منبع اصلی نوشتار زیر در این لینک قرار دارد

SSL(TLS) Certificate File Extentions

همه sysadmin ها مطمئنا تا به حال حداقل یک بار مجبور به پیکربندی SSL یا TLS برای یکی از سرویس های وب یا میل شده اند. این موضوع به دلیل اینکه در طول یک پروژه یا کار خیلی کم پیش میاد، اکثر ما سطحی از کنارش می گذریم و خیلی کنجکاو نمی‌شیم که مفاهیم پایه … ادامه خواندن SSL(TLS) Certificate File Extentions ادامه مطلب

منبع اصلی نوشتار زیر در این لینک قرار دارد

Package Management در FreeBSD

همانطور که قبلاً قول داده بودم و نیز یک شماره به عنوان local authentication در FreeBSD ارایه کردم،‌ این مطلب نیز از سری مطالب پایه‌ای در FreeBSD می‌باشد. سیستم port به عنوان package management در FreeBSD مورد استفاده قرار می‌گیرد و اگر از قبل با آن آشنا نیستید بهتر است موارد زیر را بخوانید: بر … ادامه خواندن Package Management در FreeBSD
ادامه مطلب

منبع اصلی نوشتار زیر در این لینک قرار دارد

اس‌اس‌ال رایگان برای وب‌گاه‌های ایرانی

یکی از مشکلاتی که ما ایرانی‌ها با آن در مدت تحریم روبرو بودیم مشکل دریافت اس‌اس‌ال برای وب‌گاه‌های ایرانی بود، البته از راه‌های پیچ در پیچ می شد تهیه کرد اما سختی خودش را داشت، امروز در این نوشته قصد داریم تا یک وب‌گاه معرفی کنیم که به وسلیه آن می توانیم یک اس‌اس‌ال رایگان برای وب‌گاه خود تهیه کنید، برای این کار کافی است به این آدرس مراجعه و مشخصات آن را که خیلی ساده است تکمیل کنید، سرتیفیکیت معمولا بعد از دو روز کاری به رایانامه‌ای که وارد کرده‌اید ارسال می گردد، پیشنهاد می کنیم در step 3 گزینه اول را انتخاب کنید تا فرآیند ایجاد سرتیفیکیت توسط خود وب‌گاه انجام گیرد، شما در هر درخواست تا ۱۰۰ دامنه یا زیر دامنه می توانید به سرتیفیکیت خود اضافه نمایید
حتی برای دامنه‌های IR. خود نیز می توانید از این وب‌گاه اس‌اس‌ال دریافت کنید
https://buy.wosign.com/free/

ادامه مطلب

منبع اصلی نوشتار زیر در این لینک قرار دارد

توضیح فنی آسیب پذیری پودل

آسیب پذیری POODLE که امروز منتشر شده است، از یک ضعف در مبنای تئوری SSLv3 استفاده کرده است، نه یک مشکل پیاده سازی. به همین دلیل تنها راه برطرف کردن آن غیر فعال کردن کامل این پروتوکل می‌باشد.

اصل مبنای تئوری این آسیب پذیری توسط Serge Vaudenay در سال ۲۰۰۱ مطرح شده بود، اما او فکر می‌کرده است که امکان استفاده عملی از این آسیب پذیری وجود ندارد. هم اکنون یک روند عملی برای استفاده از این آسیب پذیری مطرح شده است. این روند عملی، اگر چه پیچیده، ولی قطعی است (احتمالی نیست) و فراهم کردن همه‌ی شرایط آن اگر چه نیاز به تلاش بسیاری دارد (و نوشتن یک اسکریپت برای آن شاید سخت باشد) ولی کاملا شدنی است.

