29/03/2006 02:25:06
tal
טוב, אחרי שעברתי על הגיליון של רד בורד וקראתי את התגובות של האנשים אחרי הפירסום שלו הגעתי לכמה מסקנות.
קודם כל אני רוצה להביע את הערכתי לכל אלה שהשקיעו מזמנם הפרטי כדי לתרום לקהילה הישראלית בתחומי הפיתוח ואבטחת מידע. אך למרות המאמצים שהשקעתם ישנם מספר טעויות שרצוי שנתקן בכדי שגם אתם הכותבים וגם הקוראים יוכלו ללמוד מהן (הרי זאת המטרה לא כך?)
כך שמטרת הפוסט הזה היא בעצם לעשות רשימה של שגיאות שנמצאו בגיליון. אני מזמין את כולם לכתוב כאן טעויות שמצאתם בגיליון הקיים.
אם העורך של הספר יהיה מעוניין לערוך את הגיליון ולשחרר תיקון שלו זה יהיה נפלא, אם לא אני אדאג לעבור על הטעויות ולערוך אותן.
אני אשמח אם ג’ון ג’ון, הלל, קודי, סיפי, ניימלס וכל שאר החבר’ה יעזרו לתקן...
בנוסף לזה הייתי רוצה לומר לכל אלה שהגיבו יחסית בסקרסטיות לגיליון (ואי אפשר לומר שבהתחלה אני הגבתי אחרת): יש צורך להמשיך לעודד אנשים לכתוב מאמרים... זה בהחלט דבר טוב .. לכותבים ולעורך: בפעם הבאה שתכתבו משהו, אנא לפני שאתם משחררים את המוצר הסופי תעשו בדיקה מול מקורות מידע אחרים כי הכתבות אכן נכונות והמידע אשר פורסם בהן אכן מדוייק.
ואני אהיה הראשון שאתקן (בפוסט הבא). ושוב, לכל הכותבים - ח"ח (חיזוק חיובי)
[ההודעה נערכה על-ידי tal ב-29/03/2006 02:26:03][ההודעה נערכה על-ידי tal ב-29/03/2006 02:26:58]
29/03/2006 02:40:30
tal
אז ככה:
במאמר בנושא SSL ישנה טעות כי "5: הלקוח משתמש במפתח הציבורי כדי לפצח את ההעברות של השרת."
שזאת טעות. למעשה ישנם 2 מפתחות פרטיים ו2 מפתחות ציבוריים. לשרת יש מפתח פרטי ומפתח ציבורי ולקליינט יש מפתח פרטי וציבורי. כאשר הם מתקשרים בינהם מה שקורה זה בעצם בצורה הבאה:
1) השרת מצפין את המידע עם המפתח הציבורי ושולח לקליינט 2) הקליינט פותח את המידע מהשרת עם המפתח הפרטי שלו, ואת התגובה שלו מצפין עם המפתח הציבורי ושולח לשרת. 3) השרת פותח את המידע על ידי המפתח הפרטי שלו , מצפין את התגובה עם המפתח הציבורי ושולח לקליינט
וכך בעצם בלולאה...
מתוך WIKIPEDIA: The public key is known to everyone and is used to encrypt messages. These messages can only be decrypted by use of the private key.
בלי קשר כל כך לנושא, בכדי לתת הדגמה, ישנה דוגמא טובה להתקפה , ששמה הוא Replay Attack שבה בעצם האקר מאזין לתקשורת בין הקליינט לסרבר, למרות שהוא אינו יכול לדעת מה בידיוק עובר בין הקליינט לשרת (עקב העובדה שהמידע מוצפן) הוא כן יכול "לנחש" מתי הקליינט שולח לדוגמא מידע מסויים לשרת (לדוגמא פעולת בנק) , להקליט את הפקטים שנשלחים אל השרת ולהתחיל לשדר לשרת את אותם פאקטים. כך שבתאוריה מה שקורה זה שלדוגמא הקליינט עובד מול השרת של בנק ומחליט לשלוח למישהו כסף, הקליינט שולח את המידע וההאקר תופס את המידע. ההאקר קולט כי אכן מדובר בטרנזקציה של העברת כסף ומתחיל לשלוח לשרת את הפקט שהוצפן עם המפתח הציבורי של הקליינט שוב ושוב (למרות ששוב, הוא אינו יודע מה המידע שמוסתר בהצפנה)..
