وبلاگ مهدی دربارهی تصویر ایران در رسانههای جهان
April 13, 2009
پریروز یک ایمیل گرفتم به آدرس ایمیلی که هیچکس بجز هکر بالاترین نمیداند. چون که ایمیل تنها برای گرفتن یکی از سرورها استفاده شده بود و متاسفانه شرکت سروردهنده به اشتباه این ایمیل را به هکر بالاترین لو داده بود(داستانش مفصل است). من در این ایمیل هیچ اسپمی دریافت نمیکنم. یعنی صفر! برای همین مطمئنم که این ایمیل از هکر بالاترین آمده است.
ایمیل این بود:
لطفا روی لینکهای این ایمیل کلیک نکنید. من چند تا XXX اضافه کردم که اشتباهی رویش کلیک نکنید.
ایمیل الکی ادعا میکند که کسی میخواهد رمز من را عوض کند و من با رفتن به لینک داده شده میتوانم رمزم را عوض کنم. واکنش طبیعی آدم در مقابل چنین ایمیلی این است که «من که درخواست تغییر رمز نکردهام. نباشد کسی میخواهد مرا هک کند. بروم و رمزم را عوض کنم» . متاسفانه کلیک روی این لینک به معنای از دست دادن حساب ایمیل یاهو است. این نوع هکها به Spear Phishing معروفند که شاید آنرا بشود به دام هدفدار ترجمه کرد. در این روش هکر یک دام مخصوص برای قربانی خود درست میکند و با اطلاعاتی که راجع به قربانی دارد سعی میکند قربانی را در دام خود بیاندازد.
کد این هک طوری طراحی شده که با رفتن به این لینک شما یک صفحه سفید میبینید. اما در واقع هکر در گوشه صفحه، یکی از وبسایت های یاهو را لود کرده است. احتمالا در این مورد آن وبسایت یاهو امنیت کمی دارد و میتواند اطلاعات کوکی (که برای وارد شدن به حساب یاهو شما لازم است) را به هکر بدهد. برای اینکه این هک کار بکند احتمالا باید در حساب یاهو خود لاگین باشید. من خودم تا آخر اینرا تست نکردم که ببینم کار میکند یا نه. ولی با توجه به اینکه موارد زیادی در مورد دزدی حساب یاهو شنیدهام فکر میکنم چنین روشهایی کار میکند.
برای مقابله با چنین هکهایی، سعی کنید از فایرفاکس استفاده کنید. بهترین راه این است که از مرورگر برای خواندن ایمیل استفاده نکنید. همچنین اگر از فایرفاکس استفاده میکنید، NOSCRIPT را نصب بکنید. NOSCRIPT جلوی این چیزها را میگیرد.
ایمیل این بود:
From: emailservice@domainsbyproxy.com
Subject: FWD: Account Password Request [BALATARIN.COM@domainsbyproxy.com]
Date: April 11, 2009 9:42:40 AM PDT
To: XXXXXXXXX@gmail.com
Reply-To: auto@mydomain.com
A lost password request was submitted for the account: XXXXX
If you did not submit this request, please ignore this email.
Otherwise, please go to the following link to change your account password.
http://fastprintsrusXXXX.com/account/services/password/rqpwconfirm.php?code=meUdsgJwRdZADBZdwVmrae3fJkfeAAKNve7UxKIeEfJFYebA
Please note that this code will expire in 48 hours.
*********************************************
**** IMPORTANT NOTE: Please do not reply to this email for support.
If you had a problem with your order and would like to contact
CustomerCare, please COPY and PASTE this link into your browser window.
Customer Care Center: http://www.mydomain.com/support.php
*********************************************
لطفا روی لینکهای این ایمیل کلیک نکنید. من چند تا XXX اضافه کردم که اشتباهی رویش کلیک نکنید.
ایمیل الکی ادعا میکند که کسی میخواهد رمز من را عوض کند و من با رفتن به لینک داده شده میتوانم رمزم را عوض کنم. واکنش طبیعی آدم در مقابل چنین ایمیلی این است که «من که درخواست تغییر رمز نکردهام. نباشد کسی میخواهد مرا هک کند. بروم و رمزم را عوض کنم» . متاسفانه کلیک روی این لینک به معنای از دست دادن حساب ایمیل یاهو است. این نوع هکها به Spear Phishing معروفند که شاید آنرا بشود به دام هدفدار ترجمه کرد. در این روش هکر یک دام مخصوص برای قربانی خود درست میکند و با اطلاعاتی که راجع به قربانی دارد سعی میکند قربانی را در دام خود بیاندازد.