ادامه مطلب
ادامه مطلب

منبع اصلی نوشتار زیر در این لینک قرار دارد

معرفی باگ جدید در SSL : پودل

SSL چیست؟

SSL یک پروتکل رمزنگاری است که برای برقراری یک ارتباطات امن
بین یک سرویس دهنده و یک سرویس گیرنده طراحی شده است. در اینترنت بسیاری از
وب سایت‌ها از این پروتکل و البته جایگزین آن یعنی پروتکل TLS برای دریافت
داده‌های حساس کاربر مانند، کلمه عبور، اطلاعات بانکی کاربر استفاده
می‌کنند. استفاده از این پروتکل‌ها تضمین دهنده‌ی این است که یک نفوذگر
نباید بتواند اطلاعات رمز شده را در طول مسیر رمز‌گشایی (تغییر و …) کند.
SSL یک پروتکل قدیمی می‌باشد نسخه‌ی سوم آن مربوط به ۱۵ سال پیش می‌باشد
اما همچنان در مرورگرها از آن پشتیبانی می‌شود. بیشتر وب‌سایت ها از
نسخه‌های TLS استفاده می‌کنند اما در صورت عدم پشتیبانی مرورگر کاربر از
TLS سعی می‌کنند از نسخه‌های قدیمی‌تر، مانند SSLv3 برای برقراری ارتباط
استفاده کنند.
ادامه مطلب
ادامه مطلب

منبع اصلی نوشتار زیر در این لینک قرار دارد

مهم: تشخیص و درمان خونریزی قلبی

توصیه‌هایی به عموم کاربران اینترنت:

  • اطلاعیه مربوط به معرفی تهدید امنیتی جدید اینترنتی موسوم به خونریزی قلبی را به دقت مطالعه کنید.
  • از استفاده و ورود به (Login کردن) در سایت‌های آسیب پذیر تا اطلاع ثانوی خودداری کنید.
  • در صورتی که قبلاً در حساب کاربری خود در سایت‌های آسیب‌پذیر وارد شده‌اید، بهتر است از هرگونه دسترسی به این سایت‌ها خودداری کنید و حتی از حساب کاربری خود خارج نشوید (Logout نکنید).
  • از وارد کردن اطلاعات حساس (مانند اطلاعات مالی و اطلاعات شخصی) در وب‌سایت‌های آسیب‌پذیر اکیداً خودداری کنید.
  • مشاهده‌ی سایت‌های آسیب‌پذیری که در آنها عضو نیستید، هیچ آسیبی به شما نمی‌رساند.
  • پس از رفع کامل مشکل سایت‌های آسیب‌پذیر، حتماً رمز عبور خود را در این سایت‌ها تغییر داده و یک‌بار از حساب کاربری خود خارج شوید.

ابزار تشخیص برخط این آسیب پذیری:

شرکت بیان سایتی را برای تشخیص این آسیب پذیری طراحی نموده است تا مدیران سایت‌ها بتوانند از وضعیت آسیب پذیری سایت خود مطلع شوند و در صورت وجود مشکل بتوانند فورا نسبت به رفع آن اقدام نمایند. کافی است آدرس سایت خود را در کادر مربوطه وارد کرده و آخرین تحلیل امنیتی سایت خود را مشاهده نمایید. 

amn.bayan.ir

توصیه به مدیران وب سایت ها و سرور‌ها:

این آسیب رسانی نرم‌افزارهای استفاده کننده از نسخه‌های بخصوصی از کتابخانه OpenSSL (نسخه‌‌ی 1.0.1 تا 1.0.1g)  را که شامل موارد زیر است را تحت تاثیر قرار می‌دهد و امکان استخراج ناخواسته اطلاعات حساس را به حمله‌کننده می‌دهد:

  • وب‌سرورها  و فایروال‌های نرم‌افزاری با قابلیت ارتباط امن HTTPS و TLS
  • سرویس‌های انتقال داده و پیام رسانی استفاده کننده از HTTPS

توصیه می‌شود در این خصوص به اخبار امنیتی سیستم‌عامل و نرم‌افزارهای مورد استفاده خود مراجعه کنید و مطمئن شوید از به‌روزترین نسخه‌های نرم‌افزارها در سرور خود استفاده می‌کنید. برای اطلاعات بیشتر به اینجا مراجعه کنید.

توصیه به شرکت ها و سازمانها: 

کلیه شرکت ها، سازمان ها، وزارت خانه ها ادارات،  مراکز آموزشی و نهادهایی که در شبکه داخلی خود از Firewall یا UTM برای کنترل و مدیریت شبکه داخلی خود استفده می کنند لازم است هرچه سریعتر نرم افزار های به کار رفته در این تجهیزات را بررسی و در صورت لزوم به روز کنند در غیر اینصورت در معرض خطرات جبران ناپذیری خواهند بود.