זהו בעיקרון. מקווה שעזרתי. טל. (אם אני איכשהוא טעיתי, אני גם אשמח אם תתקנו אותי =) )[ההודעה נערכה על-ידי tal ב-29/03/2006 02:44:55]
29/03/2006 07:26:08
devil kide
לאחר שיסימו לפרסם תיקונים, אני עארוך הכל מחדש!
29/03/2006 08:03:29
dracula_2000
tal עם אתה כל כך חכם עז למה שגם אתה לא תכתוב משהוא לגיליון?
29/03/2006 08:12:51
sysctl
יו דרקולה בבקשה תשתוק אתה אפילו לא יודע מי זה
29/03/2006 08:26:30
dracula_2000
אני יודע מי זה..... הוא בבית הספר שלי ואני כל יום פוגש אותו.
29/03/2006 08:32:15
roev
ציטוט:tal עם אתה כל כך חכם עז למה שגם אתה לא תכתוב משהוא לגיליון?
"tal אם אתה כל כך חכם אז למה שגם אתה לא תכתוב משהו לגיליון?" [ההודעה נערכה על-ידי roev ב-29/03/2006 08:33:55]
29/03/2006 12:01:17
antivirus
דרקולה אל תהפוך תפוסט הזה לריב חזרה לנושא הטופיק...תיקונים.. לכל מי שיש הערה שעכשיו ידבר ונתקן
29/03/2006 15:10:00
Acid-Burn
הגיליון הבא חייב להיות מנוהל על ידי חברה קצת יותר ותיקים (מהסיבה הפשוטה של ניסיון ידע והקרת הסצנה טוב יותר)
שכל אחד יגיד לו מה הוא היה רוצה לקרוא ככה נדע איזה חומר חסר ואיזה חומד באמת יכול לעזור...
כל החומר יעבוד בדיקה תוכנית ....
הגיליון חייב להיות מעוצב ברמה גבוהה זה יעלה את הרמה שלו את היחס של הקהל כלפיו....
צריך להחליט מה המטרות שלו האם זה בשביל לקדם את הסצנה או לקדם את הידע של הקהילה שלנו או למשוך לסצנה אנשים חדשים או שמה להביא אנשים חדשים לפורום...
צפו לעוד אני יחשוב בינתיים...
29/03/2006 20:04:47
HLL
דרקולה, אולי תרגע ... ורועי מה אתה תומך בו ^_^ תכלס הגיליון זקוק לכמה תיקונים SSL----
s ב https אומר Secure ולא SSL (למרות שזה לרוב רץ על SSL) בנוסף
דבר נוסף "5: הלקוח משתמש במפתח הציבורי כדי לפצח את ההעברות של השרת." קודם כל זה לא ממש ’לפצח’ ... (=לפענח אני מניח שהוא התכוון) דבר שני אי אפשר לפענח תוכן בעזרת מפתח ציבורי, אלא רק עם מפתח פרטי.
רקורסיות--- הייתי מוסיף בכתבה שעל מנת שרקורסיה תהייה תקינה צריכים להיות לה 2 מרכיבים 1. קריאה / הצהרה רקורסיבית (קריאה לפונ’ עצמה) 2. תנאי עצירה זה כתוב, אבל זה כתוב בין השורות ולא ממש ברור.
---Backdoor (אני זוכר ש JJ העיר על זה נראה לי) " Stream Socket שהוא למעשה סוקט דו כיווני " זה לא ממש ההגדרה המתאימה לדעתי[ההודעה נערכה על-ידי HLL ב-29/03/2006 20:05:09]
29/03/2006 22:00:13
אודי
לא רק העורך צריך לשבת ולבדוק מקורות (שזאת עבודה יחסית קשה אחרי הכל), אני חושב שגם הכותבים המוכשרים צריכים לבדוק את המידע..האם הוא תקין, עדכני וכו’..
בהצלחה.[ההודעה נערכה על-ידי אודי ב-29/03/2006 22:48:12]
29/03/2006 22:14:01
JonJon
אני לא יודע אם הזכירו את זה אבל בטקסט על הBACKDOOR בכותרת כתבתם טרויינים בכתבה כתוב שמדברים על BACKDOORS חוסר תיאום ... וגם ההגדרה לBACKDOOR איננה נכונה...
ובקשר לACID-BURN הסר דאגה מליבך
29/03/2006 22:49:31
Lamerr
ציטוט:אני לא יודע אם הזכירו את זה אבל בטקסט על הBACKDOOR בכותרת כתבתם טרויינים בכתבה כתוב שמדברים על BACKDOORS חוסר תיאום ... וגם ההגדרה לBACKDOOR איננה נכונה...
