سلام
بفرض بنده يك سايت ريجيستر كردهام. كلي هم پول داده ام!
حالا مساله امنيت آن را چطور بايد حل كنم؟! آيا رعايت مسايل امنيتي به عهده من است يا كسي كه به بنده فضا فروخته؟
بستگي داره چه نوع امنيتي باشه...
اصولا امنيت سرور بر عهده سرويس دهنده ميباشد اما امنيت سايت بر عهده خودتون هستش كه بايد از يك سري اصول و روشها استفاده كنيد تا سايتتون حداقل امكان نفوذ پذيري رو دارا باشه
من اينجا تازه اومدم و اولين پستمه ! سايت باحاليه ! :roll:
بهتون برنخوره ولي هميشه درصد زيادي از نفوذپذري هر سيستم مربوط به كاربران ابله ميشه ! چيزي كه كوين ميتنيك زياد ازش استفاده ميكرد !
(راستي اديتورتون چقدر باحاله ! )
se7en جان اول از همه ورود شما رو به جمع خودمون تبريك ميگم و اميدارم كه بتونيد لحظات خوبي رو در سايت داشته باشيد...
حرف se7en به نظر من هم خيلي به جاست و كاربران خيلي تاثير دارند..
اما در مورد امنيتي كه بايد طراح مد نظر داشته باشه اينه كه سعي كنه مثلا پسورد ديتا بيس رو طوري ذخيره كنه كه راحت قابل دسترسي نباشه.. يا سيستم كاربري رو به نحوي پياده سازي كنه كه نشه به راحتي به اون نفوذ كرد خيلي راهها وجود داره كه بايد ببينيد ديد شما از كودم جهته و در اصل چه كاري ميخواين بكنيد..
ضمنا نفوذهايي كه انجام ميشه از راههاي مختلف ميتونه باشه مثلا در سيستم نوك ميشه از طريق Expolid هاي اون بهش به راحتي نفوذ كرد و ...
زياد شنيده ايم كه فلان سايت حك شده و آن سايت بالا نميآيد يا صفحه اول آن تغيير كرده است.
مثلا سايتي را ميشناسم كه آن را حك كردهاند و صفحه اول آن را عوض كرده اند و ...
بنده اگر بخواهم اين بلاها سر سايتم در نيايد چه بايد بكنم؟ آيا فقط با بالا بردن امنيت ديتابيس مشكل حل خواهد شد؟
راستي بنده پسورد ديتابيس را داخل يك متغيير قرار داده ام. آيا راه بهتر از اين هم وجود دارد؟
زياد شنيده ايم كه فلان سايت حك شده و آن سايت بالا نميآيد يا صفحه اول آن تغيير كرده است.
مثلا سايتي را ميشناسم كه آن را حك كردهاند و صفحه اول آن را عوض كرده اند و ...
بنده اگر بخواهم اين بلاها سر سايتم در نيايد چه بايد بكنم؟ آيا فقط با بالا بردن امنيت ديتابيس مشكل حل خواهد شد؟
راستي بنده پسورد ديتابيس را داخل يك متغيير قرار داده ام. آيا راه بهتر از اين هم وجود دارد؟
همانطور كه آقا مجيد هم نوشته اند سيستم امنيتي هر سايت هم به دهنده سرور و هم به گيرنده سرور مربوط ميشود
اما دهنده هاي سرور يسري نرم افزار و سخت افزار دارند كه تقريبا براي كل دنيا ي اينترنت يكسان است
اما گيرنده سرور هم بايد مراحل امنيتي سايت خود را با ترفندهاي مختلف بالا ببرد و در اينحا اعلام ترفندهاي شخصي كار اشتباهي است براي اينكه اگر من بخواهم اون ايده هاي خودم را اينجا بيان كنم يعني قسمتي از سيستم امنيتي سرور خود را لو داده ام
و اين جمله
راستي بنده پسورد ديتابيس را داخل يك متغيير قرار داده ام. آيا راه بهتر از اين هم وجود دارد؟
قرار دادن پسورد ديتابيس را داخل يك متغيير يك اشتباه بزرگي است يكي از رههاي نفوذ به ديتا بيس است وقتي به ديتا بيس نفوذ شد كل اطلاعات به سرقت ميره. باز شرمنده كه نمي تونم راه حل خود را بيان كنم
حرفهاي سامان رو كاملا تصديق ميكنم...
حرفش كاملا صحيح و درسته... پسوردها رو توي كوكي يا متغير و اين حرفها نريز...
در مورد اون مشكلي كه گفتي بازم بستگي داره ممكنه خود كاربر كاري كنه كه پسوردش لو بره و نفوذگر بيار صفحه اول رو تغيير بده يا اينكه سرور ضعف امنيتي داشته باشه كه نفوذگر بتونه به اون وارد بشه و صفحات رو تغيير بده
سلام
ممنون مجيد جان از لطفت !
حرفها همه درسته ولي اينم يادتون نره كه هيچ وقت امنيت 100٪ نميشه هميشه راههاي ابتكاري و جديدي هم هست !
در ضمن براي هكرهاي حرفه اي ديتا بيس ها يكي از بهترين اهداف تويه شبكه ها و سايتها هستن ! چون از طريق تزريق دستورات خيلي راحت ميشه كنترلشو به دست گرفت ...
سلام ، يه جايي آقا مجيد گفتن : Expolid
كه فكر كنم منظورشون همون اكسپلويت (Exploit) بوده
اما راجع به سوال دوستمون ، امنيت سرور كه به هيچ وجه دست شما نيست يعني شما هيچ سهمي توش نداري ! چون به ادمين سرور مربوط ميشه !
سهم شما تو امنيت سايت همون چيزايي كه دوستان گفتن اما همه فقط به پسوردها اشاره كردن در صورتي كه جديدا برنامه هايي اومده كه با استفاده از كدهاي ناقص (مثل جاوا اسكريپت) هكر ميتونه به سايت شما نفوذ كنه !
براي ايمن كردن پورتال ها هم بايد هميشه به سايت سازنده پورتال بري و آخرين Patch ها رو بگيري و رو پورتالت نصب كني
در ضمن پيشنهاد ميكنم كه اگه به برنامه نويسي سرور سايد آشنايي نداري ازش استفاده نكن مخصوصا از محصولات مايكروسافت مثل Asp
)
