نکاتی برای افزایش امنیت وب سایت شما

منتشرشده در مقالات هک و امنیت
چهارشنبه, 18 بهمن 1396 ساعت 09:09

 

نرم افزارهای مورد استفاده خود را به روز نگهدارید.
شاید ظاهر این امر ساده باشد اما بسیار کاربردی است، این بروزرسانی هم باید شامل سیستم عامل سرور شما و برنامه های موجود بر روی آن باشد و هم برای سیستم هایی که شما برای راه اندازی سایتتان از آنها استفاده می کنید(نظیر CMS ها و فروم ها). زمانی که یک رخنه امنیتی در یک نرم افزار کشف می شود هکرها فوراً از آن برای نفوذ به سیستم های آسیب پذیر استفاده می کنند. پس سعی کنید همیشه از نرم افزارهای بروز استفاده کنید.

در صورتی که از هاست اشتراکی استفاده می کنید مسئولیت بروزرسانی سیستم عامل و نرم افزارهای سیستمی آن به عهده شرکت ارائه دهنده این سرویس می باشد، لذا همواره در انتخاب سرویس دهنده مناسب برای سایتتان دقت نمایید.

 

پیام های خطا
مراقب باشید که در پیام های خطای خود چه مقدار اطلاعات به کاربر می دهید، مثلا در صفحه لاگین در صورتی که اطلاعات ورود اشتباه وارد شوند صرفاً از پیام " نام کاربری یا رمز عبور اشتباه است" استفاده کنید و مشخص نکنید که دقیقاً کدام بخش اشتباه بوده همچنین باید در زمان کد نویسی برای خطاهایی که ممکن است اتفاق بیفتد خطای مناسبی در نظر بگیرید و اجازه ندهید که زبان برنامه نویسی یا سرور پیام خطایی صادر کند چون ممکن است این پیام ها باعث درز ناخواسته اطلاعات سیستم شما شود.

 

استفاده از رمز عبور مناسب و ذخیره سازی امن
این مورد را حتماً بارها شنیده اید اما ما برای تأکید باز هم آن را ذکر کرده ایم، حتماً دقت کنید که رمز عبورتان حداقل هست کاراکتر باشد و همچنین ترکیبی از حروف کوچک و بزرگ و اعداد. سعی کنید در زمان برنامه نویسی کاربر را ملزم به رعایت این مسائل نمایید و رمز های عبور کاربران را به صورت کد شده در بانک اطلاعات ذخیره نمایید همچنین توصیه می شود از الگوریتم های یک طرفه برای کد کردن رمز های عبورتان استفاده کنید

 

آپلود فایل
اگر شما نیز در سایت خود به کاربرانتان اجازه آپلود فایل را می دهید توجه داشته باشید که این مسئله یک ریسک بزرگ است، حملات ناشی از آپلود فایل در صورتی که با موفقیت انجام شوند می توانند کل سیستم شما را تحت کنترل در آورند و انواع خرابکاری ها را انجام دهند، در صورت نیاز به استفاده از این مورد لازم است از یک برنامه نویس آشنا به مسائل امنیتی استفاده کنید یا با یک متخصص امنیت در این باره مشورت کنید. ( به زودی مقاله ای در این مورد منتشر خواهیم کرد)

 

استفاده از ماژول های معتبر
در صورتی که شما نیز یکی از کاربران سیستم های مدیریت محتوا نظیر جوملا یا وردپرس هستید توجه داشته باشید که هر نوع افزونه ای را بر روی سیستم خود نصب نکنید، لازم است ابتدا نسبت به معتبر بودن آن افزونه مطمئن شوید. بسیار از افراد با طراحی افزونه برای سیستم های مدیریت محتوا و قرار دادن نقاط آسیب پذیر بر روی آن تلاش می نمایند تا از این طریق اقدام به هک وب سایت های استفاده کننده نمایند.

ایمن سازی سایت در چند قدم

منتشرشده در مقالات هک و امنیت
دوشنبه, 08 آذر 1395 ساعت 20:30

1-پسورد گذاری بر روی فایل های مدیریت و مهم

هر جا که سخن از امنیت می شود اولین راهی که به ذهن هر شخصی می رسد پسورد گذاری می باشد ، وب سایت ها هم از این قضیه مستثنا نیستند و برخی از فایل ها نیاز به پسورد گذاری دارند ، از جمله مهمترین قسمت ها “administrator” می باشد که برای تامین امنیت اکثر سایت ها بر روی آن پسورد می گذراند تا امنیت سایت را بالا ببرند.مدیر هر سایتی به خوبی نقاط قوت و مهم و فایل ها و فولدرهای حیاتی را می شناسد پس مدیران سایت ها بهتر از هر کسی می دانند که روی چه قسمت هایی پسورد گذاری کنند.در هاست های لینوکس و ویندوز قسمتی برای این کار در پنل تعبیه شده است.

