Share this page!

Enter URL or ID to Unroll

You can paste full URL like: https://x.com/threadreaderapp/status/1644127596119195649
or just the ID like: 1644127596119195649

How to get URL link on X (Twitter) App

  1. On the Twitter thread, click on or icon on the bottom
  2. Click again on or Share Via icon
  3. Click on Copy Link to Tweet
  4. Paste it above and click "Unroll Thread"!
  5. More info at Twitter Help
Vahid Farid Profile picture
@vahidfarid
Jul 4 12 tweets 3 min read Read on X
چون خیلی اطلاعات غلط و نگرانی‌ها در مورد واتس‌اپ زیاد شده این روزها، یه توضیح مختصری در مورد امنیت واتس‌اپ بدم.
خلاصه‌اش اینه که برای کاربر هیچ مشکلی نداره، پیام‌ها کاملا امن تبادل میشن و واتس‌اپ به محتوای تبادل شده دسترسی نداره.
۱/۱۲ Image
واتس‌اپ برای تمام پیام‌های متنی و چندرسانه‌ای در چت‌های خصوصی و گروه‌ها و برای تمام تماس‌های صوتی و تصویری از رمزنگاری E2E استفاده می‌کنه، پروتکل رمزنگاری هم امن‌ترین روش حال حاضر هست که شرکت سیگنال طراحی کرده؛ در واقع واتس‌اپ از Signal Protocol برای E2EE استفاده میکنه.
۲/۱۲
رمزنگاری E2E تضمین میکنه که اطلاعات تحت هیچ شرایطی برای پلتفرم یا هر واسط دیگری قابل شنود نیست و تنها گیرندگان امکان رمزگشایی پیام‌ها رو دارن.
پروتکل سیگنال از ترکیب الگوریتم‌های رمزنگاری کلید عمومی، رمزنگاری متقارن و مکانیزم‌ Double Ratchet استفاده میکنه.
۳/۱۲
پیام‌های ارسالی/دریافتی بدون رمزنگاری روی دستگاه کاربر ذخیره میشن اما در محل امن حافظه داخلی نگهداری میشن که از دید اپلیکیشن‌های دیگه مخفیه.
تا اینجای کار همه چی اوکیه و برنامه سیگنال هم (به عنوان امن‌ترین پیامرسان فعلی) دقیقا همین روش‌ها رو استفاده میکنه.
۴/۱۲
اما مشکل دولت امریکا و برخی دیگر از دولت‌ها با واتس‌اپ چی بوده که به عنوان پیامرسان پر ریسک برای استفاده توسط کارمندان دولت و نهادهای امنیتی معرفی شده در حالی که این مشکل رو با سیگنال ندارن؟
همه چیز بر میگرده به متادیتا و نسخ پشتیبان.
۵/۱۲
اولین امتیاز منفی واتس‌اپ، به اشتراک گذاشتن متادیتای کاربر با سرورهای شرکت متا هست، اینکه واتس‌اپ لیست مخاطبین کاربر رو ذخیره و نگهداری میکنه و مهمتر اینکه شماره تلفن کاربر رو به مخاطبین نشون میده درحالی که سیگنال از این اطلاعات حفاظت میکنه و هیچ دیتایی رو نگهداری نمیکنه.
۶/۱۲
اینجا این نگرانی بوجود میاد که متا میتونه بفهمه چه کسانی به هم پیام میدن اما به هیچ عنوان به محتوای پیام دسترسی نداره. در اپ سیگنال اما سرورها حتی به شماره تلفن فرستنده و گیرنده هم دسترسی ندارن چه برسه به لیست مخاطبین.
۷/۱۲
نکته منفی بعدی اینه که واتس‌اپ نسخه پشتیبان رو بدون رمزنگاری نگهداری میکنه، این کار باعث میشه هم دیتا روی دستگاه کاربر خطرپذیر بشه و هم کلاد ذخیره کننده مثل گوگل‌درایو یا خود سرورهای متا به دیتا دسترسی داشته باشن در حالی که اپ سیگنال بکاپ رو رمزنگاری میکنه.
۸/۱۲
البته متا از ۲۰۲۱ بعد از فشارهایی که متحمل شد امکان رمزنگاری بکاپ رو به اپلیکیشن واتس‌اپ اضافه کرده ولی همچنان به صورت پیش‌فرض خاموشه و کاربر باید خودش بره و رمزنگاری بکاپ رو فعال کنه که خب معمولا کسی انجام نمیده و این میشه یه حفره امنیتی.
۹/۱۲
اینم بگم که تلگرام کلا مدل امنیتش فرق داره، به صورت پیش‌فرض E2EE نداره و این رمزنگاری فقط در سکرت‌چت‌های تلگرام، تماس‌های امن و پیام‌های خودتخریب اعمال میشه. در واقع بر خلاف واتس‌اپ و سیگنال، سرورهای تلگرام به تمام محتوای چت‌های خصوصی کاربر، گروه‌ها و ربات‌ها دسترسی دارن.
۱۰/۱۲
در پایان بگم این صحبت که واتس‌اپ امن نیست و پیامرسان بومی امنه از اساس مسخره‌اس. ما اصلا هیچ پیامرسان بومی نداریم که E2EE داشته باشه که بخواد راجع به امنیت حرفی داشته باشه، امنیت زیرساخت‌ها هم که مشخصه هر روز یکی هک میشه.

