[kourosh_iran]

مثلن خیلی خوشحال میشم که شما بتونید سورس سیستم عامل Mini NVR های شرکت Apexis رو به نشون بدید که کجا هستند دقیقن!!! محض اطلاع لینوکس هم هستند ;)

باشه روش تحقیق میکنم ببینم قضیه چیه.

شما هنوز نفهمیدی که من مشکلی با نرم افزارهای آزاد ندارم! با بودنشون هیچ مخالفتی ندارم! خیلی هم از وجودشون خوشحالم!! مساله به این سادگی رو با این همه ادعا و ماتحت خر پاره کنی نفهمیدی جناب متخصص!!! متخصص هم انقدر شوت ؟! :))
حرف من از اول تا همین الان این بوده : نرم افزارهای آزاد در مقابل انواع تجاری موجود (دسکتاپ) کاربرپسند و همه گیر نیستند و فقط به درد استفاده های تخصصی میخورند!!
شرط میبندم باز هم مساله به این سادگی نمیفهمی و میای یک کیلو دری وری مینویسی :))

میبینم که کم کم داغ کردنت دیگه باعث شده کنترلی رو که روش داشتی از دست بدی و با استفاده از کلمات رکیک و بیشتر نزدیک شدن به توهین به مخاطب، رسوا بشه! این نشون میده دوست عزیز، که شما کم آوردی و درجه رادیاتورت رفته بالا
پس واسه من از این داستانها نباف و جنگ روانی راه نندازه که طور دیگری وانمود کنی! فکر نکن خیلی باهوشی، چون من از تو باهوش ترم! نمیتونی منو با این بازیهای زبانی و جنگ روانی راه انداختن فریب بدی، جناب آقای بیزینسمن موفق و طرفدار اکید نظام مقدس سرمایه داری :e057:

و اما اگر شما هم سعی کنی ببینی کجای کار ایراد داشتی که نهایت به این وضع رسیدی، و خودت رو اصلاح و کنترل کنی، توافق کنیم که بقیهء بحث بر اساس منطق پیش بریم و نه چیز دیگه.