2-انتخاب پسورد امن و مطمئن برای قسمت های مختلف

حتما این جمله را بارها شنیده اید که همیشه پسورد قوی و مطمئن انتخاب کنید،این بار ما هم به شما توصیه می کنیم که پسورد(رمز عبور) خود را مطمئن و مناسب انتخاب کنید.تاریخ تولد ، شماره تلفن ، ،عددهای متوالی و کوتاه و شبیه هم و نام خودتان و نام خانوادگی و از این قبیل حروف به هیچ وجه انتخاب مناسبی برای پسورد نمی باشد.پسورد مناسب باید حداقل 8 کاراکتر و ترکیبی از حروف و اعداد و علامت و تا جای ممکن کاملا بی ربط باشد.خود سرویس دهنده وب در هنگام خرید سرویس، شناسه کاربری و رمز عبوری به شما می دهد که رمز عبور دارای امنیت خوبی است ولی شناسه ساده می باشد و باید تغییر یابد.. هکرها با استفاده برنامه هایی که خودشان می سازند تمام اعداد و حروف و علامت را از کوچک به بزرگ چک می کنند که برای جلوگیری از چنین مشکلی نیز راه حلی وجود دارد که در شماره بعد توضیح داده خواهد شد.

3- محدود کردن وارد کردن اطلاعات در قسمت مدیریت

اگر از سیستم مدیریت محتوا استفاده می کنید ،برای ورود به قسمت مدیریت سایت خود باید شناسه و رمز عبور وارد کنید. که هکرها برای ورود به سیستم ممکن است به تعداد دفعات متعدد پسوردهای مختلف را امتحان کنند برای جلوگیری از وارد کردن پی در پی و اشتباه با تنظیمات پرتال خود می توانید محدودیت در لوگین (ورود)ایجاد کنید تا پس از چند بار وارد کردن اطلاعات اشتباه آی پی هکر بند (بسته) و از ورود آن به سایت جلوگیری شود.نکته : همه پرتال ها و سیستم های مدیریت محتوا ممکن است چنین قابلیتی نداشته باشد ، یا باید کدی برای چنین کار نوشته شود و یا باید به امکانات سرویس دهنده نگاه کنیم و ببینم چنین قابلیتی را دارا می باشد یا خیر(بسته به نوع پنل سرویس دهنده و سیستم عامل خدمات متفاوت می باشد).

4-تغییر مسیر مدیریت و تغییر نام کاربری مدیریت

در پرتال هایی که توسط شخص خاصی طراحی می شود آدرس ها دلخواه می باشد و معمولا سلیقه ای می باشد و مشکلی ایجاد نمی شود ولی در سیستم های مدیریت محتوا مسیر پیشفرض قابل حدس زدن می باشد ، پس چه بهتر است با تغییر مسیر پیشفرض از مشکلات بعدی جلوگیری کنیم .برا تغییر مسیر مدیریت ، پلاگین ها یی مرتبط با سیستم مدیریت محتوای مربوطه برای چنین کاری موجود می باشد.در برخی سیستم های مدیریت محتوا در هنگام نصب شما می توانید شناسه و رمز عبور را وارد کنید و در این صورت مشکلی وجود ندارد ولی در برخی شناسه به طور پیشفرض “Admin” می باشد که برای جلوگیری از نفوذ باید با نامی مناسب تغییر یابد.

5-استفاده از قالب ها،پلاگین ها و ابزارک های ایمن

 حالا طرف صحبت ما مدیران وب سایت ها است که روزانه با انبوه قالب و پلاگین ها مواجه هستند . سعی کنید از سایت های رسمی محصولات را دریافت کنید و اگر از محصولات نال شده استفاده می کنید به محتوای پوشه ها دقت کنید تا با باگ های اساسی و خطرناک ، به راحتی هک نشوید.قالب ها اضافی نگه ندارید و تا جای امکان از امکانات پیشفرض خود سیستم استفاده کنید.

6-انتخاب سرویس دهنده مناسب و ایمن

اولین گام برای ایجاد وب سایت ایمن انتخاب سرویس دهنده مناسب می باشد . اگر شما هر چقدر بر روی مسائل امنیتی و طراحی و کدها کار کنید ولی سرویس دهنده مناسبی نداشته باشید کاری از پیش نخواهید برد و دیر یا زود توسط گروه های هکر و ضعف سرور هک خواهید شد ، پس در انتخاب سرویس دهنده نهایت دقت را به خرج دهید . برخی سایت ها مدعی هستند دارای برقراری ارتباط و امنیت 99.9% هستند ولی در ظاهر هیچ چیز را باور نکنید و درباره سرویس دهنده و مشتریان آن تحقیق کنید تا بعدا به خاطر عدم امنیت سرویس دهنده با خطر هک روبرو نشوید.

7-استفاده نکردن از کدهایی که شناختی به آن ندارید.

برخی از مدیران وب سایت ها وبه خصوص وبلاگ ها بدون هیچ شناختی از کدهایی که درون برخی وب سایت ها وجود دارد در سایت خود برای زیبایی وب سایت و امکانات جالب قرار می دهند ولی غافل از اینکه ممکن است این کدها حاوی دستورهای مخربی برای آلوده کردن وب سایت شما باشد.اغلب کدها به صورت جاوا اسکریپت می باشد که به صورت های مختلف با عناوین مختلف برای استفاده قرار داده شده است.سعی کنید کدها را از وب سایت های معتبر دریافت کنید.استفاده از چنین کدهایی در وبلاگ ها بیشتر دیده می شود و ممکن است علاوه بر سایت امنیت خود کاربر را به خطر بیندازد .پس با دقت از کدها استفاده کنید.