کد این هک طوری طراحی شده که با رفتن به این لینک شما یک صفحه سفید میبینید. اما در واقع هکر در گوشه صفحه، یکی از وبسایت های یاهو را لود کرده است. احتمالا در این مورد آن وبسایت یاهو امنیت کمی دارد و میتواند اطلاعات کوکی (که برای وارد شدن به حساب یاهو شما لازم است) را به هکر بدهد. برای اینکه این هک کار بکند احتمالا باید در حساب یاهو خود لاگین باشید. من خودم تا آخر اینرا تست نکردم که ببینم کار میکند یا نه. ولی با توجه به اینکه موارد زیادی در مورد دزدی حساب یاهو شنیدهام فکر میکنم چنین روشهایی کار میکند.
برای مقابله با چنین هکهایی، سعی کنید از فایرفاکس استفاده کنید. بهترین راه این است که از مرورگر برای خواندن ایمیل استفاده نکنید. همچنین اگر از فایرفاکس استفاده میکنید، NOSCRIPT را نصب بکنید. NOSCRIPT جلوی این چیزها را میگیرد.
March 27, 2009
از آنجا که ماشاالله بساط هک بحسن دولت مهرورزی شایع گشته لازم دیدم که در این مورد من هم مطلبی بنویسم. دیروز دو مطلب دیدم در مورد اینکه چگونه خودمان را آنلاین حفاظت کنیم. یکی در مورد چگونگی مخفی ماندن در اینترنت است و دیگری در مورد چگونگی سرقت هویت در اینترنت بود. با توجه به مشاهدات من مقاله دوم به نحوه هک های اخیر نزدیکتر است. من هم در مورد چگونگی دفاع در مقابل این نوع هک مینویسم.
هکرها میتوانند با فرستادن ایمیل اسپم یا ایمیلی که مثلا از آدرس دوستتان میآید شما را گول بزند که لینکی را باز کنید یا فایلی را که همراه ایمیل است باز کنید. با این کار هکر میتواند روی کامپیوتر شما تروجان نصب کند که نوشتههای شما یا فایلهای شما را ببیند. برای همین خیلی مهم است که مواظب ایمیلهای خود باشید.
برای محافظت در مقابل این خطرها این کارها را پیشنهاد میکنم:
برای همیشه استفاده از اینترنت اکسپلورر را کنار بگذارید.
دو نوع مرورگر مثل فایرفاکس و گوگل کروم استفاده کنید. از یکی مثلا گوگل کروم برای دسترسی وبسایتهای بانک یا مهم استفاده کنید و از دیگری برای خواندن وبسایتهای دیگر.
اگر نمیخواهید دو مرورگر استفاده کنید، هیچگاه زمان خواندن وبسایتهای دیگر در ایمیل خود یا حساب بانکی لاگین نباشید.
عادت کنید که روی هیچ لینکی در ایمیلهایتان کلیک نکنید حتی اگر از دوستانتان باشد. همیشه لینکها را کپی کنید به مرورگرتان و مطمئن شوید که آدرسشان را میشناسید.
هیچوقت نرمافزار هک شده نصب نکنید. همچنین نرمافزار از وبسایتهای غیر معتبر یا وبسایتهای ایرانی(متاسفانه بدلیل استفاده حکومت از بخش خصوصی) دانلود نکنید.
حتما یک برنامه فایروال قوی مثل Zone Alarm نصب کنید.
جلوی تروجانهایی که هنوز شناخته شده نیستند را فقط یک فایروال قوی میگیرد.
اگر وبلاگ مینویسید و میخواهید ایمیل خود را آنجا بگذارید، هیچوقت از ایمیل روزمرهتان استفاده نکنید و وقتی آن ایمیل وبلاگ را چک میکنید بسیار مراقب ایمیهای مشکوک باشید.
