درود بر جادی عزیز بزرگترین و آگاهترین و قدیمی ترین و معتبرترین متخصص امنیت سایبری در ایران. به هموطن بودن با چنین انسان شریفی افتخار میکنم. پاینده و سربلند باشید جادی جان.✌️🙏❤️
سلام براستاد جادی عزیز اتفاقا تو هفته گذشته من یه ترکیب به این شکل بروی وب سایتم نوشتم اما با سالت داینامیک. بجای یه رشته ثابت برای سایت میشه از موارد مختلفی منحصرا برای هر نفر سالت ساخت مثلا سالت رو برای هر نفر از چنتا کاراکتر آخر رمزش بدست آورد یا مثلا ایمیل طرف رو هش کرد و سالت قرار داد یا مثلا ID یوزر رو هش کرد سالت قرار داد اینطوری برای هر نفر یه سالت اختصاصی هست و با راحتی سالت هم لو نمیره من پیا ش کردم رو سایتم به نظرم بهتر هست. مرسی از ویدئو های جذابت
thank you so much for this video please do more videos like this explaining the database and codebase of production level software it is very helpful for us to understand the inner structure of both the technical and management side of operations at these enterprises
استاد گرامی واقعا دلم ریش ریش میشه وقتی میبینم به این سرعت مو هاتون سفید شده از وقتی ۱۰ سالم بود تا به الان ویدیوهاتون رو دنبال می کردم و شما باعث شدید به جایی که الان هستم برسم 🫀❤️ امیدوارم شاد و پیروز باشید و یک روز بتونم شما رو از نزدیک ملاقات کنم
عالی بود من چند وقت پیش در مورد Hash ها بحث Cryptographic ها نشستم و خوندم و الان مطمئن شدم که نه خداروشکر درست متوجه شدم ممنونم جادی جان فقط بی زحمت پیر نشو مرسی اه 😅😅
سلام جادی جان، لطفا حدود 10 ثانیه خالی به ته ویدئو هات اضافه کن چون اخر ویدئو تامنیل یک ویدئو دیگه ازت رو میاره رو صفحه به عنوان توصیه و جلوی تصویر رو میگیره. ممنون
نگهداری سالت در دیتابیس مشکل بسیار بزرگی نیست. اگر از یک الگوریتم رندم صحیح برای جایگذاری سالت بین حروف پسورد استفاده کنیم، به جای افزودن سالت به آخر پسورد، آن را به شکل مختلف درون حروف پسورد جایگذاری کنیم. این باعث میشود که برای شکستن پسورد، نیاز دسترسی به سورس کد اصلی داشته باشن تا الگوریتم جایگذاری سالت را بیابند.
این کار اصلاً صحیح نیست! بر اساس اصل دوم از «اصول شش گانه رمزنگاری کرکهف»، سیستم رمزنگاری به هیچ وجه نباید هیچ چیز مخفی داشته باشد، «الا» کلید رمز. در حقیقت استحکام یک سیستم رمزنگاری به مخفی نگه داشتن سورس کد یا الگوریتم و امثال اینها نیست. شما میتوانید الگوریتم رمزنگاری تون رو به راحتی در اختیار هر کسی منجمله هکرها بگذارید!کلید یا کلیدهای رمزنگاری باید مخفی باشه.
@@naseremami60 الگوریتم رمزنگاری که مشخص هست، حتی با داشتن هش هم می توان فهمید که از چه الگوریتمی برای رمزنگاری استفاده شده است. تنها چیزی که در اینجا مخفی هست، نحوه جایگذاری سالت بین پسورد کاربر است. شما به جای اضافه کردن سالت به آخر پسورد، سالت را به شکل پیچیدهتر درون پسورد اضافه میکنی. این باعث میشود که هکرها نتوانن به سادگی بفهمن چگونه سالت به پسورد اضافه شده و تمام حالتهای ممکن را هش کنند.
دقیقا حق با شماست نگهداری سالت در دیتابیس مشکل بسیار بزرگی نیست چون در صورت استفاده هکر از rainbow table برای هر salt یک rainbow table داشته باشه. و در مورد پیشنهاد شما برای جایگزینی سالت بین حروف من پیشنهاد می دم از متد Bcrypt استفاده کنید ( در این متد پسورد های یکسان دارای هش های متفاوت است )
شاید مثلا الگوریتمی استفاده میشه که این salt رو از کارکتر دوم یا مثلا سوم یا هرجای دیگه ای به پسوورد اضاف میکنه و بعد اون رو هش میکنه. اینجوری میشه هم salt رو داخل دیتابیس داشته باشیم و هم اتفاقی نیوفته که باعث بشه اون salt به درد هکرها بخوره.