8-تعیین سطح دسترسی فایلها و فولدرهای سایت

امروزه اکثر وب سایت دارای پنل مدیریت و فولدر های متفاوت می باشند و برخی دیگر از وب سایت ها از سیستم مدیریت محتوا استفاده می کنند .یکی از راههای نفوذ هکرها فایل و فولدرها سایت شما می باشد ، شما باید با تعیین سطح دسترسی فایل ها و فولدرها امنیت سایت خود را بالا ببرید. اگر سایت شما با سیستم مدیریت محتوا کار می کند داخل فایل راهنمای سیستم مدیریت پریمیشن یا سطح دسترسی فایل ها مختلف را برای شما نوشته است تا فایل ها و فولدرها را بر اساس همان اعداد تعیین کنید .اگر هم سایت را خودتان طراحی کرده اید با توجه به اهمیت فولدرها و محتویات آن سطح دسترسی را تعیین کنید.

با رعایت نکاتی که در بالا ذکر شد می توانید امنیت وب سایت خود را به خوبی تامین کنید ولی این نکته را فراموش نکنید که هیچگاه تامین امنیت به طور کامل امکان پذیر نمی باشد و روزانه روش های جدید ابداع می شود پس توقع نداشته باشید که هیچ گاه هک نشوید ، ولی با رعایت نکات امنیتی درصد نفوذ را به طور قابل ملاحضه ای کاهش دهید.

12 قانون مهم امنیت در وب

منتشرشده در مقالات هک و امنیت
شنبه, 06 آذر 1395 ساعت 20:30

قانون شماره‌ی 1: فریب کلاه‌برداری‌های اینترنتی را نخورید

گاهی اوقات بزرگ‌ترین تهدید امنیت شما، خودتان هستید! آسان‌ترین راه برای به دست آوردن اطلاعات کاربران توسط هکرها، فریب دادن آن‌ها و گرفتن این اطلاعات به صورت مستقیم از خود کاربر است. این کار اغلب توسط ایمیل‌های «فیشینگ» (phishing emails) انجام می‌شود. در این ایمیل‌ها معمولاً وانمود می‌شود که رئیس‌تان، بانکی که در آن حساب دارید، سرویس دهنده‌ی اینترنتی و یا هر شرکت و فردی که به نوعی با آن در ارتباط هستید، از شما اطلاعات حساب‌تان را می‌خواهد؛ به این صورت که با فرستادن لینکی به یک وب‌سایت تقلبی، از شما تقاضا می‌شود که در آن لاگین کنید. اگر فریب این ایمیل‌ها را بخورید، نام کاربری و رمز عبور خود را به راحت‌ترین شکل ممکن در اختیار کلاه‌برداران قرار داده‌اید.
بعضی حملات فیشینگ بسیار ابتدایی هستند و به راحتی می‌توان آن‌ها را تشخیص داد، در حالی که بعضی از آن‌ها بسیار پیچیده‌ هستند و تنها افراد متخصص قادر به تشخیص جعلی بودن آن هستند. اما راه حل بسیار آسانی وجود دارد که در اکثر مواقع جواب می‌دهد: بر روی هیچ لینکی در یک ایمیل کلیک نکنید. اگر ایمیلی از بانک خود دریافت کرده‌اید که به شما می‌گوید باید هرچه زودتر نسبت به تعویض رمز عبور خود اقدام کنید، کافی است اسم بانک مورد نظر را در مرورگرتان جستجو کرده، و یا اگر از قبل آدرس را می‌دانید مستقیماً آن را در مرورگر وارد کنید.
قانون شماره‌ی 2: فایل‌های پیوست ایمیل را باز نکنید

راه دیگری که کلاه‌برداران ممکن است شما را فریب دهند، ارسال فایل‌های پیوست (attachment) آلوده از طریق ایمیل است. این موضوع وقتی خطرناک‌تر می‌شود که فرد کلاه‌بردار اطلاعات مختصری از شما داشته باشد و فایل را تحت عناوینی مانند "صورت حساب خرید اینترنتی"، "اطلاعیه‌ی نمرات ترم" و یا "فیش واریز حقوق" برای شما ارسال کند. اگر فرستنده‌ی ایمیل را نمی‌شناسید به هیچ وجه فایل پیوست را باز نکرده و ایمیل را پاک کنید. در صورتی که ایمیل از طرف یکی از دوستان یا همکاران‌تان برای شما ارسال شده است، این امکان وجود دارد که شخص مورد نظر هم به دام این کلاه‌برداری افتاده و آلوده شده باشد. در چنین مواردی قبل از باز کردن پیوست ایمیل، با شخص مربوطه تماس بگیرید تا مطمئن شوید که خود او ایمیل را برای شما ارسال کرده باشد.
قانون شماره‌ی 3: برای محافظت از فرزندانتان در محیط مجازی اطلاعات سایبری خود را افزایش دهید