درمورد مباحثی که شما میفرمایید و خب اصل مطلب درست و حسابی و بدون توهین و حقه بازی که بیان فرمودید اینه فقط: «نرم افزارهای آزاد در مقابل انواع تجاری موجود (دسکتاپ) کاربرپسند و همه گیر نیستند و فقط به درد استفاده های تخصصی میخورند!!»
باید بگم که شما بارها اینطور حرفها و مسائل رو قبلا و در بحثهای قدیمی تر هم مطرح فرموده بودید که بنده بنظر خودم پاسخ های روشن و منطقی بهشون داده بودم. ولی شما باز و باز میای و همون حرفا رو تکرار میکنی با اینکه جوابش رو قبلا گرفتی. نمیدونم چشماتون مشکل داره یا مشکل جای دیگس شاید اینقدر مغرور و به خودت مطمئن هستی که اصلا جوابهای مخالب رو خوب نمیخونی خوب روش فکر نمیکنی وجدان نمیکنی هضم نمیکنی نمیدونم شاید برات قابل درک نیست چون شاید یه انسانی هستی که ماهیت و درونش با من فرق میکنه. وگرنه من هیچوقت با این حرفا مخالفت نکردم، ولی گفتم با وجود همهء اینا اینا فقط یک بخش از کاربردها و یک بخش از کاربرانه، و لینوکس و بازمتن برای مفید و مهم بودن و حتی حیاتی بودن نیازی نیست که حتما همهء کاربردها و همهء کاربران رو به نحو عالی، به نحوی برابر با مثلا ویندوز پوشش بده! چه کسی چنین چیزی گفته، دلیل و سندش چیه؟
شما میگی کاربرد حرفه ای. خب بله اگر منظورت از کاربرد حرفه ای فقط دسکتاپ باشه فقط فتوشاپ و اتوکد و اینطور چیزها باشه، ولی من به خیلی کارهای دیگه هم میگم کاربرد حرفه ای. مثلا ابررایانه مگر کاربرد غیرحرفه ایه؟ مگر سرورها وب و غیره اینترنت غیرحرفه ایه؟ شما میگی تخصصی و برای کاربر عام، برای حرفه ایهای مشاغل عامه بقدر کافی مناسب نیست، خب دقیق بگو همینو بگو. از اصطلاحات کلی و مبهم استفاده میکنی خب مشکل پیش میاد.
من میگم آقا جان خب باشه قبول که لینوکس به درد اتوکدکار نمیخوره به درد فتوشاپ کار نمیکنه و غیره. ولی خب که چی؟ از این چطور چه نتیجهء کلی و مطلقی میخوای بگیری اینو بگو! میخوای بگی لینوکس در کل مفید نیست؟ بازمتن در کل شکست خورده؟ من این نتیجه گیری های کلی و مطلق رو هست که قبول ندارم. بارها و بارها هم توضیح دادم که بابا لینوکس کلی کاربرد و کاربر خاص و کلی خواص و اثرات پیچیده و غیرمستقیم داره کلی مسائل حتی غیرفنی داره وجود لینوکس و بازمتن. من میگم اصلا گیریم لینوکس در همهء جنبه ها همیشه چند پله پشت سر نرم افزارهای انحصاری حرکت کنه، ولی بازم وجودش رو من به شخصه خیلی بهتر از عدم وجودش میدونم. نه لینوکس، بلکه بطور کلی بازمتن! چون باعث میشن همیشه فاصله در حداقل باقی بمونه، همیشه امکان یک آلترناتیو دور از دسترس نباشه، حتی مثل سگی که دنبال طرف میدوه، نرم افزارهای انحصاری هم پیشرفت کنن همیشه از نظر برتری فنی و کیفیت و قیمت سعی بیشتری بکنن خودشون رو بالا نگه دارن چون میدونن اگر زیاد اشتباه کنن اگر زیاد بخوان از برتری خودشون از انحصار خودشون سوء استفاده کنن اگر تنبلی کنن اگر بخوان کاربران رو بیش از حد محدود کنن و تحت کنترل و فشار بذارن، اونوقت اون سگه ممکنه بهشون برسه پاچشون رو بگیره. پس وجود لینوکس و بازمتن بطور کلی باعث پیشرفت همه میشه، حتی همون نرم افزارهای انحصاری! حتی شمایی که از بازمتن و لینوکس هیچ استفاده ای هم نکنی، به احتمال زیاد داری از نتایج غیرمستقیم اون از نتایج سیاسی و اجتماعی اون سود میبری.