توصیه به مرکز ماهر ، مراکز آپا و سایر نهاد های مسئول:

آپا مخفف “آگاهی‌رسانی، پشتیبانی و و امداد رایانه ای” است. وظیفه یک مرکز آپا در درجه اول تشخیص و اطلاع از یک آسیب پذیری و خطر در اینترنت و سپس کمک به مدیریت این قبیل حوادث امنیتی و راهنمایی برای برطرف کردن آسیب‌پذیری‌های کشور است. طی سال های گذشته بیش از ١٠ مرکز آپا و مراکز مشابه در کشور راه اندازی شده است اما متاسفانه هیچ یک از این مراکز تخصصی، در مورد خونریزی قلبی به وظیفه خود عمل نکرده اند و چنان کند عمل می کنند که حتی یک روز بعد از اطلاع رسانی ها و تماس های مکرر شرکت بیان نیز، هنوز در سایت های خود هیچ هشداری را در این رابطه منتشر نکرده اند که جا دارد هرچه سریعتر اقدامات لازم را انجام دهند.

ادامه مطلب

منبع اصلی نوشتار زیر در این لینک قرار دارد

از حساب ایمیل یاهوتون محافظت کنید

مهم‌ترین مزیت و کاربرد پروتکل SSL این هست که ارتباط شما با سرور رو رمزنگاری و غیر قابل شنود می‌کنه. انتقال سرویس ایمیل یاهو به این پروتکل خبر خوبی برای حفظ امنیت کاربران یاهو حساب میشه. اگه شما جزو طرفداران یاهو هستید و هنوز از ایمیل یاهو استفاده می‌کنید، حتما می‌دونید که صفحه ورود به […] ادامه مطلب

منبع اصلی نوشتار زیر در این لینک قرار دارد

مشکل امنیتی گواهی‌های دیجیتال TurkTrust

گواهی‌های دیجیتال که برای احراز هویت و برقراری ارتباط امن بین مرورگر کاربر و سرویس‌دهنده وب کاربرد دارن از شیوه حلقه اعتماد استفاده می‌کنن. این گواهی‌ها توسط موسسه‌های مورد اطمینانی به اسم «مراجع صدور گواهی دیجیتال» یا “Certificate Authority” صادر میشن. این مراجع به دو شکل ریشه (root) و میانی یا واسط (intermediate) هستن. تفاوتون […] ادامه مطلب

منبع اصلی نوشتار زیر در این لینک قرار دارد

روشهای مقابله با حمله MITM در لینوکس قسمت سوم

در بخش اول و دوم با حمله MITM و روشهای این حمله آشنا شدیم. در این قسمت با یکی دیگر از انواع حمله MITM آشنا می‌شویم. دزدی SSL و حمله MITM: اغلب یک ارتباط امن  از یک ارتباط ناامن شروع می‌شود.  دو حالت زیر را در نظر بگیرید: شما در سایت http://www.google.com (که ارتباطات به رمز نیست) روی لینک httpS://gmail.com کلیک می‌کنید (که اطلاعات در این سایت بوسیله رمزنگاری منتقل…. ادامه مطلب

منبع اصلی نوشتار زیر در این لینک قرار دارد

چگونه DigiNotar CA certificate را در فایرفاکس حذف کنیم

دولت هلند در گزارشی تایید کرد که ممکن است ارتباطات اینترنتی هزاران ایرانی توسط افرادی به سرقت رفته باشد. در گزارشی که یک شرکت فناوری اطلاعات به سفارش دولت هلند تهیه کرده، هویت عاملان این دستبرد اینترنتی اعلام نشده است. بنا به این گزارش، هکرها حدود دو ماه پیش گواهینامه امنیتی شرکت هلندی دیجی نوتار را دزیده و سپس صدها گواهی جعلی تولید کرده اند. ظاهرا این هکرها با این شگرد، سرور و کامپیوترهای کاربرانی […] ادامه مطلب

به سیاره لینوکس امتیاز دهید

به اين صفحه امتياز دهيد