با وجود خطراتی مانند ارسال محتوای مبتذل، مزاحمت‌های اینترنتی و کلاه‌برداری‌های سایبری، پدر و مادر بودن در عصر اینترنت کار آسانی نیست. بهترین کاری که می‌توانید انجام دهید، یادگیری در این باره است. سعی کنید با مرور متناوب اخبار فناوری، اطلاعات خود از دنیای تکنولوژی به روز نگه دارید. اگر از شبکه‌های اجتماعی مثل فیسبوک، توییتر یا اینستاگرام استفاده نمی‌کنید و چیزی درباره‌ی آن‌ها نمی‌دانید، می‌توانید با جستجو در اینترنت درباره‌ی آن‌ها یاد بگیرید. اگر فرزندتان زیر ۱۰ سال سن دارد، بهتر است با نصب اپلیکیشن‌های خاص و انجام برخی تنظیمات، کنترل کاملی بر نحوه‌ی دسترسی او به اینترنت داشته باشید.
قانون شماره‌ی 4: فلش پلیر جدید نصب نکنید

 

اگر به صورت اتفاقی گذرتان به سایت‌های مشکوک افتاده باشد، احتمالاً با پیغامی مبنی بر بروزرسانی فلش پلیر مواجه شده‌اید. هرگز و مطلقاً چنین کاری نکنید. اگر فریب این حقه را خوده و نرم‌افزار آلوده را نصب کرده‌اید، در بهترین حالت یک ابزار تبلیغاتی مزاحم بر روی سیستم خود نصب کرده‌اید و در بدترین حالت، شما به لیست کامپیوترهای آلوده شده توسط هکر مربوطه اضافه شده‌اید.

قانون شماره‌ی 5: از یک ابزار مدیریت رمز عبور استفاده کنید

استفاده از پسوردهای طولانی و پیچیده شاید چندان خوشایند نباشد، اما تا زمانی که جایگزین امنیتی بهتری برای آن پیدا نشود، بهترین راه برای حفظ امنیت همین پسوردها هستند. با استفاده از ابزارهای مدیریت پسوردی مانند 1Password، Dashlane یا Lastpass می‌توان بدون نگرانی از پسوردهای متفاوت و قوی در سایت‌ها و سرویس‌های مختلف استفاده کنید.
از این ابزارها می‌توان هم به عنوان گاوصندوقی ایمن برای ذخیره‌ی تمامی رمزهای عبور، و هم برای تولید خودکار رمزهای عبور ایمن و پیچیده‌ استفاده کرد. تنها باید مطمئن باشید که یک رمز عبور قوی برای دسترسی به این اپلیکیشن‌ها انتخاب می‌کنید، در غیر این صورت تمامی پسوردهای شما در معرض خطر قرار خواهند گرفت.
قانون شماره‌ی 6: از ورود دو مرحله‌ای استفاده کنید

 

هر روز سایت‌های و سرویس‌های بیشتری از حساب فیسبوک، توییتر یا جیمیل برای ورود استفاده می‌کنند. به همین دلیل اهمیت تامین امنیت این حساب‌ها دوچندان است. ورود دو مرحله‌ای (2-Step Verification) یکی از ایمن‌ترین روش‌هایی است که می‌توان از آن برای محافظت از امنیت حساب‌های خود استفاده کنید. در این روش هنگام اقدام برای ورود به حساب، پیامی حاوی یک کد ۴ یا ۶ رقمی به تلفن همراه شما ارسال می‌شود. با فعال کردن این قابلیت، حتی اگر کسی رمز عبور حساب شما را هم داشته باشد نمی‌تواند به آن وارد شود.
قانون شماره‌ی 7: پسورد پیش‌فرض مودم را تغییر دهید


بیشتر افراد به این نکته توجه ندارند که وای-فای آن‌ها در حقیقت دو پسورد دارد. یکی از آن‌ها رمز دسترسی به وای-فای است (که هنگام وصل شدن با دستگاه‌ها آن را وارد می‌کنید) و دیگری پسورد روتر است، که با استفاده از آن می‌توانید تنظیمات مودم خود از جمله پسورد وای-فای را تغییر دهید. اکثر افراد یک رمز عبور قوی برای اولی انتخاب می‌کنند، درحالی که فراموش می‌کنند رمز عبور پیش‌فرض مودم را تغییر دهند. رمز عبور پیش‌فرض اکثر مودم‌ها مشخص است (معمولاً admin و password). پس اگر کسی به مودم شما دسترسی داشته باشد، به راحتی می‌تواند به آن وارد شده و رمز عبور وای-فای شما را تغییر دهد و یا به اطلاعاتی که از طریق روتر رد و بدل می‌شود دسترسی داشته باشد. انتخاب یک پسورد قوی برای وای-فای هم بسیار مهم است.
قانون شماره‌ی 8: فریب وای-فای‌های تقلبی را نخورید