یکی از کارکرد های خاص سالت متفاوت و متغیر برای هر هش (مثل بیکریپت) این قابلیته که بتونی پسورد یوزر رو بدون تغییر دادنش ریهش کنی، اطلاعات بیشتر رو ایمیل کردم برات، کارکرد دیگش هم اینه که در صورت لو رفتن سالت ثابت اصلی که خارج از دیتابیسه به همراه دیتابیس، امکان درست کردن رینبو تیبل برای استفاده روی کل یوزر ها هم رسما از توان اتکر خارجه، مگر اینکه بخواد چند نفر کم رو صرفا مورد هدف قرار بده
از شخصیتت خیلی خوشم میاد اینکه نگاه آزاد داری و دوست داری دانشت رو در اختیار دیگران قرار بدی درود به اون شرفت
سلام جادی جان ، عالی مثل میشه.
دغدغه مندیت برای یادگیری توی هر شرایطی از هر اتفاقی فوق العاده قابل تقدیره. الگوی منی❤
درود بر جادی عزیز بزرگترین و آگاهترین و قدیمی ترین و معتبرترین متخصص امنیت سایبری در ایران.
به هموطن بودن با چنین انسان شریفی افتخار میکنم.
پاینده و سربلند باشید جادی جان.✌️🙏❤️
آخه لامصب چقدر جذاب و راحت و شیرین همه چیز رو توضیح میدی. انگار داری قصه تعریف می کنی . واقعا دمت گرمه جادی.
سلام براستاد جادی عزیز
اتفاقا تو هفته گذشته من یه ترکیب به این شکل بروی وب سایتم نوشتم اما با سالت داینامیک. بجای یه رشته ثابت برای سایت میشه از موارد مختلفی منحصرا برای هر نفر سالت ساخت مثلا سالت رو برای هر نفر از چنتا کاراکتر آخر رمزش بدست آورد یا مثلا ایمیل طرف رو هش کرد و سالت قرار داد یا مثلا ID یوزر رو هش کرد سالت قرار داد اینطوری برای هر نفر یه سالت اختصاصی هست و با راحتی سالت هم لو نمیره من پیا ش کردم رو سایتم به نظرم بهتر هست.
مرسی از ویدئو های جذابت
بعد از این یه ویدئو هم در مورد bcrypt دارم. حتما ببین (:
اصلا از این که ویدئو ها زیاد میشه بهم نریز چون هرچی ویدئو بیشتر میزاری بیشتر یاد میگیریم و کلی دمت گرم که باهامون اینارو به اشتراک میزاری
thank you so much for this video
please do more videos like this explaining the database and codebase of production level software
it is very helpful for us to understand the inner structure of both the technical and management side of operations at these enterprises
salam
man az shoma mamnoonam ke baramun mohtavaye alii misazid.
behtarinha ra baraye shoma arezoomandam.
استاد گرامی واقعا دلم ریش ریش میشه وقتی میبینم به این سرعت مو هاتون سفید شده
از وقتی ۱۰ سالم بود تا به الان ویدیوهاتون رو دنبال می کردم و شما باعث شدید به جایی که الان هستم برسم 🫀❤️
امیدوارم شاد و پیروز باشید و یک روز بتونم شما رو از نزدیک ملاقات کنم
پشمام
الان چند سالته؟؟؟
جادی جان لذت بردم دمت گرم
سلام استاد ممنونم خیلی واضح و ساده توضیح دادید. ممنون
عالی بود من چند وقت پیش در مورد Hash ها بحث Cryptographic ها نشستم و خوندم و الان مطمئن شدم که نه خداروشکر درست متوجه شدم ممنونم جادی جان فقط بی زحمت پیر نشو مرسی اه 😅😅
خیلی خوب بود درک برنامه نویسی با مثالهای واقعی روزمره بر منم چیزی نمیدونم خیلی جالب بود
دنیا به آدمای بیشتری مثل شما نیاز داره
Thank you Jadi. It was interesting
مثل همیشه عالی ، آموزنده و جدید. ممنونم جادی :)
دمت گرم من هر سری ویدیوهات رو نگاه میکنم یه چیز خیلی جدیدی یاد میگیرم
خیلی قشنگ توضیح دادی❤
مرسی خیلی خوب بود.