زمان عضوشدن در وبسایتهای ایرانی از یک ایمیل دیگر بغیر از ایمیل اصلی خود استفاده کنید.
فایلهایی که دوستانتان برایتان میفرستند که ممکن از شامل یک عکس خندهدار یا یک فایل جک باشد را بازنکنید. چون معلوم نیست که چه کسی این فایل را درست کرده و ممکن است یک هکر باشد. تقریبا هیچوقت فایلی را که مهم نیست باز نکنید.
دو نکته زیر را اگر میخواهید مراقب باشید رعایت کنید:
بجای خواند ایمیهایتان در مرورگر ایمیلهایتان را با برنامههای دیگر چک کنید. مثلا به gmail مستقیم وارد نشوید.
به فایرفاکس افزونه NOSCRIPT را اضافه کنید.
Labels: امنیت
October 17, 2007
من آخر هفته داشتم سعی میکردم بفهمم برنامه نویسی RESTFUL یعنی چی و به چه دردی میخورد. چندین کتاب مختلف را نگاه کردم و چندتا هم نوشته وبسایتهای مختلف را خواندم. واقعیتش هیچکدام جواب اینکه به چه دردی میخورد را نداد. آخرش ویدیوی دیوید هاینامر هنسون را که طراح Ruby on Rails بوده را پیدا کردم. بعد از نگاه کردن این ویدیو تقریبا اکثر سوالهایم جواب دادهشد.
خیلی وقتها باید رفت سراغ سرچشمه.
خیلی وقتها باید رفت سراغ سرچشمه.
Labels: geek
October 15, 2007
این مقاله «کمکهای مالی به رادیو زمانه اتلاف سرمایه است» را در بالاترین دیدم و باز یاد افتاد که چقدر در فرهنگ ما به کسانی که ساختارسازی میکنند حمله میشود. ساختن یک چیزی مثل زمانه اصلا کار سادهای نیست. گردانندگانش از یک طرف باید بدنبال بودجه باشند، از طرف دیگر دنبال کادر اجرایی و همینطور با هزارویک نویسنده و هنرمند ایرانی سروکله بزنند که هر کدامشان هم منش خودشان را دارند و احتمالا مثل اکثر ایرانیها مفهوم کارحرفهای و توجه به موعدها برایشان خیلی جا افتاده نیست.
حالا به تمام اینها انتقادات تند را اضافه کنید و ببینید چه میشود.
واقعیتش خودم از زمانی که بالاترین را شروع شد، دیدم که در فضای فرهنگ ایرانی ساختن مجموعههای جدید چقدر سخت است . یک زمانهایی آدم احساس میکند کلی آدم بسیج شدهاند که این تجربه موفق نشود. واقعا همهمان نیاز داریم که بطور فرهنگی دیدمان را عوض کنیم و بجای انتقادهای تند بیشتر به پیشنهادهای سازنده روی بیاوریم. برای پیشنهادهای سازنده هم محدودیتهای طرفمان را باید درک کنیم. اگر هم دیدیم که واقعا دیگر گردانندگان مجموعه کشش را ندارند یک مجموعه دیگر بهتر میآید و همه به آنجا میروند.
باور کنید دنیا خیلی بزرگتر از اینهاست. اگر مثلا فکر میکنید رادیو زمانه نمیتواند نظرشما را برآورده کند بروید و یک چیز دیگر درست کنید و مخاطب رادیوزمانه را بدزدید و ببرید. بیشتر بفکر رقابت باشید تا انتقاد.
حالا به تمام اینها انتقادات تند را اضافه کنید و ببینید چه میشود.
واقعیتش خودم از زمانی که بالاترین را شروع شد، دیدم که در فضای فرهنگ ایرانی ساختن مجموعههای جدید چقدر سخت است . یک زمانهایی آدم احساس میکند کلی آدم بسیج شدهاند که این تجربه موفق نشود. واقعا همهمان نیاز داریم که بطور فرهنگی دیدمان را عوض کنیم و بجای انتقادهای تند بیشتر به پیشنهادهای سازنده روی بیاوریم. برای پیشنهادهای سازنده هم محدودیتهای طرفمان را باید درک کنیم. اگر هم دیدیم که واقعا دیگر گردانندگان مجموعه کشش را ندارند یک مجموعه دیگر بهتر میآید و همه به آنجا میروند.
