

Yahoo Neden Hack Edilemez !!!
-
Öncelikle şunu söyleyeyim, bu yazıyı daha önce tahribat kapalıyken başka forum için yazmıştım.Yazının tamamı çeviridir ve benim tarafımdan çevirilmiştir.Bu yazı yahoo nun çalışma prensibi anlatıyor.
Yahoo neden hack edilemez!!!
Bu yazıda yahoo nun çalışma prensibi ve güvenliğinden bahsedeceğim.Böylece keyloger veya “parolamı unuttum,hatırlat” ayağına mail hack ettiğini iddaa eden lamerlara yahoo yu gerçekten neden hack edemeyeceklerini açıklayayım.Öncelikle bir şeyi kıracaksanız onun alt yapısını çok iyi bilmeniz gerekir ki zayıf yanlarını da bilin.
Öncelikle Yahoo! nun veritabanı modeline bakalım.Yahoo db ve web server olarak tamamen kendine ait olan ve eskiden Compaq (HP) tarafından yazılan ve şuan kendilerinin geliştirdikleri bir sistem kullanır.
DB olarak dağınık veritabanı modeline sahiptir (DNS gibi) sunucusu olan her ülkede veritabanın bir kopyası vardır.Yanlız bu veritabanında kullanıcı adı ve şifreler yer almaz.Peki ne vardır? YahooID ve Parolanızdan oluşan ve MD5 ile birlikte kullanılan bir hash kritolama algoritmasının sonuçu. ( f[#yahooID%password#] = 3F07931ADFEB2110923C0995701F4354 gibi)
Siz ID ve parolanızı girdiğinizde web-server bunu kritolama fonksiyonundan geçirir ve hash kriptosu elde eder bunu kendi veritabanındakilerle karşılaştırır ve karşılığı varsa girişe izin verir.
Parola veya özellik değiştirmek istediğinizde ise sizin kullanıcı bilgilerinizi alarak ana db server ile bağlantı kurar ve güncellenen verileri aktarır.Değişim sonuçu oluşan yeni hash kriptosunu ana db server diğer Serverlara login olabilmeniz için dağıtır.
Burada önemli olan web-server ID ve parolaya uyguladığı kripto algoritmasıdır ki, buda çok karışıktır.Çünkü bunu oluşturmadan önce “zaman” a ve açtığınız browser penceresi handleID sine bağlı olarak bir takım işlemler yapar ve bunların sonuçunda “true” değeri alırsa size bir cookie atar ve daha sonra login kritolamasına geçer.Belki dikkat etmişsinizdir, yahoo mailde aynı Explorer penceresinde sign-out yapmadan ikinci kez farklı isimle login olamazsınız ancak yeni Explorer penceresi açarsanız buna izin verir.
Özetlersek; DB(=veritabanı) sistemi;
User db : kullanıcı bilgileri ve parolanızın bulunduğu ve sizin ulaşamayacağınız db
Login db : YahooID ve parolanızın ortak oluşturduğu (hash) kriptoların bulunduğu, web-serverin karşılaştırma yapmak için 1-2 sn. bağlandığı db.
Ve diğerleri; Reklam db, haber db, egroups db , etc…
Tabii ki bu Yahoo nun güvenlik sistemi için yeterli değil, diğer özellikler ise;
Yahoo da , parolanızı yanlış girerseniz size tekrar sorar ama brute-force attack önlemek için 3-10 kereden fazla yanlış girerseniz size “gördüğünü yaz” sistemi uygular yani karışık resimdeki karakterleri de login olurken girmenizi ister eğer hala yanlış girerseniz sizin ip adresinizi 30 dk. ile 120 dk. arası login sayfasına girişini engeller.3-10 ve 30-120 dk. arası sayıları rastgele seçer yani random’dur. Onun için Proxy sunuculardan bağlanıyorsanız ve sizden önce birileri parolasını yahoo ya yanlış girmiş ve kasmışsa sizin de ip’niz aynı olacağından dolayı sizde login olamayacaksınız demektir.(yahoo nun özür dileyen hata sayfası gelir)
Bu yazı İngilizce bir makalenin (çevirebildiğim kadarıyla) özetinin özetidir.Yazı çok daha üst düzey e hitap etse de herkesin anlayabilmesi için basit anlatmaya çalıştım.Yahoo nun çok daha fazla korunma özelliği olmasına rağmen, önemli gördüğüm ana hatlarını vermeye çalıştım.Bu yazıyı sabahın dördünde yazdığım için imla ve anlam bakımından hatalar olabilir, idare edin artık.
Eğer istek olursa daha sonra Google in Yahoo rakip olması için geliştirdiği sistemi ve acele etmesinden dolayı yaptığı güvenlik hatalarını anlatırım.
-
Anlat abi, googleyide anlat, istek var
-
yaaz yaz hotmaili yaz googleyi yaz bilmemnereyi yaz klavyen bozulana kadar beyninde ne varsa yaz :-D
hatta lycos , domaindlx , FriHost , vs. vs. vs. free web sitelerinide yaz
-
belki unutmuştur şimdi yazar :P
-
benm bildiğim kadaryıla yahoo, google, facebook, mynet gibi siteler 15 dk da bir güncelleme yaptıkları için hacklenmiyorlar.
-
elemanın teki games.yahoo.com a html sokmuştu. deca bilir.
-
önce küçük siteler sonra büyük siteler ;)
-
Acıksız site yoktur diyen elemanlar bi hacklesede görsek şu acıksız siteleri. ben bu olayı şu olaya benzetiyorum.
- Bir kişi aksi ıspatlana dek masumdur...
-Bir sitenin hackleninceye kadar açığı yoktur..
:D