نکته جالبی بود که نباید سالت رو توی دیتابیس نگهداریم. متاسفانه من آموزشی دیدم که سالت رو هم توی دیتابیس نگه داری میکردند.
عالی بود. با اینکه خودم برنامه نویس وب هستم ولی باز هم چند چیز تو این ویدیو یاد گرفتم و برام جالب بود.
بسیار مفید
جادی جان ما از این جور ویدیو ها لذت میبریم و خیلی مفیده. بیشتر چنین ویدیو هایی اپلود کن✌❤
احسنت احسنت بسیار عالی
ممنون جادی عزیز برای توضیحاتت
Fantastic Mr. Jadi
عالی بود❤
دیگه از این روش با اندکی تغییر برای نگه داری رمز استفاده میکنم
ممنونم ازتون استاد
جالب بود آخرش گفتید که بقیه بستن ویدیو رو 😂😅
عالی بود جادی واقعا لذت بردم و کلی یاد گرفتم هر چند به صورت غیر مستقیم از هش استفاده می کردم ولی زیاد دربارش مطالعه نکرده بودم ❤️❤️
عالی بود
عالی بود، مرسی ازت❤
VERY very GOOD video
useful, thanks
Very profesional
استاد بینظیری
کارت درسته جادی جان ❤
Thank you for the useful information you gave us in this video
عالی بود جادی
دمت گرم حال داد❤
As always, learnin from you, Jadi
Thanks for your effort
ممنون بابت دانشی که در اختیارمون میزاری ❤
خیلی جالب بود
ممنون بابت ویدیو عالیت جادی
چقد جالب دمت گرم❤
خیلی عالی بود
دمتگرم ❤❤
بنظرم خیلی نکته خفنی بود که خیلی از برنامه نویسا به درستی رعایت نمی کنن و این اتفاقا برای همونه🙏🏻👍🏻👍🏻
واقعا بهبه❤❤❤
عالی✌🏼
عالی بود
helpful thanks
درود بیکران 💛💛
عالی بود ❤ لذت بردم
لطفا بازم ویدیو تحلیلی از اسنپ بذار. نکات جالبی برای یادگیری داره.
جادی واقعا عالی یه اتفاق رو پوشش میده
توضیح بسیار روان و سلیس. عالی بود جادی عزیز❤
عالی هستی
عالی بود ❤
مثل همیشه علی
عشق❤
Impressive ❤😊
ممنون🙏🏻
سلام
مرسی بابت این ویدیو های فنی و خوبتون
سوال :
آیا باید حتمن یوزر و پسوردها رو داخل دیتا بیس نگه داشت ؟ نمیشه از مکانیزم های tacacs استفاده کرد ?
سلام جادی جان، لطفا حدود 10 ثانیه خالی به ته ویدئو هات اضافه کن چون اخر ویدئو تامنیل یک ویدئو دیگه ازت رو میاره رو صفحه به عنوان توصیه و جلوی تصویر رو میگیره. ممنون
این سالت هم خیلی چیز جالبیه❤
عالي
عالی
اون سالت برام جالب بود ، قبلش نمیونستم..
درجه یکی
سلام و درود
اگر بتونید توی ی ویدیو توضیح بدید که خود الگوریتم هش چطوری کار میکنه ممنون میشم. چون نتونستم جایی پیدا بکنم که بگن و واقعا واسم سواله
خیلی خوبی جادی
Nice video 💛
درود بر جادی عزیز♥️♥️
*عاشقتیم جاری جونم.*
master of codes❤
جادی جان عالی میشه در مورد fastapi هم صحبت کنی ؟
thanks
مرسی جادی ❤❤❤
نگهداری سالت در دیتابیس مشکل بسیار بزرگی نیست. اگر از یک الگوریتم رندم صحیح برای جایگذاری سالت بین حروف پسورد استفاده کنیم، به جای افزودن سالت به آخر پسورد، آن را به شکل مختلف درون حروف پسورد جایگذاری کنیم. این باعث میشود که برای شکستن پسورد، نیاز دسترسی به سورس کد اصلی داشته باشن تا الگوریتم جایگذاری سالت را بیابند.
این کار اصلاً صحیح نیست! بر اساس اصل دوم از «اصول شش گانه رمزنگاری کرکهف»، سیستم رمزنگاری به هیچ وجه نباید هیچ چیز مخفی داشته باشد، «الا» کلید رمز. در حقیقت استحکام یک سیستم رمزنگاری به مخفی نگه داشتن سورس کد یا الگوریتم و امثال اینها نیست. شما میتوانید الگوریتم رمزنگاری تون رو به راحتی در اختیار هر کسی منجمله هکرها بگذارید!کلید یا کلیدهای رمزنگاری باید مخفی باشه.