باور کنید دنیا خیلی بزرگتر از اینهاست. اگر مثلا فکر میکنید رادیو زمانه نمیتواند نظرشما را برآورده کند بروید و یک چیز دیگر درست کنید و مخاطب رادیوزمانه را بدزدید و ببرید. بیشتر بفکر رقابت باشید تا انتقاد.
Labels: رادیو زمانه
October 06, 2007
یک حرفی معمولا در میان کسانی که تو کار اینترنت و وبسایت هست و به آن میگویند نحسی(بدیمنی) رشد(curse of scalability).
این نحسی زمانی پیش میآید که یک وبسایت (یا بطور عمومیتر یک کالا) طرفدار زیادی پیدا میکند و گردانندگان سایت (یاتولیدکنندگان کالا) توانایی فراهم کردن خدمات یا تولید برای آنهمه تقاضا را ندارند. این میتواند بدلایل تکنیکی اتفاق بیفتد یا بدلایل محدودیت نیروی انسانی و منابع مالی.
یادم هست که هفت هشت سال پیش که سایت گویا سایت پرطرفداری شدهبود، من از اینکه گردانندگانش در توسعه و بهبودش بیشتر نمیکوشند تعجب میکردم. حالا این بلا سر من و تیم بالاترین آمدهاست. آنقدر تقاضا برای بالاترین هست که کمبودهای ما باعث کند شدن رشدش هستند.
متاسفانه بالاترین از کمبود نیروی انسانی رنج میبرد که دلیل آنهم عدم منابع مالی است. در یک تخمینی که من یکبار انجام دادم، سه نفر تیم بالاترین که روی بالاترین در وقت آزادشان در سال گذشته کار کردند(شش ماه اول کار بسیار زیاد بود)، جمعا ارزش کار داوطلبانهشان حدود ۶۰۰۰۰ دلار بود.
درآمد بالاترین از تبلیغها تنها چیزی حدود ۱۰۰۰ تا ۲۰۰۰ دلار در سال گذشته بوده است و خرج سرور هم در همین حدود. البته پس از رفتن به سرور جدید خرج بالاترین بیشتر شده است.
متاسفانه گسترش تیم بالاترین و اضافه کردن افراد داوطلب بیشتر خیلی راحت نیست. چون افراد داوطلب به مدیریت و هدایت نیاز دارند و با توجه به پیچیدگی تکنیکی و حساسیتهای حاشیهای راجع به بالاترین این کار نیاز به یک فرد تمام وقت دارد.
داشتن فرد دایم هم نیازمند کمکهای مالی است. با توجه به تجربه میدانم که ایرانیها در زمینه کارهای فرهنگی بسختی دستشان به جیبشان میرود برای همین هیچوقت روی سایت بالاترین تقاضای کمک مالی از بینندگان سایت نکردهام.
در مورد گرفتن بودجه از سازمانهای بینالمللی یا طرفدار آزادی بیان هم مردد بودهام. چون فکر میکنم استقلال مالی بالاترین برای خیلی از کاربران با ارزش هست. همینطور با تمام باورم به آزادی بیان و رعایت حقوق بشر و آرزویم برای ایرانی بهتر، فردی سیاست پیشه نیستم و میخواهم همچنان بتوانم با اعتماد نفس و قطعیت کامل به هرکسی که به ما گردانندگان سایت، اتهام جهتدهی سیاسی در بالاترین را میزند، بگویم که ما گردانندگان سایت در جهت دادن فضای بالاترین هیچ نقشی نداریم. محتوای بالاترین بطور کامل کاربران آن تعیین میکنند.
با توجه به نکات بالا، اگر میخواهید بالاترین همچنان مستقل و باحال بماند، لطفا با تمام کم و کاستیهایش تحملش کنید. مثل گذشته هم به انتقاد بالاترین ادامه دهید. چون بالاخره ما هم از رو میرویم و هر از یک دو هفته به بعضی از مشکلات میرسیم.
