ویرایش شده در تاریخ ۲۴ شهریور ۱۳۸۷، ساعت ۱۲:۰۲
خوشبختانه این مشکل توسط طراحان کلوب اصلاح شد. سرعت عمل این تیم در برطرف این مشکل جای تقدیر دارد.
در صورتی که کنجکاو هستید می توانید فیلم استفاده از این باگ قبل از اصلاح شدن را در انتهای این بلاگ در قسمت این باگ در عمل ببینید.
آن دسته از دوستانی که علاقه مند به دانستن نحوه ی اصلاح این مشکل توسط طراحان کلوب هستند می توانند به بخش این باگ توسط طراحان کلوب اصلاح شد رجوع کنند.
معرفی کلوب.کام، بزرگ ترین جامعه ی مجازی ایرانی
شاید خیلی از شما با سایت کلوب.کام آشنا باشید یا توی اون عضو باشید.
این وبسایت یکی از معروف ترین وبسایت های ایرانی هست و در رنکینگ Alexa بعد از بلاگفا دومین وبسایت ایرانی هست.
در این وبسایت تقریباً تمامی پارامتر های یک سایت وب ۲ خوب رعایت شده و من واقعاً افتخار می کنم که همچین سایتی توسط یک گروه ایرانی نوشته شده.
چند روز پیش ساعت ۳ نصف شب یکی از دوستان از طراحی حرفه ای این سایت تعریف می کرد و من هم کنجکاو شدم تا عضو این جامعه ی مجازی بشم.
ورود به کلوب
بعد از نیم ساعت گشتن توی کلوب متوجه ساختار خیلی خوب این سایت با توجه به ترافیک بالاش شدم.
جداً ساپورت یک سایت با ۲ هزار کاربر در یک لحظه کار آسونی نیست. اونم یک سایت که بخاطر سیستم چتش هر ۲۰ ثانیه یک Request به سرور میده!
-
ببخشید منظورتون از Request فرستادن به سرور چیه؟ برای چی این کار رو می کنه؟ -
” سوال خوبیه! اگر با سیستم کلوب کار کرده باشید متوجه می شید که وقتی یک شخص دکمه ی شروع گفتگوی زنده با شمارو می زنه یک پنجره بالا سمت چپ باز می شه و به شما این موضوع رو اطلاع میده.
در حال حاضر متود رایج برای ارتباط کلاینت یا مرورگر شما و سرور سایت یک طرفه هست. به این صورت که مرورگر می تونه به سرور بگه که من یک سری اطلاعات جدید می خوام. حالا اگر بخوایم اطلاعاتی از سرور به کلاینت داده بشه و زمان اون مشخص نباشه مرورگر شما باید هر چند مدت پیغام یا Request ای به سرور بفرسته تا ببینه آیا اطلاعات جدیدی موجود هست یا خیر. سایت کلوب هم هر ۲۰ ثانیه پیغامی به سرور میفرسته تا ببینه آیا کاربر پیغام زنده ای داره یا نه! در صورتی که پیغامی موجود بود پنجره ای ظاهر می شه و به شما این موضوع رو خبر میده.البته Comet یه راه حل جدید در برنامه های وب هست که این مشکل رو می تونه حل کنه. “ -
من هیچی از این مطالبی که گفتید نفهمیدم!
-
” خوب خیلی مهم نیست البته اگر اجازه بدید بقیه ی ماجرا رو تعریف کنم. “
کلوب به عنوان یک بانک خیلی مفید برای کارهای تحقیقاتی
با کمی بیشتر گشتن متوجه شدم این سایت چه منبع خوبی برای جمع آوری یک بانک اطلاعاتی جهت کار های تحقیقاتی هست و از اطلاعات افراد و ارتباطاتشون و همینطور عکس هاشون استفاده ی خیلی مفیدی جهت آموزش نرم افزارهای با قابلیت یادگیری می شه کرد.
