اون دزدی که وسطه (نامجو) ممکنه بفهمه (درواقع حدس بزنه) که کلید شده iHatENiGGers ولی دیگه نمیتونه بفهمه که اون چیزی که درواقع هش گرفتیم ازش چی بوده که. چرا؟ چون هش برگشتپذیر نیست. درواقع نامجو هرگز نمیتونه بفهمه ما از چه چیزی هش گرفتیم که رسیدیم به این کلید. سادهتر -> نامجو نمیفهمه عبارت اولی ما بوده کوشکیقاسمی.
ولی چون حالا به هر نحوی که تونسته حدس بزنه به این هش رسیده و تونسته بیاد با استفاده از اون مسیج رو باز کنه و شنود کنه. حالا دوباره میخواد بیاد رمز کنه دیگه که بفرسته برای شما. پس باید بیاد یه رشته بسازه که هشش یکسان باشه با همون iHatENiGGers.
نکته چیه؟ نکته اینکه ممکنه دو عبارت، هش یکسانی داشته باشن. به زبان سادهتر، وجود دارد دو عبارت کوشکیقاسمیای و سلامدختری ای که جفتشون هششون میشه iHatENiGGers ولی خب عبارت اولیه یکی نیست.
پس نامجو احتمالا یه کلید با هش یکسان میسازه. و دوباره رمز میکنه میده میره. منتها وقتی میرسه دست شما و دیکریپت میشه، اون موقع باز باید این عبارتی که نامجو ازش رمز ساخته یعنی همون سلامدختری تبدیل بشه به یه سری ایموجی دیگه. ولی حالا چون سلامدختری همون کوشکیقاسمی نیست، ایموجیهایی هم که ازش میاد بیرون ایموجیهای یکسانی نیست پس.
پس شاید طرف حتی بتونه شنود هم کنه ها، ولی نمیتونه با احتمال خیلی بالایی به عبارت اصلی هم برسه که ایموجیها یکی باشه. پس شما حالا میتونید اطمینان یابید که اگر ایموجیها یکیه، ۹۹.۹۹۹ کسی داره شنودتون نمیکنه.
ولی چون حالا به هر نحوی که تونسته حدس بزنه به این هش رسیده و تونسته بیاد با استفاده از اون مسیج رو باز کنه و شنود کنه. حالا دوباره میخواد بیاد رمز کنه دیگه که بفرسته برای شما. پس باید بیاد یه رشته بسازه که هشش یکسان باشه با همون iHatENiGGers.
نکته چیه؟ نکته اینکه ممکنه دو عبارت، هش یکسانی داشته باشن. به زبان سادهتر، وجود دارد دو عبارت کوشکیقاسمیای و سلامدختری ای که جفتشون هششون میشه iHatENiGGers ولی خب عبارت اولیه یکی نیست.
پس نامجو احتمالا یه کلید با هش یکسان میسازه. و دوباره رمز میکنه میده میره. منتها وقتی میرسه دست شما و دیکریپت میشه، اون موقع باز باید این عبارتی که نامجو ازش رمز ساخته یعنی همون سلامدختری تبدیل بشه به یه سری ایموجی دیگه. ولی حالا چون سلامدختری همون کوشکیقاسمی نیست، ایموجیهایی هم که ازش میاد بیرون ایموجیهای یکسانی نیست پس.
پس شاید طرف حتی بتونه شنود هم کنه ها، ولی نمیتونه با احتمال خیلی بالایی به عبارت اصلی هم برسه که ایموجیها یکی باشه. پس شما حالا میتونید اطمینان یابید که اگر ایموجیها یکیه، ۹۹.۹۹۹ کسی داره شنودتون نمیکنه.
😁10
حالا شاید سوال پیش بیاد که چرا نامجو صرفا کپی نمیگیره و بعدا بره سراغش و صرفا بیاد همون پکت رو فوروارد کنه که نخواد خودشم رمزش کنه.
باید بگم که اوهوم.
باید بگم که اوهوم.