@@naseremami60
الگوریتم رمزنگاری که مشخص هست، حتی با داشتن هش هم می توان فهمید که از چه الگوریتمی برای رمزنگاری استفاده شده است. تنها چیزی که در اینجا مخفی هست، نحوه جایگذاری سالت بین پسورد کاربر است. شما به جای اضافه کردن سالت به آخر پسورد، سالت را به شکل پیچیدهتر درون پسورد اضافه میکنی. این باعث میشود که هکرها نتوانن به سادگی بفهمن چگونه سالت به پسورد اضافه شده و تمام حالتهای ممکن را هش کنند.
در هر صورت خطرناکه چون ممکنه هکر حتی به سورس کد هم دسترسی پیدا کنه
دقیقا حق با شماست نگهداری سالت در دیتابیس مشکل بسیار بزرگی نیست چون در صورت استفاده هکر از rainbow table برای هر salt یک rainbow table داشته باشه. و در مورد پیشنهاد شما برای جایگزینی سالت بین حروف من پیشنهاد می دم از متد Bcrypt استفاده کنید ( در این متد پسورد های یکسان دارای هش های متفاوت است )
کاملا درسته@@naseremami60
عاشقتیم
عالی بود
حالا salt رو چطور به صورت امن ذخیره کنیم؟
Thanks jadi
مرسیییی
عاشق لباساتم 😂😂
سلام آقای جادی وقتتون بخیر، میخواستم بدونم چطور میشه باهتون همکاری کنم؟ ممنون
شاید مثلا الگوریتمی استفاده میشه که این salt رو از کارکتر دوم یا مثلا سوم یا هرجای دیگه ای به پسوورد اضاف میکنه و بعد اون رو هش میکنه. اینجوری میشه هم salt رو داخل دیتابیس داشته باشیم و هم اتفاقی نیوفته که باعث بشه اون salt به درد هکرها بخوره.
یکی از کارکرد های خاص سالت متفاوت و متغیر برای هر هش (مثل بیکریپت) این قابلیته که بتونی پسورد یوزر رو بدون تغییر دادنش ریهش کنی، اطلاعات بیشتر رو ایمیل کردم برات، کارکرد دیگش هم اینه که در صورت لو رفتن سالت ثابت اصلی که خارج از دیتابیسه به همراه دیتابیس، امکان درست کردن رینبو تیبل برای استفاده روی کل یوزر ها هم رسما از توان اتکر خارجه، مگر اینکه بخواد چند نفر کم رو صرفا مورد هدف قرار بده
sepas
جادی جان درباره هلی شات و ها برنامه ای که روشون نصب میشه برای کنترلشون یکم صحبت کن میگن میشه برنامشو هک کرد واسه افزایش برد و ارتفاع
اگر مثلا چند تا الگوریتم هش رو باهم ترکیب کنند چطور؟ ایا این روش مناسب و منطقیه؟
صرفا یک سوالی برام پیش اومد که میپرسم
2:02 اینجا رو خیلی دوس داشتم که گفتی انگار اسنپ فود پول داده بهت که بیای ماله بکشی😂😂😂😂
سلام به جادی عزیز. نگهداری این دیتا چه مشکلی میتونه ایجاد بکنه؟
dorod mamnon fani nabodam vali ta akhar bodam
Like ❤️❤️❤️
اقا جادی امکانش هست ویدیو بیشتر درست کنید توهمین زمینه ها؟؟ جذابه خیلی...( متخصص نیستم )
احساس میکردم آخرش مجبور مساله ان پی هارد و ان پی کامپلیت رو هم توضیح بدی 😂، دمت گرم
چقدر سخت بود🧐🧐🧐
مرسی جادی جان
ولی به نظرم دیگه password و address و email از این به بعد hash بشن بهترین کاره کلا فیلد های حیاتی
هش ی چیز یکطرفه س اگ هش کنی نمیتونی دوباره برش گردونی
فک کنم منظورت اینه دیکد بشه
❤❤❤❤
❤❤❤❤❤❤❤
این چیزهایی که شما میگی فکر کنم برخی هکرها هنوز بهش نرسیدن. میان از شما یاد میگیرن میرن😅😅😅
اگه برای پسورد از چهار بار هش استفاده کنیم بهتر نیست؟( میدونم هش عمل هزینه بری هستش) بحث هزینه و فایده هستش