-
میشه لطف کنید در این مورد بیشتر توضیح بدید؟ -
” البته! در حال حاضر بحث یادگیری در کامپیوتر موضوع خیلی داغی هست. شاید برای خیلی از شما عجیب باشه، اما کامپیوتر هم قابلیت یادگیری داره. مثلا میشه با ارائه ی تعداد زیادی مثال بهش یاد داد در یک عکس صورت ها رو تشخیص بده. دقیقاً مثل آدم که با دیدن تعداد زیادی صورت متوجه شده شکل کلی صورت به چه شکل هست. کامپیوتر حتی می تونه چهره ها رو تشخیص بده! یعنی مثلا بعد از ارائه ی چندین عکس از یک فرد و آموزش برنامه، از برنامه انتظار داشت بین چند صورت اون شخص رو تشخیص بده.
در حال حاضر حتی نرم افزار هایی ساخته شدن که سن افراد رو از روی تصویر صورتشون حدس می زنن! اما برای آموزش این نرم افزار ها که معمولا با شبکه های عصبی کار می کنند نیاز به تعداد خیلی زیادی تصویر صورت به همراه مشخصات هست. کلوب دقیقاً تمامی پارامتر های لازم رو داره! هر پروفایل یک عکس داره به همراه مشخصاتی نظیر سن، جنسیت، حتی قد!
یعنی مثلا می شه برنامه ای ساخت که با استفاده از این تصاویر آموزش ببینه و با توجه به عکس صورت تشخیص بده اون شخص پسر هست یا دختر! “ -
خدای من! این خیلی جالبه! اما یک سوال دیگه! تمام عکس های داخل کلوب صورت نیستند. خیلی از افراد عکس طبیعت یا یک نماد رو بجای تصویر صورتشون قرار دادن، این موارد مشکلی ایجاد نمی کنه؟
-
” سوال خیلی به جایی بود! حق با شماست! اما خوشبختانه در حال حاضر برنامه ها و ابزار خوبی جهت تشخیص اینکه یک عکس صورت هست یا نه وجود داره که با دقت خوبی این کار رو انجام میده. اتفاقاً به خاطر وجود این ناخالصی میشه با این داده ها به صورت Supervised این ابزار رو تست کرد! این ابزار معمولا یک Threshold دارند که هر چقدر مقدارش کمتر باشه سخت گیرانه تر یک عکس رو به عنوان صورت انتخاب می کنه ولی البته ممکن هست عکس هایی که صورت هستند رو به عنوان غیر صورت دسته بندی کنه. اما اگر یک Threshold پایین انتخاب کنیم مطمئن هستیم اونایی که به عنوان تصویر صورت دسته بندی شدن با احتمال خیلی بالایی تصویر صورت هستند. و بعد روی اون داده ها بقیه ی تحقیقات نظیر تشخیص سن یا جنسیت و … رو انجام بدیم. “
علاوه بر این موارد اطلاعات خیلی مفید دیگه ای هم در سایت کلوب وجود داره که ارتباطات افراد هست! شاید اول این اطلاعات به نظر مفید نیاد و مثلا فکر کنید فقط به درد مچ گرفتن بخوره! اما این طور نیست.
این اطلاعات خیلی ارزش مند هستند.با استفاده از این ارتباط ها و اطلاعات هر یک از پروفایل ها می شه یک گراف تشکیل داد که افراد گره های این گراف باشن و ارتباط ها یال ها رو تشکیل بدن. با استفاده از این اطلاعات میشه خیلی چیز ها رو حدس زد و خیلی چیز ها رو پیش بینی کرد که باز هم از موضوع های داغ این روز ها هستند.
به عنوان مثال سایت Facebook که یکی از بزرگ ترین جوامع مجازی حال حاضر هست برای هر کاربر افرادی که ممکن هست بشناسه اما در لیستش دوستانش نیستند رو حدس می زنه و به اون شخص معرفی می کنه!
