Yahoo Neden Hack Edilemez !!!

  1. KısayolKısayol reportŞikayet pmÖzel Mesaj
    cukurova
    cukurova's avatar
    Kayıt Tarihi: 21/Aralık/2003
    Erkek

    Öncelikle şunu söyleyeyim, bu yazıyı daha önce tahribat kapalıyken başka forum için yazmıştım.Yazının tamamı çeviridir ve benim tarafımdan çevirilmiştir.Bu yazı yahoo nun çalışma prensibi anlatıyor.


    Yahoo neden hack edilemez!!!


     


    Bu yazıda yahoo nun çalışma prensibi ve güvenliğinden bahsedeceğim.Böylece keyloger veya “parolamı unuttum,hatırlat” ayağına mail hack ettiğini iddaa eden lamerlara yahoo yu gerçekten neden hack edemeyeceklerini açıklayayım.Öncelikle bir şeyi kıracaksanız onun alt yapısını çok iyi bilmeniz gerekir ki zayıf yanlarını da bilin.


    Öncelikle Yahoo! nun veritabanı modeline bakalım.Yahoo db ve web server olarak tamamen kendine ait olan ve eskiden Compaq (HP) tarafından yazılan ve şuan kendilerinin geliştirdikleri bir sistem kullanır.


    DB olarak dağınık veritabanı modeline sahiptir (DNS gibi) sunucusu olan her ülkede veritabanın bir kopyası vardır.Yanlız bu veritabanında kullanıcı adı ve şifreler yer almaz.Peki ne vardır? YahooID ve Parolanızdan oluşan ve MD5 ile birlikte kullanılan bir hash kritolama algoritmasının sonuçu. ( f[#yahooID%password#] = 3F07931ADFEB2110923C0995701F4354 gibi)


    Siz ID ve parolanızı girdiğinizde web-server bunu kritolama fonksiyonundan geçirir ve hash kriptosu elde eder bunu kendi veritabanındakilerle karşılaştırır ve karşılığı varsa girişe izin verir.


    Parola veya özellik değiştirmek istediğinizde ise sizin kullanıcı bilgilerinizi alarak ana db server ile bağlantı kurar ve güncellenen verileri aktarır.Değişim sonuçu oluşan yeni hash kriptosunu ana db server diğer Serverlara login olabilmeniz için dağıtır.


    Burada önemli olan web-server ID ve parolaya uyguladığı kripto algoritmasıdır ki, buda çok karışıktır.Çünkü bunu oluşturmadan önce “zaman” a ve açtığınız browser penceresi handleID sine bağlı olarak bir takım işlemler yapar ve bunların sonuçunda “true” değeri alırsa size bir cookie atar ve daha sonra login kritolamasına geçer.Belki dikkat etmişsinizdir, yahoo mailde aynı Explorer penceresinde sign-out yapmadan ikinci kez farklı isimle login olamazsınız ancak yeni Explorer penceresi açarsanız buna izin verir.


    Özetlersek; DB(=veritabanı) sistemi;


    User db : kullanıcı bilgileri ve parolanızın bulunduğu ve sizin ulaşamayacağınız db


    Login db : YahooID ve parolanızın ortak oluşturduğu (hash) kriptoların bulunduğu, web-serverin karşılaştırma yapmak için 1-2 sn. bağlandığı db.


    Ve diğerleri; Reklam db, haber db, egroups db , etc…


    Tabii ki bu Yahoo nun güvenlik sistemi için yeterli değil, diğer özellikler ise;


    Yahoo da , parolanızı yanlış girerseniz size tekrar sorar ama brute-force attack önlemek için 3-10 kereden fazla yanlış girerseniz size “gördüğünü yaz” sistemi uygular yani karışık resimdeki karakterleri de login olurken girmenizi ister eğer hala yanlış girerseniz sizin ip adresinizi 30 dk. ile 120 dk. arası login sayfasına girişini engeller.3-10 ve 30-120 dk. arası sayıları rastgele seçer yani random’dur. Onun için Proxy sunuculardan bağlanıyorsanız ve sizden önce birileri parolasını yahoo ya yanlış girmiş ve kasmışsa sizin de ip’niz aynı olacağından dolayı sizde login olamayacaksınız demektir.(yahoo nun özür dileyen hata sayfası gelir)


    Bu yazı İngilizce bir makalenin (çevirebildiğim kadarıyla) özetinin özetidir.Yazı çok daha üst düzey e hitap etse de herkesin anlayabilmesi için basit anlatmaya çalıştım.Yahoo nun çok daha fazla korunma özelliği olmasına rağmen, önemli gördüğüm ana hatlarını vermeye çalıştım.Bu yazıyı sabahın dördünde yazdığım için imla ve anlam bakımından hatalar olabilir, idare edin artık.


    Eğer istek olursa daha sonra Google in Yahoo rakip olması için geliştirdiği sistemi ve acele etmesinden dolayı yaptığı güvenlik hatalarını anlatırım.

  2. KısayolKısayol reportŞikayet pmÖzel Mesaj
    hotboy
    hotboy's avatar
    Kayıt Tarihi: 08/Ağustos/2005
    Erkek
    Anlat abi, googleyide anlat, istek var
  3. KısayolKısayol reportŞikayet pmÖzel Mesaj
    noname
    noname's avatar
    Kayıt Tarihi: 23/Ağustos/2005
    Erkek

    yaaz yaz hotmaili yaz googleyi yaz bilmemnereyi yaz klavyen bozulana kadar beyninde ne varsa yaz :-D


    hatta lycos , domaindlx , FriHost , vs. vs. vs. free web sitelerinide yaz


    ...said addicted.
  4. KısayolKısayol reportŞikayet pmÖzel Mesaj
    noname
    noname's avatar
    Kayıt Tarihi: 23/Ağustos/2005
    Erkek
    belki unutmuştur şimdi yazar :P

    ...said addicted.
  5. KısayolKısayol reportŞikayet pmÖzel Mesaj
    Dentist
    Dentist's avatar
    Kayıt Tarihi: 09/Ocak/2009
    Erkek
    benm bildiğim kadaryıla yahoo, google, facebook, mynet gibi siteler 15 dk da bir güncelleme yaptıkları için hacklenmiyorlar.
  6. KısayolKısayol reportŞikayet pmÖzel Mesaj
    tagext
    tagext's avatar
    Üstün Hizmet Madalyası Başarı Madalyası
    Kayıt Tarihi: 25/Temmuz/2002
    Erkek

    elemanın teki games.yahoo.com a html sokmuştu. deca bilir. 


    ftw
  7. KısayolKısayol reportŞikayet pmÖzel Mesaj
    Dentist
    Dentist's avatar
    Kayıt Tarihi: 09/Ocak/2009
    Erkek

    önce küçük siteler sonra büyük siteler ;)

  8. KısayolKısayol reportŞikayet pmÖzel Mesaj
    Hakkinen
    Hakkinen's avatar
    Kayıt Tarihi: 01/Aralık/2007
    Erkek

    Acıksız site yoktur diyen elemanlar bi hacklesede görsek şu acıksız siteleri. ben bu olayı şu olaya benzetiyorum.

    - Bir kişi aksi ıspatlana dek masumdur...

    -Bir sitenin hackleninceye kadar açığı yoktur..

    :D


    Kendini beğenmişlik, hakedilmelidir.
Toplam Hit: 2815 Toplam Mesaj: 8