شخصا من خیلی در چند ماه اخیر وقتم خیلی کم بودهاست. خیلی روزها ساعت ۶:۳۰ بیدار میشوم و تا ساعت ۸ شب کار میکنم. برای همین وقت زیادی برایم نمیماند. ولی وضع همیشه به این شکل نخواهد ماند. قول میدهم هروقت یک وقت حسابی پیدا شود روی بالاترین بگذارم و با رضا و عزیز یک سروسامانی به وضع بالاترین بدهیم.
این نحسی زمانی پیش میآید که یک وبسایت (یا بطور عمومیتر یک کالا) طرفدار زیادی پیدا میکند و گردانندگان سایت (یاتولیدکنندگان کالا) توانایی فراهم کردن خدمات یا تولید برای آنهمه تقاضا را ندارند. این میتواند بدلایل تکنیکی اتفاق بیفتد یا بدلایل محدودیت نیروی انسانی و منابع مالی.
یادم هست که هفت هشت سال پیش که سایت گویا سایت پرطرفداری شدهبود، من از اینکه گردانندگانش در توسعه و بهبودش بیشتر نمیکوشند تعجب میکردم. حالا این بلا سر من و تیم بالاترین آمدهاست. آنقدر تقاضا برای بالاترین هست که کمبودهای ما باعث کند شدن رشدش هستند.
متاسفانه بالاترین از کمبود نیروی انسانی رنج میبرد که دلیل آنهم عدم منابع مالی است. در یک تخمینی که من یکبار انجام دادم، سه نفر تیم بالاترین که روی بالاترین در وقت آزادشان در سال گذشته کار کردند(شش ماه اول کار بسیار زیاد بود)، جمعا ارزش کار داوطلبانهشان حدود ۶۰۰۰۰ دلار بود.
درآمد بالاترین از تبلیغها تنها چیزی حدود ۱۰۰۰ تا ۲۰۰۰ دلار در سال گذشته بوده است و خرج سرور هم در همین حدود. البته پس از رفتن به سرور جدید خرج بالاترین بیشتر شده است.
متاسفانه گسترش تیم بالاترین و اضافه کردن افراد داوطلب بیشتر خیلی راحت نیست. چون افراد داوطلب به مدیریت و هدایت نیاز دارند و با توجه به پیچیدگی تکنیکی و حساسیتهای حاشیهای راجع به بالاترین این کار نیاز به یک فرد تمام وقت دارد.
داشتن فرد دایم هم نیازمند کمکهای مالی است. با توجه به تجربه میدانم که ایرانیها در زمینه کارهای فرهنگی بسختی دستشان به جیبشان میرود برای همین هیچوقت روی سایت بالاترین تقاضای کمک مالی از بینندگان سایت نکردهام.
در مورد گرفتن بودجه از سازمانهای بینالمللی یا طرفدار آزادی بیان هم مردد بودهام. چون فکر میکنم استقلال مالی بالاترین برای خیلی از کاربران با ارزش هست. همینطور با تمام باورم به آزادی بیان و رعایت حقوق بشر و آرزویم برای ایرانی بهتر، فردی سیاست پیشه نیستم و میخواهم همچنان بتوانم با اعتماد نفس و قطعیت کامل به هرکسی که به ما گردانندگان سایت، اتهام جهتدهی سیاسی در بالاترین را میزند، بگویم که ما گردانندگان سایت در جهت دادن فضای بالاترین هیچ نقشی نداریم. محتوای بالاترین بطور کامل کاربران آن تعیین میکنند.
با توجه به نکات بالا، اگر میخواهید بالاترین همچنان مستقل و باحال بماند، لطفا با تمام کم و کاستیهایش تحملش کنید. مثل گذشته هم به انتقاد بالاترین ادامه دهید. چون بالاخره ما هم از رو میرویم و هر از یک دو هفته به بعضی از مشکلات میرسیم.
شخصا من خیلی در چند ماه اخیر وقتم خیلی کم بودهاست. خیلی روزها ساعت ۶:۳۰ بیدار میشوم و تا ساعت ۸ شب کار میکنم. برای همین وقت زیادی برایم نمیماند. ولی وضع همیشه به این شکل نخواهد ماند. قول میدهم هروقت یک وقت حسابی پیدا شود روی بالاترین بگذارم و با رضا و عزیز یک سروسامانی به وضع بالاترین بدهیم.
Labels: بالاترین