یا این روز ها تحقیقات زیادی در ارتباط با Relationship Prediction صورت می گیره و هدف این هست که ابزاری تولید بشن که حدس بزنن آیا ممکن هست دو نفر در آینده ی نزدیک با هم دوست بشن یا خیر. یا مثلاً بهترین افرادی که بدرد دوستی با یک شخص می خورند رو حدس بزنه. برای تمام این تحقیقات یک سری اطلاعات خام لازم هست که جهت آموزش به نرم افزار بدیم تا به عنوان مثال این نرم افزار متوجه بشه افرادی که سنشون ۱۹ سال هست و پسر هستند بیشتر علاقه دارند با افرادی که ۱۷ ساله هستند و دختر هستند دوست بشن! کلوب حتی اطلاعات خیلی کامل تری داره مثل رنگ چشم! یعنی نرم افزار می تونه یاد بگیره معمولا پسر هایی که ۲۰ ساله هستند و موشون بور هست از دختر های با موی سیاه خوششون میاد! این ها واقعا اطلاعات با ارزشی هستند و در آینده ی خیلی نزدیک به ما خیلی می تونن کمک کنن.
حالا دیگه ساعت ۴ شده بود و این سوال پیش اومده بود که چطور این اطلاعات رو جمع آوری می شه کرد؟! البته جواب این سوال معلوم بود.
شاید خیلی از شما نئو (اولین بات خزنده ی یاهو! ۳۶۰) که حدوداً پارسال همین موقع ها ۳۶۰ رو زیرو رو کرد و برای همه کامنت میگذاشت و در کمتر از ۱۰ روز ۱۵۰۰۰ تا کامت داشت یادتون باشه یا حتی شاید به پروفایل خود شما هم کامنت داده باشه.
بله! هدف ساخته شدن اون بات هم همین بود با این تفاوت که یاهو! ۳۶۰ اطلاعات خیلی کمتری نسبت به کلوب داشت و مقدار خیلی خیلی بیشتری اطلاعات غلط داخلش وجود داشت.
همون لحظه بود که من و یکی از دوستام بنام امید علیپور نوشتن این بات رو شروع کردیم و قرار شد بات من تمام افراد رو به لیست دوستانش اضافه کنه و اطلاعات پروفایل ها از جمله عکس، سن، جنسیت، قد و … رو ذخیره کنه و بات امید به تک تک افراد پیغام خصوصی بده.
۱۰ دقیقه نشد که وقتی به سایت کلوب می رفتیم یک صفحه ی خالی میدیدیم! اولین حدسی که زدیم این بود که کلوب IP ما رو به خاطر درخواست زیاد بن کرده! اما خوشبختانه بعد از ۳۰ دقیقه درست شد. بعداً متوجه شدم که کلوب هر روز حدود ساعت ۴ به مدت تقریبا نیم ساعت جواب تمام درخواست ها رو با یک صفحه ی خالی میده. احتمالا توی این مدت در حال آپدیت کردن Cache و Index کردن هست. اگر کسی دلیلش رو می دونه خوشحال می شم بدونم.
-
خوب معلومه دیگه! اون مدت زمان قطع شدن برقشونه! -
” من واقعاً از این جواب قانع کننده ی شما ممنونم! “
جمع آوری اطلاعات و صیانت از هویت کاربران
بعد از برگشتن کلوب به وضعیت عادی خودش حدود ۳۰ دقیقه بعد یک بات آماده داشتیم که از صفحه ی اول کاربران آنلاین شروع کرد و بعد دوستان اون افراد و بعد هم دوستان دوستان افراد … رو به لیست دوستانش اضافه می کرد و اطلاعات مربوط به هر فرد رو ذخیره می کرد! یعنی دقیقاً همون اطلاعاتی که برای کار تحقیقاتی نیاز هست…
-
وااااای! یعنی شماره تلفن من هم ذخیره کرده؟
-
” شما مگه شماره تلفنتون رو داخل کلوب گذاشتید؟ “
-
نه!
-
” خوب پس معلومه که ذخیره نکرده… این بات که از خودش نمی تونه اطلاعات استخراج کنه! تنها اطلاعاتی که بقیه ی افراد می تونن ببینن رو می تونه ذخیره کنه و اطلاعاتی مثل شماره تلفن شما یا مثلا IP شما و … رو که هیچ کس نمی تونه ببینه این بات هم نمیبینه! “
-
اما به نظر من این کار اصلاً درست نیست! شاید کسی دلش نخواد اطلاعاتش ذخیره یا فاش بشه!