حالا تازه از نظر علمی، از نظر یادگیری، از نظر آکادمیک و تحقیقات و شرکتها و کارهای خاص هم که لینوکس باز کلی مزیت کلی کاربرد داره. من بخوام تحقیق کنم یاد بگیرم سیستم عامل بنویسم سرور راه بندازم هزار و یک کار دیگه کنم، لینوکس و بازمتن یاران طبیعی من خواهند بود. به همین شکل هزاران و صدها هزار نفر در سراسر جهان ازش استفاده کردن و میکنن و خواهند کرد.
خلاصه بخوایم وارد این وادیها بشیم خیلی مباحث هست خیلی نمونه ها داستانها هست. من بارها به اینا اشاره کردم، اما همچنان شما سوزنت گیر کرده روی دسکتاپ و کاربران و حرفه های عمومی و سر این بد و بیراه هم میگی و یجور صحبت میکنی که انگار لینوکس و بازمتن بطور کلی و تفکرات و حرکتهایی امثال جنبش نرم افزار آزاد و استالمن از اولش هم اشتباه بودن و شکست خوردن! ولی چشمات رو باز کنی اون عینک و فیلتر مطلق گرایی رو از روش برداری، این همه واقعیت بزرگ و ملموس رو باید بتونی در جهان امروز ما ببینی که لینوکس و بازمتن هم خیلی کاربردها دارن خیلی فواید داشتن و دارن و خواهند داشت برای خیلی ها. کار خیلی ها رو راه میندازن. غیر از اینه؟ حالا شما مشکلات کجاست با کیه دقیقا چرا اینقدر خشم چرا اینقدر تنفر چرا اینقدر سعی در انکار موجودیت و فواید و موفقیت این دستاوردها داری؟ موفقیت که حتما نباید مطلق باشه حتما نباید همهء حیطه ها همهء کاربران رو به میزان یکسانی داشته باشه تا بشه گفت موفقیت و سود و اهمیت در کل! الان نصف دنیا دارن روی بازمتن کار میکنن در هر حیطه ای میری ردی ازش پیدا میکنی و بعضی موارد که پر از دستاوردهای اونه. فیسبوک با بازمتن کار میکنه با لینوکس با PHP و آپاچی و غیره، گوگل همچنین از بازمتن استفاده میکنه، و این شرکتها همشون در بازمتن مشارکت و کمک های بزرگی میکنن، این همه زبان برنامه نویسی کتابخانهء برنامه نویسی فریمورک ها برنامه های بازمتن و رایگان از کجا میان این همه آدم دارن استفاده میکنن حالش رو میبرن خب چرا نمیرن بجاش از نرم افزارهای انحصاری استفاده کنن؟! همین PHP بخش اعظم وب رو گرفته. میگی بقدر دات نت حرفه ای نیست خب حرفی نیست، منم میدونم، ولی در کل بازم خیلی مفید و پرکاربرده کار خیلی ها رو راه میندازه اگر مفید نبود اگر برای خیلی کارها قابل استفاده نبود که الان وب رو به تسخیر خودش درنیاورده بود! اشکال کار کجاست من متوجه نمیشم! شما دقیقا کجای حرفای من رو چطوری با چه سند و استدلالی رد میکنی؟ من هیچوقت نگفتم لینوکس و بازمتن در تمام حیطه ها برای تمام کاربران، با نرم افزارهای انحصاری برابری میکنن یا بهتر هستن.
همین مرورگر که دارم توش اینا رو تایپ میکنم دستاورد بازمتنه، همین سرور که سایت شما روشه همین زبان برنامه نویسی که استفاده میکنه بازمتنه، خب همینا برای نشون دادن امکان بقا و موفقیت و کارایی و فایده و اهمیت نرم افزارآزاد و بازمتن کافی نیست؟ حالا در کنارش ویبالتین هم باشه که نرم افزار انحصاریه. چه اشکالی داره ترکیبی از هردوی نرم افزار انحصاری و بازمتن رو در دنیای امروز شاهد باشیم؟ هرکدوم مزایا و معایب و محدودیت های خودشون رو دارن و با هم هست که تکمیل میشن و دنیا در تعادل دست یافتنی بهینه قرار میگیره.

