بالا بردن امنیت

[shervin]

چه پارامتر هایی برای بالا رفتن امنیت یک سایت مهمه؟
مثلا نحوه ی لاگین کردن و ....

 

[Y2K]

سلام شروین
خوبی

سوال جالبیه
چیزایی که الان به ذهنم میرسه ایناست
1- کنترل کامل هر گونه ارور: یعنی هرجایی که به نظرت احتمال اشتباه از طرف کاربر یا سیستم هست رو باید مشخص کنی
2- همون که گفتی کاملش میشه کنترل دسترسی کاربران به بخشهای مختلف سیستم
3- کنترل ورودی ها و خروجی های بانک اطلاعاتی
4- جلوگیری از دسترسی به فایلهای حساس موجود در برنامه ات
5 - و ... فعلا اینا یادم اومد

 

[shervin]

سلام
مرسی خوبم
تو خوبی؟
--------
استفاده از سیستم Authentication خود دات نت امنیتش خوبه؟
مثلا فکر کنم استفاده از کوکی ها امنیت پایین تری داشته باشه
یا مثلا اجازه دسترسی برای فایل ها با درست کردن پوشه و ساختن یهWeb.Config براشون روش مناسبیه؟
یا روش های حرفه ای تر هم هست؟
مثلا من تو اولین پروژم یه کار ابتدایی کردم
یه یوزر کنترل ساختم توش اجازه دسترسی هارو مشخص کردم و هر صفحه ای میخواستم کنترل بشه رو اونو انداختم توش
اینکه سایت رو هک میکنن و مثلا به دیتا بیس دسترسی پیدا میکنن به اسکریپت که مینیویسمم ربط داره یا به امنیت سرور مربوطه؟

 

[H_R]

روشی که دات نت 2 برای قسمت کاربر ارائه میده علاوه بر اینکه خیلی راحت میتون یازش استفاده کنی ، تا حد قابل قبولی امینت داره ( حد اقل بیشتر از چیزی که تو میتونی دستی امنیت ایجاد کنی ) پس بهتره که بگی خدا خیرش بده و از همون استفاده کنی .

اگه میخوای از Authentication دات نت 1 استفاده کنی ، باید بدونی که اون هم در حالت معمولی از کوکی استفاده می کنه ، اگر میخوای خودت کوکی بنوسی باید حتما انکریپت (رمز نگاری ) شون کنی .

خوب برمیگیردیم به دات نت 2 ، سرویس ممبر شیپ دات نت 2 علاوه بر اینکه خیلی راحته و امینت بالایی داره یه سری ضعف هایی هم داره (که البته به عنوان یه برنامه عمومی نقطه قوتش به حساب میاد تا ضعفش ! )
مثلا ور میداره همه فیلد های پروفایل رو توی یک فیلد دیتابیس ذخیره میکنه (که البته با کمی برنامه نویسی قابل جدا سازی اه )
یا مثلا پروایدر درست کردن برای بانک های اطلاعاتی غیر از مال خود ماکروسافت یه کم برنامه نویسی میخواد ، مثلا برای mySQL 5 یه کم باید برنامه نویسی کنی و یه پروایدر بسازی .

ولی روی هم رفته چیز خوبی اه !

 

[mehdivk]

آفرین به تو گل پسر که این پست خوب را زدی .
یک سايت خیلی خوب برای امنیت که انواع مختلف حمله ها را داره و صد البته براش راه حل هم دارد :

www.securitykicks.com​

 

[shervin]

ممنون حسین جان
من با هرکی صحبت میکردم یکیش ایرانی دیزاین میگفتن که دستی بنویسیم بهتره مخصوصا وقتی بخوایم که امکانات بیشتری به سایتمون بدیم و نه که اون قابل توسعه نیست ولی دردسرش کمتره
من رو دات نت هستم الان
به نظر شما چه روشی امنیت بهتری داره؟
ضمن اینکه زیاد از چیزای هولو برو تو گلو خوشم نمیاد و ترجیح میدم نون بازوی خودمو بخورم

حد اقل بیشتر از چیزی که تو میتونی دستی امنیت ایجاد کنی

الان مسخرم کردی؟

 

[shervin]

آفرین به تو گل پسر که این پست خوب را زدی .
یک سايت خیلی خوب برای امنیت که انواع مختلف حمله ها را داره و صد البته براش راه حل هم دارد :

www.securitykicks.com​

منو گفتی؟

ینی چی؟ حمله میکنه به سایت و میگه کجاش ضعف داره؟

 