-
” اول از همه کسی که اطلاعاتش رو روی کلوب گذاشته یعنی قبول کرده همه اون اطلاعات رو ببینن! پس هیچ اطلاعاتی فاش نمیشه.اما خوب کلاً با شما موافقم! شاید کسی بخواد در آینده اطلاعاتش رو بر داره یا نخواد یک سری از اطلاعاتش جایی که در دسترسش نیست ذخیره بشن! از اونجایی که من خودم جزو همین دسته از افراد هستم برای این موضوع راه حلی پیدا کردم! اولاً این بات به هیچ وجه اسم، Email یا آیدی یاهو! هیچ پروفایلی رو ذخیره نمی کنه.تنها چیزی که از هر شخص به عنوان یک کد شناسایی ذخیره میشه MD5 شده ی شناسه ی کلوب افراد هست. “
-
ببخشید! منظورتون از MD5 چیه؟
-
” MD5 یه نوع الگوریتم کد کردن یک طرفه هست. مثلاً پسورد افراد در انجمن ها به این صورت ذخیره میشه. یکی از خاصیت های اصلی اون اینه که قابل بازگشت نیست. یعنی مثلا اگر کلمه ی Siavash رو با استفاده از MD5 کد کنیم دیگه از اون رشته ی کد شده نمی تونیم به Siavash برسیم. پس در واقع تمام اطلاعات بدون مشخصات صاحب اونا ذخیره میشن و سعی کردم با این روش مشکل عدم اعتماد افراد رو حل کنم. “
-
من می تونم اطلاعاتی که این بات از من ذخیره کردرو ببینم؟ میشه برام میل کنیدش؟
-
” من همین چند لحظه پیش گفتم که مشخصات افراد بدون هویتشون ذخیره می شن! پس یعنی همچین کاری نمی تونم بکنم! “
-
آهان! می خواستم مطمئن شم!
آمار و سرعت رشد نئو در کلوب
سرعت رشد نئو در کلوب خیلی بالا نبود و دلیل اصلیش هم محدودیت هایی بود که داخلش گذاشته بودم.
این بات طوری تنظیم شده بود تا تقریبا هر ۵ ثانیه یک درخواست به سرور کلوب بده. دلیلشم وارد نکردن فشار خیلی زیاد به سرور کلوب بوده. البته سرور ها و طراحی کلوب خیلی قوی تر از این هستن که یک یا چند بات بتونه فشار خاصی به اون ها وارد کنه اما برای اطمینان محدودیت هایی روی بات قرار دادم تا مشکلی پیش نیاد.
این هم نمودار تعداد دوستان نئو بر حسب زمان (ساعت) برای ۴۸ ساعت اول فعالیت این بات.
در کل برای ۱۸۹,۰۶۲ نفر درخواست دوستی فرستاده شده و برای ۲۸,۲۲۳ نفر یادداشتی با متن درخواست دوستی فرستاده شده.و در کل اطلاعات ۲۲۵,۲۱۴ نفر استخراج و ذخیره شده.
دسترسی به پروفایل نئو
راستی! اسم این بات رو هم مثل بات های قبلی نئو گذاشتم و پروفایلش رو از اینجا می تونید ببینید.
اگر دوست داشتید می تونید پروفایل نئو در یاهو! ۳۶۰ رو هم اینجا ببینید.
مشکل خیلی کوچک امنیتی در تصویر امنیتی کلوب
تا اینجای کار خیلی سخت نبود! چون هیچ مانعی سر راه ساختن یک بات قرار نداشت! اما برای گذاشتن یادداشت یا فرستادن پیغام یا نقاشی یک مشکلی سر راه بود! البته برای ۱۰ دقیقه…
مشکل این بود که برای انجام این فعالیت ها نیاز به وارد کردن یک تصویر امنیتی بود. این تصاویر که به Captcha معروف هستند کارشون جلوگیری از ورود بات ها به بخش هایی که قرار نیست واردش بشن هست.