باز برای قایم کردن بیسوادی خودت! به جای اینکه یک آری یا خیر ساده بگی یک کیلو نوشته بی سر و ته و دری وری نوشتی که هیچ ارزشی هم نداره!
دست کم نا توانی خودت رو با نوشتن این همه دری وری جار میزنی خوبه :)))
من هم برات از توی DickiPedia لینک متن میذارم که تخم آغا هک شده!!! حرف مفت زدن که کاری نداره جانم!!!! ادعایی که نشه انجامش داد یعنی چرند! یعنی مزخرف! یعنی دروغ!!!!
این رو میفهمی ؟! بعید میدونم.
حالا ما میگیم شما بیسواد و ناتوان! برو به همونهایی که میگی تونستند بگو کاری که خواستیم رو انجام بدند!!!
اگر شکسته شده! بشکونید یک رشته ساده Md5 رو دیگه!!! حرف مفت زدن که کاری نداره جانم!!!

میبینم که در پذیرش یک مسئله ای اینقدر روشن و ثابت شده هنوزم مشکل داری!
دوست عزیز من برای شما و بقیه توضیح دادم سند و رفرنس هم که گذاشتم توی نت هم سرچ کنی زیاده. ادعایی که کردم شکسته شدن MD5 بود که حرف من نیست و هرچی هم که آوردم از متن منبع بود نه از خودم که هرکدوم رو میگی دروغ بوده بگو برات از رفرنس ها و منابع دیگر و معتبرتر هم بذارم.
حالا شما اصرار داری سر همون تصور و تفسیر اولیه خودت که بخاطر عدم تخصص و اطلاعات کافی در این زمینه بود، من نمیدونم دیگه چی بگم! میگی بگو آری یا خیر، درحالیکه منکه این خیر رو قبلا گفتم. گفتم نه بنده و نه کس دیگه تاحالا نتونسته همین MD5 رو در خصیصهء Preimage بشکنه، و منابع و نقل قولهایی هم که آوردم این درشون واضحه کسی چنین ادعایی نکرده. برای دهمین بار دارم میگم، چیزی که درمورد MD5 شکسته شده خصیصهء دیگری هست بنام collision resistance. این جزو یکی از سه خصیصهء اصلی هر الگوریتم هش امنیتی است. کافیه فقط یکی از این خصیصه ها خدشه دار بشه تا بگن الگوریتم هش شکسته شده. خود منابع استاندارد مثل NIST و افراد متخصص و معروف در سطح جهان، بطور کلی تمام منابع تخصصی در این زمینه، بررسی کنی دارن میگن MD5 شکسته شده! بعد نمیدونم حرف حساب شما چیه! میگی نه شکسته نشده؟

در این مقالهء دیگر ویکیپدیا هم توضیحات خوبی داده در این مورد: Collision attack - WiKi
بخونی نوشته که درمورد MD5 با همین حمله، البته دقیقتر بخوایم بگیم با یک نوع بسط یافته از اون بنام Chosen-prefix collision attack، تونستن گواهینامهء دیجیتال جعل کنن.

حالا شما با کجا دقیقا مشکل داری کجا میگی دروغه؟ یعنی تمام این منابع و مراجع دارن دروغ میگن؟!
ضمنا توی نت که نمونهء همهء اینا رو گذاشتن هست دیگه. هم رشته هایی گذاشتن که هش یکسان دارن و هم نمونه از گواهینامه های دیجیتال جعلی قبلی دیدم گذاشتن.

حتی ویروس نویسها هم از این ضعف استفاده کردن:
The Flame malware successfully used a new variation of a chosen-prefix collision attack to spoof code signing of its components by a Microsoft root certificate that still used the compromised MD5 algorithm

گفته که با این روش امضای دیجیتال میکروسافت رو جعل کرده.
دقت کنی از همین متوجه میشی که برای جعل کردن گواهینامه های دیجیتال نیازی نیست که حتما RSA شکسته بشه، بلکه از ضعف در جاهای دیگری الگوریتم های دیگری که استفاده میکنه میشه استفاده کرد که در این مورد MD5 بوده. البته استفاده از MD5 در گواهینامه های دیجیتال طبیعتا الان دیگه دیده نمیشه یا به ندرت دیده میشه به همین علت که شکسته شده و امنیت رو خدشه دار میکنه و کل گواهینامه بی اعتبار میشه.

متخصص دوزاری! منم گفتم بشکن!!!
یا ادعای مفت نکن با بشکن!!!
انقدر هم دری وری و کل کل بیخود نکن!
شما با این همه ادعای سواد یک حرف مفتی زدی زیرش زاییدی :)) گریه زاری نداره که :))
پس انقدر مرد باش انقدر شهامت داشته باش که بگی حرف مفت زدم بلد نیستم :)))

فعلا که میبینیم شما کم آوردی حرف حساب نداری اینقدر هم شهامت نداری که بپذیری این کم سوادی و اشتباه شما بوده.

اونقدر سواد و البته شعور نداری که بفهمی برای برای جعل گواهینامه نیاز به تولید کلید خصوصی از طریق همین الگورتم RSA داریم!!!
در عمل و به دور از زر مفتِ کسانی که مدام در بوق میکنند که نه نشده! میبینیم که شده!! پس شما بهتره جزو حرف مفت زنندگان نباشی جانم!