ובקשר לACID-BURN הסר דאגה מליבך נכון זה אמור להיות רק טרויאן ולא בקדור.. זה ממש לא קשור תעדכנו
29/03/2006 23:00:39
Acid-Burn
ציטוט:ובקשר לACID-BURN הסר דאגה מליבך
איזה דאגה אחי?
29/03/2006 23:56:17
Replica
ציטוט:אני יודע מי זה..... הוא בבית הספר שלי ואני כל יום פוגש אותו.
ואני תוהה איך הוא עדיין לא הביא לך מכות.
30/03/2006 11:03:32
Acid-Burn
{ דייייייייייייייייי דיייייייייייי כבר תעזרו אותו יאללה נמאס אז מה עם הוא לא יודע לכתוב ואז מה עם הוא מדבר שטויות אז מה כאילו שאתם לא הייתם ככה פעם כל אחד שרוצה להצליח חייב להתנסות על אנשים בהתחלה כדי שיתנו לו כבוד חרא שזה המצב אבל ככה זה קיצור תעשו לי טובה תפסיקו עם ההודעות המיותרות האיילה אחת אחרי השנייה על ירידות ובדיחות עיילו (למרוד שזה דיי מצחיק:) )
קיצור חאלס....
}
30/03/2006 13:17:59
xtr
אתה צודק ב100% דיי זה לא יפה ...
טל אני מרחם עליך ...
חח באסה לך ...
30/03/2006 13:45:55
Lamerr
ציטוט:ציטוט:אני יודע מי זה..... הוא בבית הספר שלי ואני כל יום פוגש אותו.
ואני תוהה איך הוא עדיין לא הביא לך מכות. אני בהלם, לא ידעתי שאתה ערס. סקואל.
30/03/2006 15:42:35
אודי
למה שטל יביא לו מכות? טל רגוע, אחלה בנאדם..לא אחד שמרביץ.
וAcid Burn, כשאנשים לא מבינים אחרי 20 פעם דברים מסויימים, זה מעצבן.
30/03/2006 16:30:09
Lamerr
ציטוט:{ דייייייייייייייייי דיייייייייייי כבר תעזרו אותו יאללה נמאס אז מה עם הוא לא יודע לכתוב ואז מה עם הוא מדבר שטויות אז מה כאילו שאתם לא הייתם ככה פעם כל אחד שרוצה להצליח חייב להתנסות על אנשים בהתחלה כדי שיתנו לו כבוד חרא שזה המצב אבל ככה זה קיצור תעשו לי טובה תפסיקו עם ההודעות המיותרות האיילה אחת אחרי השנייה על ירידות ובדיחות עיילו (למרוד שזה דיי מצחיק:) )
קיצור חאלס....
}
לא אף אחד שאני מכיר לא היה עד כדי כך מפגר.. עם פיגור שכלי של 95% ושהוא כישלון גנטי וששום דבר לא יצא ממנו.
30/03/2006 16:37:25
dracula_2000
דייייייייייי ,תפסיקו עם הספאם........
30/03/2006 17:18:44
type_o
Dear Tal,
Once again I say, SSL does not encrypt the data with asymmetric public/private key pair. It encrypts the data with a symmetric cipher.
Therefore, the whole episode written about SSL is a complete misconception.
30/03/2006 19:07:45
Cyber-Knight
ציטוט:דייייייייייי ,תפסיקו עם הספאם........
31/03/2006 01:44:52
tal
ציטוט:Dear Tal,
Once again I say, SSL does not encrypt the data with asymmetric public/private key pair. It encrypts the data with a symmetric cipher.
Therefore, the whole episode written about SSL is a complete misconception.
אם נניח בצד את מה שכתבו במאמר, קראתי כי: " SSL’s upper layer supplies asymmetric cryptography for server authentication, which is verifying the secure server’s digital identity to the client with digital ID signatures or certs with client authentication (the process of verifying the client’s identity to the server). "
מתוך האתר http://www.whichssl.com/glossary/ssl-certificate-s.html על פי מה שכתוב כאן מה שהצגתי נכון ו- SSL אכן משתמש במפתח אסימטרי. שוחחתי על זה גם עם סקוואל וגם הוא חושב כמוני, אתה בטוח שאני טועה? (אני מתייחס לעובדות שקראתי)
ציטוט:אתה צודק ב100% דיי זה לא יפה ...
טל אני מרחם עליך ...