چون یک بات مثل یک آدم نمی تونه تصاویر رو تشخیص بده. البته توجه داشته باشید که نگفتن نمی تونه، بلکه گفتم به خوبی آدم نمی تونه…خوب اما توی این مورد حتی نیاز به خوندن تصاویر هم نبود! چرا؟
بی شک توی هر سیستمی حتی به قدرت کلوب مشکلات کوچکی هم وجود دارند. یکی از مشکلات این سایت همین بخش بود.
این سیستم به این صورت کار می کنه که هر عکس شامل سه عدد هست و هر مجموعه عدد یک کد مخفی هم داره که داخل یک Input مخفی ذخیره میشه. وقتی که یک یادداشت ثبت میشه، در سرور کلوب چک می شه که آیا کد مخفی متعلق به همون مجموعه اعداد هست یا نه! اگر بود یادداشت ذخیره می شه و در غیر این صورت پیغامی داده می شه که لطفاً کدامنیتی را درست وارد کنید.
خوب حالا مشکل این نوع کنترل چیه؟ خوب مشکل اینه که این راه رو راحت میشه دور زد، به این صورت که کافیه فقط یک بار یک مجموعه عدد و کد مخفی مربوط به اون مجموعه خونده شه و از اون به بعد هر بار همون مجموعرو وارد کنی و کد مخفی هم بصورت دستی همون کد قبلی بفرستی! اینطوری حتی نیاز به پردازش تصویر امنیتی هم نیست!
با این وجود حتی اگر این مشکل هم نبود، به خاطر سادگی ظاهر و کم بودن نویز در تصویر امنیتی کلوب، به راحتی می شد کاری کرد که بات این تصاویر رو بخونه!چون رنگ رقم ها همیشه قرمز هست و سایز اونها هم ثابت هستند و فقط کمی می چرخند و همیشه از هم جدا هستند. پس با یک شبکه ی عصبی خیلی خیلی ساده می شه این ارقام رو خوند.
اگر به این موضوع علاقه مند هستید، پیشنهاد می کنم این آموزش رو که در ارتباط با تشخیص حروف با شبکه های عصبی هست بخونید.
من یک برنامه برای خواندن تصویر امنیتی سایت کلوب نوشتم، هر کدوم از دوستان که سورس این برنامه که به زبان جاوا هست رو خواستن کافیه در نظرات درخواستش کنن تا براشون میل کنم.
در نهایت هم سایفر بات که یک بات پاسخگو هست رو توی یاهو! مسنجر آنلاین کردم و در پروفایل نئو ذکر کردم که افراد می تونن به این آی دی پیغام بدن و باهاش چت کنن…
لازم هست اینو بگم که این بات حدوداً ۴ سال پیش درست شده و برای زمان خودش بات نسبتاً خوبی بود امّا در حال حاضر یک بات پاسخگو می تونه خیلی هوشمند تر از سایفر باشه…
موارد جالب بعد از ساخته شدن بات کلوب
خوب بعد از ساخته شدن این بات و فعال شدنش، مثل بات های قبلی اتفاق ها جالبی افتاد و افراد مختلف نظرات جالبی رو مطرح کردن.
من متأسفانه نتونستم تمام نظر ها و پیغام ها رو بخونم، اما در کل چند مورد برام جالب بود.
اعتماد زیاد کاربران کلوب به یکدیگر
اولین مورد اینکه چطور ۱۳۰۰۰ نفر بدون اینکه کسی رو بشناسن و حتی یک خط با اون صحبت کرده باشن درخواست دوستی اون رو قبول کردن!
نکته ی جالب تر اینکه تعداد خیلی زیادی از این افراد در اولین پیغام خودشون سلام کرده بودن و شماره تلفنشون رو داده بودن. این جو خیلی صمیمانه ی کلوب رو نشون می ده که برام جالب بود چون تو هیچ جامعه ی مجازی دیگه ای به جز SmallWorld همچین چیزی ندیده بودم.