هنگام اتصال به اینترنت در کافه، رستوران، هتل و یا فرودگاه، احتمالاً با هات‌اسپات‌های وای-فای رایگان زیادی مواجه خواهید شد. برخی از آن‌ها واقعی و برخی دیگر ساختگی هستند. قبل از اتصال به وای-فای، از اینکه کافه یا هتلی که در آن هستید واقعاً اینترنت رایگان ارائه می‌دهد، و نام دقیق آن مطمئن شوید. در غیر این صورت اگر به وای-فای مشکوک وصل شوید احتمالاً دارید تمامی ترافیک ورودی و خروجی دستگاه خود را دو دستی تقدیم یک فرد شیاد می‌کنید. اگر شک دارید و راهی برای اطمینان وجود ندارد، موقتاً از کانکشن دیتای گوشی خود استفاده کنید.
قانون شماره‌ی 9: در اماکن عمومی از اتصال رمزگذاری شده استفاده کنید

حتی اگر قصد دارید به یک وای-فای واقعی و معتبر رایگان متصل شوید، باز هم این احتمال وجود دارد که یک نفر دیگر که به همان وای-فای وصل است بتواند به اطلاعات شما دسترسی پیدا کند. قبل از هر چیز مطمئن شوید که هنگام ورود به حساب ایمیل، بانک و یا دیگر حساب‌های مهم خود حتماً از نسخه‌ی رمزگذاری شده‌ی وب‌سایت که با https آغاز می‌شود استفاده می‌کنید. در غیر این صورت هرچه که تایپ می‌کنید به صورت نوشته‌ی ساده (Plain Text) ارسال خواهد شد و شخص دیگری که در همان شبکه است می‌تواند به آن‌ها دسترسی پیدا کند.
قانون شماره‌ی 10: استفاده از تکنولوژی بسیار مفید است، اما نمی‌توان کاملاً به آن تکیه کرد

تکنولوژی به شما کمک می‌کند تا از نرم‌افزارهای مخرب در امان بمانید، رمزهای عبور قوی داشته و آن‌ها را مدیریت کنید، بر فعالیت‌های اینترنتی فرزندان خود نظارت داشته و یا با استفاده از نرم‌افزارهای مسدود کننده‌ی محتوای غیر اخلاقی، جلوی دسترسی کودکان به سایت‌های نامناسب را بگیرید. اما این پایان راه نیست و نمی‌توان با اطمینان کامل در تمام طول سال کنار نشست. حفظ امنیت در فضای مجازی نیازمند هوشیاری کامل و آموزش‌های مناسب و مستمر است.

قانون شماره‌ی 11: سیستم عامل و نرم‌افزارهای خود را به موقع آپدیت کنید

تنها یک چیز از آپدیت کردن مهم‌تر است: آپدیت کردن سریع و به موقع. اگر یک آسیب‌پذیری در سیستم عامل، مرورگر و یا دیگر نرم‌افزارهایی که از آن‌ها استفاده می‌کنید وجود داشته باشد، مطمئن باشید که هکرها از آن خبر دارند. هر قدر هم که سازندگان نرم‌افزار به سرعت مشکل امنیتی را برطرف کنند، در صورتی که آن را به موقع نصب نکنید فایده‌ای نخواهد داشت. پس به محض آماده شدن آپدیت‌های امنیتی آن‌ها را در اسرع وقت نصب کنید؛ مخصوصاً آن‌هایی که با برچسب «بسیار مهم» (Critical) مشخص شده‌اند. اگر امکانش وجود دارد، سیستم‌ عامل و نرم‌افزارهای خود را بر روی حالت آپدیت اتوماتیک تنظیم کنید. درست است که آپدیت کردن تعداد زیادی از نرم‌افزارها ممکن است حجم زیادی از اینترنت شما را مصرف کند، و یا در بعضی مواقع نسخه‌ی جدید نرم‌افزار باب میل شما نبوده و پایدار نباشد، اما اگر به امنیت خود اهمیت می‌دهید، باید با این مشکلات کنار بیایید.
قانون شماره‌ی 12: آنتی ویروس را جدی بگیرید

 

داشتن آنتی ویروس مانند گذشته تضمینی بر امنیت شما نیست، اما اکثر آنتی ویروس‌ها جلوی ۹۰ درصد تهدیداتی که ممکن است با آن‌ها روبرو شوید را می‌گیرند. اگر حاضر نیستید سالی ۳۰ تا ۶۰ دلار بابت بیت‌دیفندر یا مک‌آفی بپردازید، می‌توانید از آنتی ویروس‌های AVG و Avast به صورت رایگان استفاده کنید.

HSTSچیست؟

منتشرشده در مقالات هک و امنیت
یکشنبه, 23 آبان 1395 ساعت 20:30

HSTS یک پروتکل IETF است که وب سرورها از آن استفاده می کنند. سرورها با استفاده از این پروتکل برای مرورگر وب مشخص می کنند که فقط با استفاده از پروتکل های ایمنی چون HTTPS با سرور ارتباط برقرار کند و از پروتکل های ناامنی چون HTTP صرف نظر کنند. این ویژگی مانع حملات دانگرید و استراق سشن ها یا (Session Hijacking) نیز می شود.