برای کاربر عادی هم واتس‌اپ امنه هم تلگرام.
۱۱/۱۲
اگه نگران امنیتتون هستید حتما رمزنگاری بکاپ واتس‌اپ رو فعال کنید ولی همچنان دفترچه تلفن و شماره خودتون داره با متا به اشتراک گذاشته میشه.
اگه بازم نگران هستید امن‌ترین برنامه فعلی اپلیکیشن سیگنال هست که این اطلاعات رو هم جمع‌آوری نمیکنه.

موفق باشید.
۱۲/۱۲

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Vahid Farid

Vahid Farid Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @vahidfarid

Vahid Farid Profile picture
Mar 12, 2024
چون در مورد #فرگمنت کمتر صحبت شده و دوستان زیادی نمیدونن چطور استفاده کنن یه داستان بگم براش، یه مدته داستان نگفتم :)

ما وقتی درخواست HTTPS/WSS میفرستیم سمت سرور، کل اطلاعات با پروتکل TLS رمزنگاری میشه و بین راه قابل مشاهده نیست در نتیجه هکر/فیلترچی نمیتونه ببینه چه خبره.👇
۱/۱۰
اما اینجا یه مشکلی وجود داره! زمانی که پای CDN/Reverse Proxy میاد وسط تا از سرور ما محافظت کنه، لازمه که نام دامین مقصد رو بدونه تا تشخیص بده درخواست رو چطور هدایت/رمزگشایی کنه. اینجا مفهومی اضافه میشه به اسم SNI که همون نام دامین ماست.
۲/۱۰
روش کار اینطوریه که قبل از ارسال درخواست اصلی که رمزنگاری شده، یک بسته به سمت مقصد ارسال میشه که مشخص میکنه بسته‌ی رمزنگاری شده مربوط به کدوم دامینه.
این بسته tlshello نامگذاری شده و حاوی نام دامنه‌ی ماست. بعد از این بسته، درخواست رمزنگاری شده‌ی اصلی ارسال میشه.
۳/۱۰
Read 10 tweets
Vahid Farid Profile picture
Dec 28, 2023
چون در مورد امنیت #وارپ اخیرا حاشیه‌ها زیاد شده تصمیم گرفتم چند تا تست واقعی بگیرم بلکه خیال همگی راحت بشه.
زمانی که وارپ روی دستگاه شما فعال میشه، کلادفلر بر اساس آی‌پی شما که بیانگر موقیت جغرافیایی شماست، یک آی‌پی از رنج آی‌پی‌های متنوعی که داره به شما اختصاص میده.
۱/۷ Image
وقتی از ایران به وارپ وصل میشید، اگه آی‌پی رو بررسی کنید میبینید که کلادفلر یک آی‌پی از ایران به شما داده. حالا اینکه کلادفلر این رنج آی‌پی ایران رو از کجا آورده وقتی دفتری در ایران نداره، یه بحث مجزاس ولی واقعا لوکیشن آی‌پی کلادفلر وسط تهرانه و همین موضوع باعث نگرانی شده.
۲/۷ Image
در تصویر بالا می‌بینید که ISP کلادفلره و جای نگرانی نداره اصلا. طبیعتا به همین دلیل سرویس‌های تحریمی موقعیت شما رو ایران میبینن و عمدتا دسترسی به سرویس رو مسدود میکنن.
اما بحث دیگه‌ای که هست اینه که وقتی سایتی پشت cdn کلادفلر باشه، کلادفلر آی‌پی مبدا رو تحویلش میده.
۳/۷
Read 7 tweets
Vahid Farid Profile picture
Jul 7, 2023
پریشب سگارو @iSegaro ازم خواست که کد X-Panel رو نگاه کنم چون گزارشات زیادی از مسدود شدن سرورهای مبتنی بر این ابزار توسط پروایدرها دریافت کرده بودن.
کد رو بررسی کردم و در یک کلام باید بگم به لحاظ امنیتی «افتضاحه».