افراد خیلی زیادی هم پیغام می دادن و می گفتن شما چقدر آدم الافی هستید، یا مثلا تو کارو زندگی نداری؟ و خیلی پیغام های دیگه ای که محتواشون همین بود…
یه تعداد هم پیغام در این رابطه بود که من خودم باهات تو یاهو! مسنجر صحبت کردم، چرا الکی میگی روباتی؟ کمبود محبت داری؟ و پیفام هایی مثل این! راستش من هیچ شباهتی بین سایفر که یه بات خیلی خنگ هست با یک آدم نرمال نمی بینم. احتمالاً دوستان می خواستن من رو با این حرفشون که این بات خیلی شبیه آدم برخورد می کنه خوشحال کنن. واقعاً از این دوستان ممنونم!
معرفی نئو در بلاگ کلوب
مورد جالب بعدی اینکه من بعد از اینکه لیست دوستان نئو به ۱۰۰۰۰ نفر رسید یک بلاگ در کلوب با عنوان نئو چیست؟ نوشتم و داخلش بطور کامل توضیح دادم که این پروفایل یک انسان نیست، اما همچنان پیغام هایی با محتوای اینکه شما چقدر بیکار هستید، یا ببخشید من شما رو میشناسم؟ می گرفتم…
جالب اینکه این بلاگ بعد از ۸ ساعت جایگاه اول رو توی داغترین مطالب در ۲۴ ساعت به خودش اختصاص داد و الآن که دو روز هست از نوشته شدنش میگذره جزو ۵ مطلب داغ هفته شده.
پروفایل سایفر در کلوب!
جالب تر از این مورد یک پروفایل با نام سایفر بود که آی دی سایفر رو معرفی کرده بود و قابلیت های اون رو نوشته بود که بعضی هاش رو من خودم هم نمی دونستم! از این دوستمون هم به خاطر معرفی سایفر و قابلیت های جدید این روبات متشکرم… این روبات در ابتدا یک مرد ۴۰ ساله بود و در حال حاضر یک زن ۱۶ ساله ی جدا از همسر می باشد! بلاگی گه جهت معرفی سایفر توسط این کاربر پست شده بود بعد از گذشت مدتی به عنوان داغ ترین مطلب ۲۴ ساعت انتخاب شد!
آخرین نکته ی جالبی که به ذهنم می رسه این هست که من نئو رو تعریف کرده بودم تا هر روز تاریخ تولدش رو به همون روز تغییر بده، و جالب تر اینکه هر روز تعداد خیییییلییی زیادی تولد این بات رو تبریک می گفتن و نقاشی های بسیار زیادی هم برای این روبات کشیدن. من واقعاً از این جو صمیمانه ی کلوب خوشم اومده. اینکه افراد چند دقیقه از وقتشون رو صرف خوشحال کردن و تبریک گفتن به کسی می کنن که شاید تا حالا باهاش حرف نزدن قابل تقدیره. اما نکته ی جالب تر اینه که من از خیلی افراد چندین و چند بار پیغام تبریک گرفتم! اما فقط یکی از اون همه پیغام متنش این بود که مگه تو دیروز تولدت نبود؟ برام جالب بود که فقط یک نفر به این موضوع توجه کرده بود…
این هم یکی از نقاشی های قشنگی که برای نئو کشیده شده.
یک مشکل امنیتی کوچک دیگه
همونطوری که بالاتر هم گفتم همه ی سایت ها، حتی سایت های بزرگ مثل MySpace و Yahoo! 360 که جزو بزرگترین جوامع مجازی هستند مشکل های امنیتی می تونن داشته باشن…
نمونش باگ های XSS ای که چند مدت پیش در MySpace کشف شد یا باگ دیگه ای که در Yahoo! 360 باعث هک شدن کلی آی دی یاهو! شد.
-
ماجرای این باگ ها چی بوده؟ من نشنیدم!
-
” خوب اول ماجرای XSS Worm سایت MySpace رو می گم: ماجرا از این قرار بود که یه کاربر با نام Samy راهی پیدا کرد که بتونه یک کد جاوااسکریپت رو روی صفحه ی خودش قرار بده. هر کاربری که به صفحه ی این کاربر سر می زد کد اجرا می شد و علاوه بر اضافه کردن Samy به لیست دوستان اون شخص، این کد رو در صفحه ی اون کاربر هم جایگذاری می کرد! به این ترتیب این کرم به صورت نمایی رشد پیدا کرد به طوری که بعد از گذشت یه مدت کوتاه حدود یک میلیون کاربر به لیست Samy اضافه شدن!
