yahoo neden hacklenemez?

[Tilki_Andre]

Bu yazıda yahoo nun çalışma prensibi ve güvenliğinden bahsedeceğim.Böylece keyloger veya “parolamı unuttum,hatırlat” ayağına mail hack ettiğini iddaa eden lamerlara yahoo yu gerçekten neden hack edemeyeceklerini açıklayayım.Öncelikle bir şeyi kıracaksanız onun alt yapısını çok iyi bilmeniz gerekir ki zayıf yanlarını da bilin.

Öncelikle Yahoo! nun veritabanı modeline bakalım.Yahoo db ve web server olarak tamamen kendine ait olan ve eskiden Compaq (HP) tarafından yazılan ve şuan kendilerinin geliştirdikleri bir sistem kullanır.

DB olarak dağınık veritabanı modeline sahiptir (DNS gibi) sunucusu olan her ülkede veritabanın bir kopyası vardır.Yanlız bu veritabanında kullanıcı adı ve şifreler yer almaz.Peki ne vardır? YahooID ve Parolanızdan oluşan ve MD5 ile birlikte kullanılan bir hash kritolama algoritmasının sonuçu. ( f[#yahooID%password#] = 3F07931ADFEB2110923C0995701F4354 gibi)
Siz ID ve parolanızı girdiğinizde web-server bunu kritolama fonksiyonundan geçirir ve hash kriptosu elde eder bunu kendi veritabanındakilerle karşılaştırır ve karşılığı varsa girişe izin verir.
Parola veya özellik değiştirmek istediğinizde ise sizin kullanıcı bilgilerinizi alarak ana db server ile bağlantı kurar ve güncellenen verileri aktarır.Değişim sonuçu oluşan yeni hash kriptosunu ana db server diğer Serverlara login olabilmeniz için dağıtır.
Burada önemli olan web-server ID ve parolaya uyguladığı kripto algoritmasıdır ki, buda çok karışıktır.Çünkü bunu oluşturmadan önce “zaman” a ve açtığınız browser penceresi handleID sine bağlı olarak bir takım işlemler yapar ve bunların sonuçunda “true” değeri alırsa size bir cookie atar ve daha sonra login kritolamasına geçer.Belki dikkat etmişsinizdir, yahoo mailde aynı Explorer penceresinde sign-out yapmadan ikinci kez farklı isimle login olamazsınız ancak yeni Explorer penceresi açarsanız buna izin verir.

Özetlersek; DB(=veritabanı) sistemi;
User db : kullanıcı bilgileri ve parolanızın bulunduğu ve sizin ulaşamayacağınız db
Login db : YahooID ve parolanızın ortak oluşturduğu (hash) kriptoların bulunduğu, web-serverin karşılaştırma yapmak için 1-2 sn. bağlandığı db.
Ve diğerleri; Reklam db, haber db, egroups db , etc…

Tabii ki bu Yahoo nun güvenlik sistemi için yeterli değil, diğer özellikler ise;
Yahoo da , parolanızı yanlış girerseniz size tekrar sorar ama brute-force attack önlemek için 3-10 kereden fazla yanlış girerseniz size “gördüğünü yaz” sistemi uygular yani karışık resimdeki karakterleri de login olurken girmenizi ister eğer hala yanlış girerseniz sizin ip adresinizi 30 dk. ile 120 dk. arası login sayfasına girişini engeller.3-10 ve 30-120 dk. arası sayıları rastgele seçer yani random’dur. Onun için Proxy sunuculardan bağlanıyorsanız ve sizden önce birileri parolasını yahoo ya yanlış girmiş ve kasmışsa sizin de ip’niz aynı olacağından dolayı sizde login olamayacaksınız demektir.(yahoo nun özür dileyen hata sayfası gelir)