اکنون، رمزگذاری HSTS فقط در وب سایت جست و جوی گوگل به آدرس google.com فعال است. گوگل درصدد است تا این شیوه را برای سایر دامنه هایش نیز در آینده ای نزدیک اجرا کند.

گوگل همواره در تلاش است تا شبکه ی امن تری برای کاربرانش فراهم کند. در همین راستا در به روزرسانی های جدید خود، امکان رمزگذاری (HSTS (HTTP Strict Transport Security را برای دامنه ی google.com فراهم کرده است تا از هدایت شدن کاربران به لینک های غیر ایمن که در پوشش پروتکل امن HTTPS قرار گرفته اند ممانعت به عمل آورد.

برخی مجرمین سایبری هستند که لینک های معمولی را به شکل لینک های ایمن از نوع HTTPS جلوه داده تا خیال کاربران را از کلیک کردن روی آن ها راحت کنند اما این در حالی است که در نهایت آن ها را به لینک های مخربی ریدایرکت می کنند؛ اما گوگل قصد دارد جلوی این کار را بگیرد.

گرچه پیاده سازی HSTS یک فرآیند نسبتا بنیادی است اما پیچیدگی های آن که گوگل را درگیر کرده کمی مانع اجرای این نوع رمزنگاری شده است اما خبر خوب این که مشکلات پیش آمده در این فرایند، حل شده اند و جای هیچ گونه نگرانی نیست.

هشدار امنیتی گوگل درباره پروتکل HTTP

منتشرشده در مقالات هک و امنیت
یکشنبه, 23 آبان 1395 ساعت 20:30

یکی از مسائل و مشکلات مهم دیگر هم آن است که معمولاً مردم زمانی که به یک وب سایت دسترسی پیدا می‌کنند دیگر در مورد ایمن بودن یا نبودن آن فکر نمی‌کنند. یعنی مشکل آن است که هشدار دهنده‌های امنیتی مرورگرها در این جور مواقع مشکل دارند که به کاربر وجود هیچ گونه خطری را هشدار نمی‌دهند. به همین دلیل این مسئله از اهمیت بالایی برخوردار است.

در نتیجه گوگل می‌خواهد وب سایت‌هایی که از HTTP استفاده می‌کنند را به پروتکل امن HTTPS سوق دهد. در پروتکل HTTPS از رمزگذاری SSL/TLS برای ارسال داده‌ها استفاده می‌شود. یعنی زمانی که یک فرد اطلاعات حساب بانکی و جزئیات کارت اعتباری خود را وارد می‌کند، این اطلاعات به صورت کاراکترهای رمزنگاری شده در می‌آیند و سپس در شبکه ارسال می‌شوند لذا اگر کسی هم اصطلاحا اقدام به Sniff کردن اطلاعات کند، چیزی از آن ها سر درنخواهد آورد. در همین راستا، ظاهراً تعداد زیاد و قابل توجهی از وب سایت‌ها در حال حاضر به استفاده از HTTPS روی آورده‌اند و این تعداد به‌ طور پیوسته در حال افزایش است. به گفته ی تیم امنیت گوگل:

از ابتدای ژانویه سال 2017 قرار است وب سایت‌هایی که با استفاده از پروتکل HTTP اطلاعات کاربرانشان را به صورت ناامن منتقل می‌کنند را نشانه گذاری کنیم که این کار بخشی از برنامه بلند مدت ما برای مشخص کردن تمام سایت‌های ناامن HTTP است. ما در حال حاضر به نقطه عطفی رسیده‌ایم که نیمی از صفحات دسکتاپ کروم در HTTPS لود می‌شوند.

در ماه‌های آینده گوگل به‌طور گسترده از برچسب هشدار «ناامن» برای تشویق و افزایش آگاهی از ایمن پایین صفحات وب HTTP در گوگل کروم استفاده خواهد کرد. در ابتدا هشدار HTTP در حالت ناشناس (Incognito) نمایش داده خواهد شد و سپس برای تمام وب سایت‌ها به نمایش در خواهد آمد.

HTTPS مزایای زیادی نسبت به اتصال HTTP دارد و به حفاظت از اطلاعات شخصی شما کمک می‌کند. البته این تنها گوگل نیست که استفاده از HTTPS را ترویج می‌کند. چند ماه قبل وب سایت میزبان وردپرس (WordPress) نیز تمام وب سایت‌هایش را به صورت رایگان به HTTPS تغییر داد. در صورت تمایل به کسب اطلاعات بیشتر در مورد پروتکل اچ تی تی پی اس، به آموزش پروتکل امن SSL: سیگنالی هر چند کوچک برای رنکینگ بهتر سایت در سکان آکادمی مراجعه نمایید.

گوگل اعلام کرده که این شرکت قصد دارد اقداماتی برای افزایش آگاهی در مورد خطرات استفاده از وب سایت‌هایی که از پروتکل HTTP برای انتقال داده‌ها استفاده می‌کنند (HyperText Transfer Protocol)، انجام دهد. به همین دلیل است که گوگل در صدد است تا یک برچسب Not Secured یا «نا امن» در کرم اضافه کند که به کاربران در مورد استفاده از HTTP هشدار می‌دهد.