در ادامه حداقل دلایل رو نوشتم:

۱/۸
github.com/Alirezad07/X-P…
این کد توسط php و با الگو گرفتن از مدل MVC نوشته شده ولی حداقل‌های امنیتی این مدل و جداسازی‌ها در این کد رعایت نشده.
تمام کدها در روت وب‌سرور قابل دسترسی هستن، در حالی که تو مدل MVC، کدها باید در سطحی بالاتر از وب سرور باشن و قابل دسترسی توسط وب‌سرور نباشن.
۲/۸
در اسکریپت نصب این ابزار، تمام فایل‌های کانفیگ پنل وب و کتابخانه‌ها با دسترسی خواندن/نوشتن همگانی روی وب سرور قرار گرفتن، واقعیتش تا امروز چنین کار خطرناکی رو هیچ‌جا ندیده بودم، اینا حداقل‌های امنیت هستن.
دسترسی ۷۷۷ به فایل‌های حیاتی روی وب سرور، فاجعه‌اس.
۳/۸
Read 10 tweets
Vahid Farid Profile picture
May 22, 2023
ویدیو آموزش خرید سرور لینوکس و ایجاد VPN به روش SSH با حداقل دانش فنی رو میتونید تو کانال یوتیوبم ببینید.
من سرور رو از ایران خریدم ولی شما اگه میتونید با کریپتو یا دبیت خرید کنید، حتما از خارج کشور بخرید، چون ارزونتره.
امیدوارم براتون مفید باشه.

این روش ریسک پایین فیلتر شدن آی‌پی رو داره، همونطور که تو ویدیو گفتم با تعداد پایین وصل بشید، دو نفر سه نفر. حالا اگه آی‌پی‌تون بن شد نیاید سراغ من، ولی واقعا خودم تاحالا با این روش سرورم مسدود نشده.

تو ویدیو میبینید که من اصلا به لاگین نکردم، فقط با اطلاعات فروشنده متصل شدم.
دیگه ببخشید من ادیت ویدیو و خوشگل کردن landing و اینها رو بلد نیستم، اون قسمتاشو تحمل کنید :)
Read 8 tweets
Vahid Farid Profile picture
May 9, 2023
کد آپدیت شده‌ی ورکر تولید ساب برای کلاینت‌های v2ray رو آپدیت کردم و میتونید از روی گیت‌هاب نسخه‌ی ۱.۷ رو دریافت و روی ورکرهاتون جایگزین کنید.

لینک کتابخانه:


لینک دریافت اسکریپت:


توضیحات کامل داخل کتابخانه هست.

۱/۵github.com/vfarid/v2ray-w…
raw.githubusercontent.com/vfarid/v2ray-w…
تو این نسخه علاوه بر امکانات نسخه‌ی قبل، امکان ارسال متغیرهای alpn و fp هم به پارامترها اضافه شده.
همینطور میتونید لیست پرووایدرها رو با پارامتر provider در url محدود کنید.
تو صفحه اول کتابخانه تمام موارد رو کامل نوشتم.

۲/۵
اگه لینک ورکرتون رو بدون sub بزنید، راهنمای فارسی رو روی صفحه‌ی ورکر خودتون با مثال‌های واقعی از لینک خودتون میاره.
با توجه به اینکه مطمئن شدم کانفیگ‌های tcp در ترکیب با ورکر کار نمیکنن، اونها رو حذف کردم.

۳/۵
Read 8 tweets
Vahid Farid Profile picture
Apr 28, 2023
کد ورکر رو با تغییر الگوریتم، اضافه کردن پشتیبانی از vless و تروجان و همینطور رفع مشکل کاراکترهای زبان فارسی و چینی (utf8)، آپدیت کردم.
نام کتابخانه‌ی منبع هر کانفیگ در ابتدای نام کانفیگ قید شده.
لینک کتابخانه:
github.com/vfarid/v2ray-w…
دریافت اسکریپت:
github.com/vfarid/v2ray-w…

۱/۵
کدش نسبت به قبل خیلی تفاوت کرده، ولی شما فقط کد رو دانلود کنید و داخل بخش مربوطه تو ورکر ذخیره کنید و تمام.
بعد از ذخیره، دیگه اون خطای ۵۰۲ رو دریافت نمی‌کنید و به جاش، راهنمای ورکر براتون نمایش داده میشه.
مطابق راهنما لینک ساب رو کپی کنید و به اپ خودتون اضافه کنید.
۲/۵ Image
همونطور که در راهنمای بالا می‌بینید، امکان تعیین تعداد کانفیگ، استفاده از کانفیگ‌های اصلی به عنوان پارامتر در ادرس ورکر اورده شده و همینطور اضافه کردن همزمان چندین آی‌پی و سابدامین آی‌پی تمیز هم به قابلیت‌های ورکر اضافه شده.
۳/۵
Read 6 tweets

Did Thread Reader help you today?

Support us! We are indie developers!

This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Don't want to be a Premium member but still want to support us?

Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal

Or Donate anonymously using crypto!

Ethereum

0xfe58350B80634f60Fa6Dc149a72b4DFbc17D341E copy

Bitcoin

3ATGMxNzCUFzxpMCHL5sWSt4DVtS8UqXpi copy

Thank you for your support!

Follow Us!

Send Email!

:(