[Graveworm]

سلام شروین
خوبی

سوال جالبیه
چیزایی که الان به ذهنم میرسه ایناست
1- کنترل کامل هر گونه ارور: یعنی هرجایی که به نظرت احتمال اشتباه از طرف کاربر یا سیستم هست رو باید مشخص کنی
2- همون که گفتی کاملش میشه کنترل دسترسی کاربران به بخشهای مختلف سیستم
3- کنترل ورودی ها و خروجی های بانک اطلاعاتی
4- جلوگیری از دسترسی به فایلهای حساس موجود در برنامه ات
5 - و ... فعلا اینا یادم اومد

در تکمیل فرمایشات شما
باید یه نیم نگاهی هم به سرویس دهنده داشته باشیم ...
چون یک سری از حملات ، به امنیت سرور مربوط میشه، حالا برنامه ما هر چقدر هم امن باشه، اما قربانی میشه :دی

 

[shervin]

در تکمیل فرمایشات شما
باید یه نیم نگاهی هم به سرویس دهنده داشته باشیم ...
چون یک سری از حملات ، به امنیت سرور مربوط میشه، حالا برنامه ما هر چقدر هم امن باشه، اما قربانی میشه :دی

بله خب حرفا شما درسته ولی اینجا ما درباره امنیت خود برنامه صحبت میکنیم

 

[mehdivk]

نه شروین جان . این وب سايت کارش این نیست که حمله کنه و ایراد ها رو بگه . چون اصلا این کار غیر ممکنه و کسی همچنی کاری نمی کنه .

این وب سايت به تشریح انواع مختلف حملات بر روی وب سايت صحبت می کند ، تکرار می کنم بر روی وب سايت نه بر روی سرویس دهنده

 

[Y2K]

خوب یه سری نکات کاملتر که امروز تو MSDN دیدم رو اینجا می نویسم

1- اعتبار سنجی و رمزنگاری تمام داده های رد و بدل شده میان بخشهای مختلف سیستم
2- قرار ندادن داده های مهم در کوئری استرینگ و کوکی ها
3- کدهای صفحه و کاراکترها در مقابل انکودینگ محافظت شوند
4- تنظیم سیستم برای دادن دسترسی به فقط به حسابهای کاربری ایمن که حداقل مجوزهای لازم را برای اجرای سیستم داشته باشند
5- هنگام کار با فایلها تمامی منابع و جوانب بررسی شوند- مثل: نام فایل،نام سرور، نام یوزرها و ...
6- هنگام کار با فایلها و ورودی های کاربر کد بررسی امنیت را در تمام توابع و متدها قرار دهید
7- تغییر نام و پسورد مدیریت پیشفرض SQL Server
8- در هنگام ارتباط با بانک اطلاعاتی SQL Server، در کانکشن استرینگ Trusted_Connection را برابر True قرار دهید
9- اگر در سیستم خودتان از فایلهای Include استفاده می کنید از قرار دادن داده های مهم در این فایلهای اجتناب کنید

 

[H_R]

ممنون حسین جان
من با هرکی صحبت میکردم یکیش ایرانی دیزاین میگفتن که دستی بنویسیم بهتره مخصوصا وقتی بخوایم که امکانات بیشتری به سایتمون بدیم و نه که اون قابل توسعه نیست ولی دردسرش کمتره

ضمن اینکه زیاد از چیزای هولو برو تو گلو خوشم نمیاد و ترجیح میدم نون بازوی خودمو بخورم

اینا همش بهونست برای اینکه یه چیز جدید رویاد نیگیری ! با خودت صادق باش ! و به خودت حالی کن که سرو تهش مجبوری یادش بگیری ! درضمن اگه یادش بگیری میبینی که بر خلاف تصورت بسیار هم انعطاف پذیره !
خیای مسخرهست که آدم کلی وقت بذاره برای یه کار تکراری ! وقتی میتونه از آمادش استفاده کنه !

جای اینکه وقت بذاری و یه سیستم برای خودت بنوسی و بهش افتخار کنی که با sql enjection هک نمیشه بیشین این سرویس دات نت رو درست یاد بگیر !

الان مسخرم کردی؟

نه خیر من کلا گفتم ، سیستمی که کلی برنامه نویس ماکروافت طراحیش کردند هیچ وقت با برنامه ای که من و تو بنویسیم یکی نیست !


خودت میدونی ولی به نظر من همه سرو تهش باید استفاده از این سرویس ممبرشیپ رو یاد بگیرن ! چه بهتر که زود تر شروع کنی !