هر روز دنیا شاهد به وجود آمدن روش‌های جدیدتری برای سرقت اطلاعات در اینترنت هستیم. پروتکل HTTP در حال حاضر توسط بسیاری از وب سایت‌ها مورد استفاده قرار می‌گیرد که محیطی بسیار خوب برای افراد سود جو فراهم می‌کند تا کار خود را به راحتی انجام دهند. به همین دلیل گوگل قصد دارد به هر نحوی که شده اتصال HTTP را از دور خارج کند.

علت این کار آن است که پروتکل HTTP به هیچ وجه امن محسوب نمی‌شود؛ به عبارت دیگر، در یک سایتی که اقدام به استفاده از پروتکل HTTP می کند، رمز عبور، جزئیات اطلاعات کارت‌های اعتباری و ... که کاربر تایپ می‌کند به صورت متن ساده در تمام اینترنت پخش می‌شود و یک فرد بامهارت متوسط هم قادر خواهد بود به تمام این اطلاعات دسترسی پیدا کرده و آن‌ها را مورد سوء استفاده قرار دهد!

البته موضوع فقط به کارت‌های اعتباری ختم نمی‌شود. در واقع سایتی که از HTTP استفاده می‌کند، پیش از آن که توسط کامپیوتر شما به نمایش در آید ممکن است توسط یک فرد اصلاح شده و تغییر پیدا کند.

10 قانون امنیتی تغییر ناپذیر

منتشرشده در مقالات هک و امنیت
یکشنبه, 23 آبان 1395 ساعت 20:30

۱. اگه یه غریبه می تونه شما رو متقاعد به اجرای برنامه های خودش روی کامپیوتر شما کنه، اون کامپیوتر دیگه مال شما نیست.

۲. اگه یه غریبه می تونه سیستم عامل کامپیوتر شما رو دچار تغییرات کنه، اون کامپیوتر دیگه مال شما نیست.

۳. اگه یه غریبه دسترسی فیزیکی نامحدود به کامپیوتر شما داره، اون کامپیوتر دیگه مال شما نیست.

۴. اگه شما اجازه بدید که یه غریبه، برنامه های مختلف روی هاست وب سایت شما آپلود کنه، اون وب سایت دیگه مال شما نیست.

۵. کلمات عبور ضعیف، امنیت قوی رو به خطر می اندازن.

۶. یه کامپیوتر فقط به اندازه کاربر اصلیش قابل اعتماده.

۷. داده های رمزگذاری شده، فقط به اندازه کلید رمزگشایی آن ها قابل اعتمادند.

۸. یه اسکنر ویروس تاریخ گذشته، فقط کمی بهتر از نداشتن اسکنر ویروسه.

۹. گمنامی مطلق عملی نیست، چه در زندگی واقعی و چه در وب.

۱۰. فناوری علاج همه ی دردها نیست.

در سال 2011، مایکروسافت تصمیم به، به روز رسانی این قوانین گرفت و ۱۰ قانون تغییر ناپذیر امنیت (نسخه 2.0) را ارائه کرد. دلیل این به روز رسانی، با توجه به این واقعیت که با گذشت زمان تکنولوژی تغییرات زیادی کرده است، آشکار بود. به گفته ی مایکروسافت، قضاوت صحیح کلیدی است برای محافظت از خود از خطراتی که در پیش رو وجود دارند. اگر شما این قوانین را در ذهن نگاه دارید، می توانید به طور قابل توجهی امنیت خود را بهبود دهید:

10 قانون تغییر ناپذیر امنیت (نسخه 2.0)
کلمات بولد نشان دهنده ی تغییراتی است که در نسخه 2.0 اعمال شده اند؛ این ۱۰ قانون جدید عبارتند از:

۱. اگه یه غریبه می تونه شما رو متقاعد به اجرای برنامه های خودش روی کامپیوتر شما کنه، اون کامپیوتر منحصرا کامپیوتر شما نیست.

۲. اگه یه غریبه می تونه سیستم عامل کامپیوتر شما رو دچار تغییرات کنه، اون کامپیوتر دیگه مال شما نیست.

۳. اگه یه غریبه دسترسی فیزیکی نامحدود به کامپیوتر شما داره، اون کامپیوتر دیگه مال شما نیست.

۴. اگه شما اجازه بدید که یه غریبه، محتوایی فعال، روی وب سایت شما اجرا کنه، اون وب سایت دیگه مال شما نیست.

۵. کلمات عبور ضعیف، امنیتی قوی رو به خطر می اندازن.

۶. یک کامپیوتر فقط به اندازه کاربر اصلیش قابل اعتماده.

۷. داده های رمزگذاری شده، فقط به اندازه کلید رمزگشا اون قابل اعتماده.

۸. یه اسکنر ضد بدافزار تاریخ گذشته، فقط کمی بهتر از نداشتن اسکنره.

۹.گمنامی مطلق عملی نیست، چه آنلاین، چه آفلاین.

۱۰. فن آوری علاج همه ی دردها نیست.