חח באסה לך ...
אתה מרחם עליי כי... ? ACID-BURN התייחס לדברים שDRACULA 2000 כתב .. לא לפוסטים שלי..[ההודעה נערכה על-ידי tal ב-31/03/2006 01:45:55]
31/03/2006 09:40:30
xtr
לא ימסטול אני מרחם עילך שאתה צריך לראות אותו כל יום :\
סתם סתם דרקולה אל תפגע .... (הכל בצחוק )
31/03/2006 11:10:15
devil kide
חלאס. בואו נחזור לנושא המקורי, אנחנו רוצים שהגליון הבא יהיה טוב, נכון?!
31/03/2006 14:09:33
xtre
ציטוט:דרקולה, אולי תרגע ... ורועי מה אתה תומך בו ^_^ תכלס הגיליון זקוק לכמה תיקונים SSL----
s ב https אומר Secure ולא SSL (למרות שזה לרוב רץ על SSL) בנוסף
דבר נוסף "5: הלקוח משתמש במפתח הציבורי כדי לפצח את ההעברות של השרת." קודם כל זה לא ממש ’לפצח’ ... (=לפענח אני מניח שהוא התכוון) דבר שני אי אפשר לפענח תוכן בעזרת מפתח ציבורי, אלא רק עם מפתח פרטי.
רקורסיות--- הייתי מוסיף בכתבה שעל מנת שרקורסיה תהייה תקינה צריכים להיות לה 2 מרכיבים 1. קריאה / הצהרה רקורסיבית (קריאה לפונ’ עצמה) 2. תנאי עצירה זה כתוב, אבל זה כתוב בין השורות ולא ממש ברור.
---Backdoor (אני זוכר ש JJ העיר על זה נראה לי) " Stream Socket שהוא למעשה סוקט דו כיווני " זה לא ממש ההגדרה המתאימה לדעתי
[ההודעה נערכה על-ידי HLL ב-29/03/2006 20:05:09]
אז ככה:
בקשר לרקורסיה אתה צודק שזה קריאה שמצריכה קריאה מתוך הפונקציה בעצמה וזה אכן נכתב בגליון
הנה ציטוט
"המושג רקורסיה הוא סוג מבנה תכנותי המשתמש בפונקציה עצמה כדי להשיג את התוצאה של פעילות מוחזרת מהפונקציה עצמה או אפילו מכמה פונקציות שיקחו את המידע המוחזר אחת מן השנייה"
אתה צודק אולי שהיה צורך להרחיב קצת יותר אבל הדוגמאות והרעיון הבסיס שנכתב בתחילת הכתבה הביא לקורא את ההבנה פחות או יותר
בקשר להערה השנייה שלך שרקורסיה חיבת לסיים במשפטי תנאי גם זה נכתב בהערה בסוף הדף הנה ציטוט אחי..
"תהיו זהירים בכל מה שקשור לרקרוסיה ונסו לראות את כל הטעויות שיוכלו להופיע אם התוכנית לא תחזור בצורה נכונה מאחר וברקורסיה אם לא תפסיקו תשרשור תקבלו למעשה לולאה אינסופית שלפעמים תיצור שגיאות ותקלות שאינם ניצפו מלכתחילה" כמו שאתה שם לב הובהר שתכנותי חייבת להיות דרך שתסיים את הלולאה האינסופית
הדוגמא שבתוכנית מבטאת היטב את הרעיון והיא משתמש אכן במפשטי תנאי (וזה גם הובהר בשלבי ההסבר על התוכנית) שמסיימים את השרשור האינסופי אם יש הערות עדיין נשמח לשמוע תגובות....
01/04/2006 20:41:51
type_o
Tal,
If you want to learn about SSL, dont read whichssl.com, read "ssl specifications".
02/04/2006 14:25:21
Acid-Burn
שמעו אנשים אין צורך לתכן תוכן של הגיליון הזה בואו נחשוב כבר על הבא
עם מחליטים שעושים אותו אז צריך להתחיל לחשוב מה המטרות של הגיליון הבא...
שמשהוא יפתח נושא חדש על המטרות של הגיליון....
ואז אפשר יהיה לעשות זאת בצורה נכונה
02/04/2006 20:33:58
dracula_2000
ציטוט:למה שטל יביא לו מכות? טל רגוע, אחלה בנאדם..לא אחד שמרביץ.
וAcid Burn, כשאנשים לא מבינים אחרי 20 פעם דברים מסויימים, זה מעצבן.