بهبه بهبه میبینم که باز اینجا شما دمای سی پی یوت بالا رفته و با اینکه عنوان مدیریت رو یدک میکشی نتونستی از توهین به مخاطب خودداری کنی. فعلا که تا اینجا معلوم شده شعور چه کسی مشکل داره!
عرضم به حضورت که با این کلی گویی ها و مبهم گویی ها و ادعاهای بی پایه به جایی نمیرسی عزیزم. کم آوردی حالا ادعاهای بی پایه و مبهم میکنی. یا بازم شاید بر اساس تصورات خودت که همیشه با اطمینان میگی ولی معلوم میشه بر اساس دانش و صلاحیت و تحقیق اصولی نبوده یه نظری داری که در میکنی!
آهان یعنی چی دقیقا اونوقت که کلید خصوصی از طریق خود RSA تولید میشه؟!
جرات داری یه ادعای دقیق و واضح بکن و نتیجه ای که میخوای ازش بگیری، برات تاپیک بزنم توی crypto.stackexchange.com و جواب هایی رو که میدن همه ببینیم!
دوست عزیز فرایند تولید کلید یک فرایند جداگانه است و ربطی به فرایند رمزگذاری و رمزگشایی نداره. گرچه شاید همهء اینها رو میتونیم بنوعی جزو مجموعه فناوریها و الگوریتم هایی بنام RSA دسته بندی کنیم.
شما یک کلید خصوصی تولید میکنید، یک کلید عمومی هم داره. کلید خصوصی دست خودتون میمونه محرمانه نگه میدارید، کلید عمومی رو میشه داد دست عموم. حالا با اون کلید خصوصی میشه هر تعدادی عملیات رمزگذاری و یا امضاء دیجیتال انجام داد.
اونایی هم که به کومودو نفوذ کردن، تولید گواهینامه رو با کلید خصوصی از قبل تولید شده ای که کومودو داشته انجام دادن، چون تولید کردن کلید جدید فایده نداره و اگر اینطور بود که روی PC خودشون هم میتونستن کلید جدید تولید کنن! مهم اون کلیدی هست که کلیدعمومی و امضای اون در مرورگرها از قبل درج شده و برای اون شرکت ثبت شده که در نتیجه تمام گواهینامه هایی که توسط اون کلید امضاء شده باشن، توسط مرورگر شناسایی و معتبر شناخته میشن. کلیدی که هکرها خودشون جدید تولید کنن، در مرورگر بنده و شما بعنوان گواهینامهء CA موجود نیست و هیچ اعتبار نداره و موقع استفاده ازش مرورگر یک پیام میده که اعتبار منبع این گواهینامه قابل تصدیق نیست. البته به شکلی و در شرایطی احتمالا، در یک صورت میتونن از کلید جدیدی که تولید میکنن استفاده کنن، و اون در این صورته که کلید جدید با اون کلید اصلی اون شرکت امضاء بشه، ولی در این صورت هم ملاحضه میکنید که بهرحال وجود کلید اصلی اون شرکت که قبلا در مرورگرها ثبت شده لازمه، و این کار هم باز هیچ ربطی به شکسته شدن الگوریتم RSA نداره! در تمام این عملیات RSA داره عمل و وظیفهء خودش رو بدون هیچ خدشه ای انجام میده و شکسته نشده. مسئله اول و آخر به همون دسترسی به تشکیلات و اینترفیس تولید گواهینامه اون شرکت برمیگرده و اینکه باید از کلید خصوصی محافظت بشه و دست دیگران بهش نرسه، وگرنه که خب دیگه وقتی کلید دست دیگران بیفته دیگه امنیت معنا نداره و الگوریتم رمزنگاری هم معنایی نداره! حالا شما بر مبنای چه سندی چه استدلالی اصرار دارید که بگید این نفوذ و سوء استفاده و صدور این گواهینامه های جعلی نشانهء شکسته شدن RSA است، بر بنده و دیگران مشخص نشد! من بهتون میگم که همچین چیزی ممکن، اما بسیار بعیده، و هیچ سند و دلیل روشن و محکمی براش نیست، و شواهد و منطق و ادعاهای منابع و خود دو طرف نشون میدن که نفوذ و سوء استفاده از طریق راههای متعدد دیگری که هست و به مراتب راحتتر و محتمل تر از شکستن RSA هستن صورت گرفته.