ماجرای باگ یاهو! ۳۶۰ هم این بود که می شد با یک ترفندی یک کد جاوااسکریپت رو در پیغام های خصوصی جا داد، و وقتی کسی به صندوق پیام هاش میرفت این کد جاوااسکریپت صفحه ی صندوق پیام رو به یک صفحه که شبیه صفحه ی لاگین یاهو! طراحی شده بود هدایت می کرد. و هر کس توی اون فرم لاگین می کرد پسوردش عوض می شد و مجدداً توسط اون آیدی پیام آلوده به دوستانش فرستاده می شد! “
خوب خوشبختانه کلوب همچین باگ های بزرگی نداره یا بهتره بگم پیدا کردن همچین باگ هایی توش آسون نیست، و این نشون دهنده ی طراحی خیلی دقیق این وبسایت و قدرت طراحانش هست. اما یک مشکل خیلی کوچیک وجود داره که من همین جا می گم تا انشاالله طراحان سریعاً این مشکل رو درست کنند.
مشکل در سیستم چت هست! و با این مشکل می شه بدون لاگین کردن از طرف شناسه ی کلوبی که پسوردش رو ندارید و برای شما نیست به هر یک از کاربران کلوب پیام زنده بدبد و پیغام کاربران دیگر رو قبل از اینکه بدستشون برسه بخونید!
مثلا من می تونم با شناسه ی کاربری یک کاربر دیگه به دوستم پیام زنده بفرستم، یا گفتگوی زنده ی یکی دیگه از دوستام رو قبل از اینکه بدستش برسه بخونم!
البته ایراد خیلی بزرگی نیست اما فکر کنم باید سریعاً بهش رسیدگی بشه چون ممکنه توی این چت ها مطالبی گفته بشه که کاربر دوست نداشته باشه شخص دیگه ای اونارو بدونه…
معرفی این باگ و طریقه ی استفاده از اون
من به صورت خیلی خلاصه این باگ و نحوه ی استفاده کردن از اون رو توضیح می دم.
جهت فرستادن پیغام به هر کاربر کافیه این خط رو توی آدرس بار مرورگرتون کپی کنید و Enter رو بزنید.
"time_str":"s9ecmmgggmzoxg","message":"Salam!"}
به جای ۹۹۰### کافیه کد کاربر مورد نظر رو بزنید. برای پیدا کردن این کد کافیه به صفحه ی کاربر مورد نظر برید و کد HTML اون صفحرو نمایش بدید و در نهایت عبارت زیر رو جستجو کنید:
اولین نتیجه ای که خواهید دید باید شبیه خط زیر باشه:
مثلا در این مورد ۹۸۱۰۹۶ کد کاربر مورد نظر هست.s9ecmmgggmzoxg شامل کدی مرتبط با فرستنده و تاریخ هست.
شما می تونید بخش پر رنگ رو تغییر بدبد تا از طرف کاربران دیگه پیغام بتونید بدید.اگر به همین شکلی که هست استفاده کنید از طرف کاربری به نام نئو پیغام رو می فرسته! اگر بخواین از طرف فردی ناشناس پیغامتون رو بفرستید کافیه به جای این کد siavash بنویسید!
توجه داشته باشید که اگر از طرف فردی نا شناس بخواین پیغام بفرستید کاربر مقابل فقط وقتی پیغام شما رو دریافت خواهد کرد که پنجره ی گفتگوی زندش باز باشه. (اگر نباشه اولین باری که بازش کنه پیام شما رو دریافت خواهد کرد.)
و آخرین بخشی که ممکنه نیاز بشه تغییرش بدید Salam! هست که می تونید با پیغامی که می خواین عوضش کنید.
خوب تا اینجا می تونید از طرف شخصی که پسوردش رو ندارید، حتی به افرادی که گرفتن گفتگوی زندشون رو محدود کردن پیغام بفرستید!
