fiddler/Configure-Fiddler/Tasks/DecryptHTTPS

وقتی صحبت از SSL میکنید که قطعا به این سادگی ها فقط با یکسری ابزار sniff و network packet analyzer مثل WireShark که نمی توان داده ها را تغییر داد! به فرض که شما به اون پکت های درست هم دسترسی پیدا کردید چطوری میخواهید بدون استفاده از کلید اختصاصی SSL رمزگشائی کنید، از روی داده رمزشده هم امکان استخراج کلید اصلی تقریبا محال ممکن هست! پس امنیت SSL به این راحتی ها قابل شکستن نیست ودرضمن مجوز جعلی هم برای SSL نمی توان ساخت که بخواهید ازش استفاده کنند.

در ثانی این ابزاری که شما می فرمایید معمولا برای استفاده در ابزارهای تست نفوذ استفاده می شوند، به این صورت که سیستم های تست نفوذ الگوریتم های هوش مصنوعی هستند و برای train کردن این نرم افزارها نیاز به داده هایی دارند که براساس نوع پکت های شبکه نفوذهای انجام گرفته را بررسی کنند، حالا ابزارهایی مثل WireShark چنین خروجی هایی را تولید میکنند البته اونهم به صورت هگز.

 

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر
  • 0

امنیت ssl را اطلاع دارم.

شیوه ی کار fiddler این گونه هست که به عنوان یک پروکسی عمل می کنه و وقتی مجوز خودش به صورت دستی روی سیستم فعال بشه ترافیک ssl رو هم sniff می کنه.داخل لینکی که گذاشتم آموزش داده شده.هر چند این شیوه نیاز به نصب دستی مجوز داره ولی من می خوام مطمئن بشم همین مقدار نا امنی هم وجود نداشته باشه. نیازی هم به فهمیدن کلید خصوصی اصلی نیست چون fiddler کلید خصوصی و عمومی خودش رو می سازه و ما در حقیقت به اون وصل میشیم.

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر
  • 0
در 2 ساعت قبل، amirb گفته است :

یازی هم به فهمیدن کلید خصوصی اصلی نیست چون fiddler کلید خصوصی و عمومی خودش رو می سازه و ما در حقیقت به اون وصل میشیم.

عرض کردم کلید خصوصی را چطوری مهندسی معکوس میکنه وقتی تقریبا 99/99 درصد امکان نداره که کلید را از روی داده رمز شده بدست آورد چون اصولا برگشت پذیر رمز نشده!

حالا چه fiddler چه هر ابزار دیگه برای sniff امکان نداره به این سادگی مجوز های SSL را دور بزنه(که اگر اینطوری بود حتی یک ریال هم نمیتونستیم با اطمینان بین چندتا حساب جابجا کنیم! مطمئن باش دوست عزیز! تا زمانی که ابر کامپیوتر های کوانتومی برای مهندسی معکوس رمزها ساخته نشده اند با ابر کامپیوترهای باینری حتی به صورت پردازش موازی ویا حتی پردازشگرهای توزیع شده هم بازهم تقریبا در خوشبینانه ترین حالت نزدیک 50 سال طول میکشه که یک رمز SSL را بشکنند!)

بنابراین با خیال راحت استفاده کن!

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

مهمان
پاسخ به این سوال ...

×   شما در حال چسباندن محتوایی با قالب بندی هستید.   حذف قالب بندی

  تنها استفاده از ۷۵ اموجی مجاز می باشد.

×   لینک شما به صورت اتوماتیک جای گذاری شد.   نمایش به عنوان یک لینک به جای

×   محتوای قبلی شما بازگردانی شد.   پاک کردن محتوای ویرایشگر

×   شما مستقیما نمی توانید تصویر خود را قرار دهید. یا آن را اینجا بارگذاری کنید یا از یک URL قرار دهید.


  • کاربران آنلاین در این صفحه   0 کاربر

    هیچ کاربر عضوی،در حال مشاهده این صفحه نیست.

×
×
  • جدید...