ضمنا اینم بگم که این CA ها همینطور الکی هم نیست و برای خودشون تمهیدات و ساختارهای پیشبینی شده ای دارن که اگر هم کسی نفوذ کرد، این سوء استفاده از نظر زمانی به حداقل ممکن برسه. مثلا میتونن گواهینامه های جعلی صادر شده رو توسط همون کلید خصوصی یا کلید خصوصی یک سطح بالاتر (اینها کلیدهای چند سطحی دارن و کلیدهای سطح پایین تر با کلیدهای اصلی امضاء میشن و به این شکل هست که اعتبار پیدا میکنن) باطل کنن. که البته تاجاییکه میدونم همین کار رو هم به سرعت که فهمیدن و کردن و مدت خیلی محدودی بود که میشد از اون گواهینامه های جعلی سوء استفاده کرد. البته مرورگرها هم پروتکل و مکانیزمی دارن که لیست این گواهینامه های باطل شده رو از اینترنت میگیره که باید اون گزینه در مرورگر فعال باشه تا همیشه درصورت بروز چنین مواردی بتونه سریع مطلع و آپدیت بشه. حالا جزییاتش دقیق یادم نیست و باید به منابع رجوع مجدد کنم که بگم دقیقا اون مورد چی بوده و کدوم یکی از این تمهیدات چطوری استفاده شدن و کار کردن، ولی دارم کلیت و نکته هایی رو میگم که یخورده دستتون بیاد که داستان به چه شکله.
درمورد کلید خصوصی هم اینطور نیست که مثلا یک CA اومده باشه کلید خصوصی به این مهمی رو همینطور ریخته باشه روی هارد سرور یک جایی که بعد هکرها نفوذ کنن سرقتش کنن و بتونن پیش خودشون باهاش هرچی میخوان گواهینامهء جعلی صادر کنن یا رمزگذاری هایی رو که با این کلید انجام شدن باز کنن (هرچند بر طبق اصولش از یک کلید معمولا فقط در یک نقش استفاده میشه، یعنی از چنین کلیدهایی فقط برای امضاء دیجیتال و صدور گواهینامه ها استفاده میشه و نه رمزگذاری عمومی و کاربرد و جای دیگری). بنابراین کلیدهای مهم چنین شرکت های مرجعی رو فقط توی ماژوال های سخت افزاری خاصی میذارن که یک طرفه است، یعنی کلید خصوصی هیچوقت ازش خارج نمیشه و نمیشه بیرون کشید (حتی با روشهای با دسترسی سخت افزاری)، و این ماژوال فقط طبق پروتکل و API ای که داره، دیتایی رو که میخواید امضاء یا رمز کنید بهش میدید و اون رو در درون خودش توسط کلید خصوصی امضاء یا رمز میکنه و حاصل رو خروجی میده. بنابراین، حتی اگر هکرها موقتا به این سیستم دسترسی پیدا کنن، نمیتونن خود کلید خصوصی رو سرقت کنن! ولی گفتم که حتی اگر کلید خصوصی هم سرقت بشه، میشه اون رو توسط کلیدهای سطح بالاتر (یا حتی فکر کنم با همون کلید هم بشه) Revoke و ابطال کنن!
خلاصه این سیستم از چیزی که احتمالا شما فکر میکنید خیلی گسترده تر و پیچیده تره و جزییات و تمهیدات زیادی داره. اما در کل ضعف در همین CA ها هست که در پروتکل SSL و این حرفها بعنوان یک Third party بهشون اعتماد میشه که این باعث میشه اگر به CA نفوذ بشه یا اصلا خود CA دست به سوء استفاده از این مرجعیت و اعتبار و قدرتش بزنه، امنیت خدشه دار بشه.