برای گرفتن پیغام دیگران کافیه این لینک رو در مرورگرتون اجرا کنید:
"users_status":"","time_str":"s9ecmmgggmzoxg"}
اینجا ۹۹۰### کد شخصی هست که می خواین پیغامش رو بگیرین و s9ecmmgggmzoxg هم کد رمز شده ی خود شماست!
با اجرای این لینک مرورگر شما منتظر می مونه تا پیغام جدیدی برای شما بیاد و بعد از دریافت، اون رو نمایش میده!
این باگ در عمل
توی این فیلم می تونید استفاده از این باگ رو در عمل مشاهده کنید.همونطوری که می بینید دو پنجره باز هستند. اولین پنجره صفحه ی فردی هست که از این باگ استفاده می کنه و پنجره ی دوم صفحه ی شخصی هست که روش این مشکل امنیتی رو داریم تست می کنیم.
در ابتدا در پنجره ی اول Logout می کنیم تا معلوم شه بدون لاگین بودن میشه از این باگ استفاده کرد.
مرحله ی بعدی پیدا کردن userid کاربر مورد نظر هست. برای این کار من از Inspect Element که یکی از قابلیت های مرورگر کروم و خیلی از مرورگر های دیگه هست استفاده کردم. می شد این کار رو با View page source هم انجام داد.
حالا userid رو داخل لینک اولی که در بخش قبل معرفی کردم paste می کنیم و بعد از چند ثانیه می بینید که کاربر در پنجره ی دوم پیغام رو دریافت می کنه! یادآوری می کنم که در مرورگر اول حتی لاگین نبودیم!
حالا با تغییر یک حرف در مقدار time_str دوباره این کار رو تکرار می کنیم.
همونطور که می بینید کاربر در مرورگر دوم مجدداً پیغام رو دریافت می کنه اما از طرف یک کاربر با نام دیگه!
در ادامه هم با استفاده از لینک دوم و userid کاربر مورد نظر پیغام هایی که از طرف اون کاربر به نئو رسیدرو دریافت می کنیم! مجدداً با وجود اینکه لاگین نیستیم!
یعنی دقیقا می تونید از طرف یک شخص دیگه به یک کاربر پیغام بدید و پیام های اون کاربر رو دریافت کنید.
نتیجه گیری
باز هم میگم هدف از این پست مطلع شدن طراحان کلوب از این باگ هست.
طراحی این وبسایت بسیار خوب و دقیق بوده و باگ های کوچکی مثل این موارد هیچ خدشه ای به موفقیت این وبسایت وارد نمی کنه، ولی برطرف کردن این موارد به بهتر شدنش کمک می کنه.
باز هم به طراحان این وبسایت کم نظیر تبریک می گم.
به روز رسانی: این باگ توسط طراحان کلوب اصلاح شد
خوشبختانه در مدّت زمان خیلی کمی این باگ توسط طراحان کلوب اصلاح شد. در حال حاضر جهت دریافت و یا ارسال پیغام زنده علاوه بر پارامتر های قبلی پارامتر جدیدی با نام time_ftr نیز باید به سرور تحویل داده شود. پس لینک های جدید به این صورت خواهند بود:
"users_status":"", "time_str":"s9ecmmgggmzoxg",
"time_ftr":"fb24b622e#####15bbceecf6a7e6bf66"}
که مقدار time_ftr یک MD5 Hash می باشد و برای هر کاربر متفاوت است. از خواص MD5 می توان به برگشت ناپذیر بودن آن اشاره کرد و با توجه به این ویژگی پیدا کردن نحوه ی ساخت این پارامتر بسیار دشوار و شاید غیر ممکن باشد. همچنین با توجه به اینکه دو پارامتر، هویت هر کاربر را مشخص می کنند دیگر با عوض کردن یک حرف، حدس زدن یا Bruteforce کردن، نمی توان از طرف کاربر دیگری پیغامی فرستاد یا پیام های زنده ی وی را دریافت نمود.
از حسن توجه طراحان کلوب ممنونم و مجدداً به این تیم به خاطر ایجاد این سایت قدرتمند تبریک می گم.