😭5
حالا این همه گفتیم و چیشد؟
در این مقاله این دوستمون اومده گفته که چجوری قرآن هم یه همچین مکانیزمی داره برای حفظ سورهها. میگه که شما میتونید سورهها رو با استفاده از الفاظ آغازین سورهها و تعداد حروف و ضریب ۱۹ رمز کنید (حالا توی خود سایت بهتر میتونید بخونید) و بعد با استفاده از این رمزی که شما میکنید (هشی که میگیرید) چجوری بهتر میتونید سورهها رو حفظ کنید.
درنهایت هم مقایسه میکنه این رو با تلگرام و استنتاج میکنه که دقیقا همونجوری که اگر هشها دست بخورن میفهمیم پیام تغییر یافته یا حداقل تحریف شده، از اونجایی که این رمز قرآن هم هنوز ثابت مونده، پس میشه استقرا زد که قرآن تحریف نشده و همونجوری که رمز شده باقی مونده.
در این مقاله این دوستمون اومده گفته که چجوری قرآن هم یه همچین مکانیزمی داره برای حفظ سورهها. میگه که شما میتونید سورهها رو با استفاده از الفاظ آغازین سورهها و تعداد حروف و ضریب ۱۹ رمز کنید (حالا توی خود سایت بهتر میتونید بخونید) و بعد با استفاده از این رمزی که شما میکنید (هشی که میگیرید) چجوری بهتر میتونید سورهها رو حفظ کنید.
درنهایت هم مقایسه میکنه این رو با تلگرام و استنتاج میکنه که دقیقا همونجوری که اگر هشها دست بخورن میفهمیم پیام تغییر یافته یا حداقل تحریف شده، از اونجایی که این رمز قرآن هم هنوز ثابت مونده، پس میشه استقرا زد که قرآن تحریف نشده و همونجوری که رمز شده باقی مونده.
🔥3🆒1
نحوهی ساخت کلید و همچنین تقسیمبندی و درنهایت مپ به ایموجی:
https://core.telegram.org/api/end-to-end/voice-calls
https://core.telegram.org/api/end-to-end/voice-calls
core.telegram.org
End-to-End Encrypted Voice Calls
This document describes encryption in voice calls as implemented in Telegram apps with versions < 7.0. See this document…
همین مورد بالا، برای ویدیو کالهاش (مخصوصا الان که کال گروهی داره):
https://core.telegram.org/api/end-to-end/video-calls
https://core.telegram.org/api/end-to-end/video-calls
core.telegram.org
End-to-End Encrypted Voice and Video Calls
This article describes the end-to-end encryption used for Telegram voice and video calls. Related Articles End-to-End Encryption…
یعنی چی بشین مقالهمو بخون تا بریم مصاحبه. بابامی مگه که بهم دستور میدی.
🔥16🤣2👍1🦄1
احتمالا شنیدید این موضوع بحث برانگیز رو که یه سریا اوکین که تاریخ مرگشونو بدونن و یه سریام نه. بحث جنجالیای هست درکل.
🤓4❤1👏1
آیا شما اوکیاید که روز مرگ نه، ولی ساعت مرگتون رو بدونید؟. یعنی نمیدونید چه روزی ولی میدونید ساعت ۲۳:۰۰ تمومید.
Anonymous Poll
31%
بله
69%
نه
رو به جلو (در لانگترم) میخوام راجعبه این موضوع صحبت کنم. یه مقاله خیلی جالب داره. سوالهای CTF بسیار باحالی هم داره.
prototype pollution
یک نگاه اگر میخواید بندازید چیه اینه:
https://portswigger.net/web-security/prototype-pollution
prototype pollution
یک نگاه اگر میخواید بندازید چیه اینه:
https://portswigger.net/web-security/prototype-pollution
portswigger.net
What is prototype pollution? | Web Security Academy
Prototype pollution is a JavaScript vulnerability that enables an attacker to add arbitrary properties to global object prototypes, which may then be ...
❤1