مره اخرى نتقابل فى الجزء الثانى من موضوع ال SSL اتمنى اكون اقدم لكم الاستفاده من مواضيعى و احب ان اكتب كلمه شكر لكل من اعطانى كلمه تشجيع و لكل من كتب رد على موضوعى و الان دعونا نكمل الدرس يمكن يكون شيق هذه المره.
The Value of Server Certificates of Authentication:
==================================================
=
استخدام ال DIGITAL CERTIFICATES يسمح لل SSL بتقديم ال authentication للمستخدم اى بتقديم التوثيق او الثقه بمعنى انها تعطى الوعد بأن السرفر الذى يتصل به اليوزر هو فعلا السرفر الذى يريده اليوزر. و هذه طبعا تعتبر نقطه هامه جداا بالنسبه لليوزر خاصه اذا كان سيقوم بأستعمال معلومات شخصيه مهمه مثل الكريدت كارد نمبر الخاص به او ال PIN CODE لشئ ما مهم بالنسبه له.
و لكن كيف حدث ان السرفر الذى يتصل به اليوزر هو ليس السرفر الذى يطلبه ؟
العمليه تعتبر سهله فى الانترنت. ففى الانترنت نعرف ان الويب سرفرس تكون معروفه ب الIP نمبر الخاص بكل سرفر و بالنسبه للIP فتعريفه هو انه رقم فريد من نوعه يسمى UNIQUE 32-BIT NUMBER و صعب جداا على الانسان تذكره او حفظ كميه كبيره منه. ال DNS اى ال Domain Name System و ميكانزمات اخرى كثيره تتحكم فى تنظيم و تحويل الIP الى اسماء سهله يستطيع الانسان تذكرها مثل 'www.internetbanking.com' . ارجو من الاخوه مراجعه موضوعى الاول عن ال DNS لمعرفه القصه بالتفصيل.
و الان عندما يكتب يوزر عنوان مثل هذا 'www.internetbanking.com' فى متصفحه و يضغط انتر تحصل عمليه معقده لايجاد هذا السرفر او الموقع المطلوب "راجعو الموضوع الاول لمعرفه العمليه" و لكن يوجد جزء كبير من هذه العمليه يكون دائما ما بعد تحكم اليوزر و الويب ادمنستراتور و تكون العمليه لها قابليه للهجوم عليها من عده نقاط.بمعنى ادق انه عندما يطلب اليوزر موقع مثل هذا 'www.internetbanking.com' اى موقع بنك اذن فهو معرض لان يكون متصل بسرفر يتحكم فيه مهاجم او هاكر و ليس البنك نفسه.
بمعنى اكثر توضيحا:
تخيل معى لو ان هاكر صمم ويب مماثل تماما دون ادنى اختلاف اى تعتبر نسخه مطابقه الى موقع هذا البنك فسوف يستعملون اليوزرس طبعا ارقام الكردت كارد و ال PIN CODES الخاصه بهم فى الموقع و بعد الكتابه و الضغط على زر انتر لتنفيذ اى عمليه مثل تحويل مبلغ معين مثلا كل ما يظهر على الشاشه هو there was a technical problem with the site and "please try again later". اى ان هناك مشكله فى السرفر و حاول مره اخرى . و فى نفس هذه اللحظه يكون الهاكر قد بدء بأستخدام الرقم المكتسب الجديد لسرقه بعض الاموال من الموقع الحقيقى فى راحه تامه دون اى ازعاج من البوليس
_files/smile.gif)
هل رأيتم كيف تكون الانترنت خبيثه و ذكيه .
و هناك الكثير مما يمكن التحدث عنه و عن انواع
مثل هذه الاختراقات و لكننا سنتركه الان و
لنركز فى الموضوع الاصلى .و دور ال SSL هنا هى انها تحاول تخطى هذه المشكله او تحاول الوصول الى السرفر الحقيقى المطلوب عن طريق تخزين ال DNS داخل ال digital certificate و بذلك فيقوم بالتعرف عليه بوضوح تام و بشكل صحيح.فعندما يتصل يوزر بموقع يستخدم ال SSL فيقدم السرفر الشهاده بأن هذا العنوان موجود فى ال DNS الفلانى فيقارن المتصفح العنوان للموقع الذى تريده بما تحتويه الشهاده او ال certificate. و لذلك فسيكون اليوزر متأكدمن صحه الموقع و السرفر المتصل بهم و اذا بالموقع فيه اى عطل فسيخبر اليوزر عن طريق ال POP-UP WINDOW و سيكون اليوزر متأكد من ان هذا السرفر فعلا لديه شهاده صحيحه.
و الان تخيل معنا ثانيا لو انه حصل نوع من المهاجمه مثل الذى دكرناه فى الاعلى و هو ان يكوم هاكر بتصميم نسخه طبق الاصل من موقع البنك. للمعرفه طبعا ان الهاكر لا يعرف اى طريقه لسهله ليخدع بها ال SSL authentication mechanism اى ميكانزم توثيق او ثقه ال SSL و لذلك يترك الهاكر ال SSL جانبا دون ان يضعها فى التصميم لموقعه المطابق للبنك و و لذلك فأن موقع الهاكر لا يكون لديه شهاده من ال digital certificate ليكون هو الموقع الذى يطلبه اليوزر لان موقع البنك الاصلى طبعا يستخدم ال SSL و لديه شهاده ثقه على انه هو فعلا موقع البنك .و يمكن الفارق الوحيد الذى ستراه بين الموقعين هى الايقونه الصغيره التى تكلمنا عنها فى الجزء الاول من الموضوع و هى التى توضح ان هذا الموقع محمى بواسطه ال SSL و لذلك فيكون التفريق بين موقع الهاكر و الموقع الاصلى سهل جداا. و بذلك فعلى اليوزر ان يمتنع عن استعمال معلوماته الشخصيه فى الموقع المزيف.
للتوضيح اكثر , ان ال SSL technology تقدم توثيق او ثقه مؤثره جداا و لكن بعد كل هذا فنجد انه هناك عدد غير كاف من اليوزرس هم فقط المقتنعين اقتناع تام بأهميه وجود ال SSL فى المواقع و لذلك يجب علينا التطوير فى انفسنا و يجب علينا الانتباه لمثل هذه الاشياء الصغيره حتى نكون فى أمان تام.
اتمنى ان يكون الجزء الثانى من الموضوع نال اعجابكم هذا الجزء الذى وضحنا فيه قيمه ال SSL و قيمه التوثيق التى تعطيه للسرفر لكى يتأكد اليوزر انه فى أمان تام من امثل الهاكرز
_files/wink.gif)
انتظرو الجزء الثالث من الموضوع قريبا ان شاء الله تعالى
اخوكم:
ACID BURN_EG دائما فى خدمتكم .
=================================================
جميع حقوق النشر محفوظه ل ACID BURN_EG
ACIDBURN_EG@HOTMAIL.COM
و ممنوع منعا باتا نقل هذا الموضوع خارج المنتدى او
كتابه مثله الا بعد الاستشاره.
=================================================