توجه داشته باشیم که با به اشتراک گذاری این قوانین با دوستان و خانواده خود که ممکن است اصول امنیت در فضای سایبری را ندانند می توانیم کمک بزرگی به حضور امن و بدون خطر ایشان در فضای سایبری کنیم؛ حال نوبت به نظرات شما می رسد. آیا به غیر از موارد فوق، نکته ی دیگری به ذهن شما می رسد که در صورت رعایت آن، امنیت مان در فضای آنلاین به مراتب بیشتر گردد؟ نظرات خود را با سایر کاربران سکان آکادمی به اشتراک بگذارید.

موارد امنيتي EFS

منتشرشده در مقالات هک و امنیت
جمعه, 21 آبان 1395 ساعت 20:30


  يكي از موارد مهم امنيتي كه باعث ارتقاي امنيت اطلاعاتEncrypt شده مي گردد مختص
  به عدم امكان مشاهده فايل هايEncrypt شده توسط هكرها و افراد نفوذگر مي باشد، همان
طور كه گفته شده فقط كاربري كه ديتا را رمزگذاري كرده است مي تواند ديتا خودش را
 مشاهده نماييد، در اين حالت ممكن است يك فرد نفوذگر بتواند پسورد يك كاربر راReset
نماييد و با استفاده از نام كاربري وي وارد ويندوز گردد.
گردد، مثلاً به وسيله Reset در چنين شرايطي كه پسورد يك كاربر بنا به هر دليلي
:Computer Manager و با استفاده از كنسول Administrator
نمودن آن Reset و يا يك هكر اقدام به شكستن پسورد كاربر و
Encrypt نماييد، در هر دو حالت فوق فايل هايي كه به صورت
شده بر روي كامپيوتر مربوط به كاربر مورد نظر هستند به هيچ وجه
امكان مشاهده را نخواهند داشت.
تنها را مشاهده مجدد فايل هاي رمزگذاري شده استفاده از همان پسورد قبلي كاربري مي باشد
كرده ايد، در اين شرايط بايد گفت اگر كاربر Reset Password وي را Account كه
نمودن پسورد خود شده است، و يا Reset پسورد خود را فراموش كرده است و مجبور به
كرده Reset سازمان به خاطر ترك نمودن كاربر از سازمان پسورد وي را Administrator
باشد.
شده مختص به كاربر Encrypt در تمامي موارد فوق مي بايست براي هميشه با فايل هاي
مورد نظر خداحافظي نماييد!!!
يك كاربر را از ليست Administrator ولي ممكن است شما بعنوان
شده توسط Encrypt پاك نماييد، قبل از آنكه از وجود فايل هاي Local Users & Group
آن را Account كاربر فوق اطلاع داشته باشيد، در اين حالت اگر باز هم كاربري را كه
كرده ايد به همان نام قبلي و با همان پسورد قبلي عيناً بسازيد باز هم مشكل عدم Delete
شده آن كاربر به قوت خود باقي خواهد Encrypt مشاهده و امكان دسترسي به فايل هاي
ماند.
بر مي گردد، بنابراين مي بايست User Account هر SID بودن Unique دليل اين امر به
شده ايي بر روي كامپيوتر داريد به تمامي اين شرايط و Encrypt در صورتي كه فايل هاي
موارد امنيتي مختص به آن توجه داشته باشيد، در زمان پاك كردن يك كاربر از ديتابيس
مواجه خواهيد گشت. User هر SID بودن unique نيز با پيغامي مبني بر (SAM)
شدن يك كاربر مشخصات مختص Delete در اين پيغام به شما گفته مي شود كه در صورت
آن نيز پاك مي شود و ديگر دسترسي به منابع كامپيوتر حتي در صورت ايجاد به SID به
همان نام قبلي ميسر نخواهد بود:
شده بر روي كامپيوتر مي بايست بسيار Encrypt بنابراين در صورت دارا بودن ديتا به صورت
نگردند، در اين شرايط Reset Password و يا Delete كاربران Account توجه نماييد كه
Windows نگه داري از سيستم عامل نيز بسيار مهم است چرا كه كاربران بر روي
تعريف شده اند و بايد مواظب خرابي اين ويندوز نيز باشيد!!!

(Cryptography) آشنايي با رمزنگاري

منتشرشده در مقالات هک و امنیت
جمعه, 21 آبان 1395 ساعت 20:30


يكي از مفاهيمي كه امروزه بسيار مورد توجه قرار گرفته است و لزوم استفاده از آن براي تمامي
كاربران و متخصصان ضروري شده است، بحث مختص به مديريت دسترسي افراد به ديتا
مي باشد كه با استفاده از مكانيسم هاي متعددي قابل پياده سازي مي باشد، اعمال مواردي
كاربران به سيستم، مديريت دسترسي كاربران به منابع كامپيوتر و ... login همچون مديريت
نمونه هايي از اين موارد هستند.
در درس هاي قبل آموزشي صورت فيزيكي مورد سرقت و دسترسي قرار گيرند، در اين حالت روش هايي كه در شبكه مورد پياده سازي قرار مي گيرد نمي تواند جلوي دسترسي غير مجاز به اطلاعات را بگيرد.
چرا كه با استفاده از اجازه هاي دسترسي مي توانيد مديريت دسترسي كاربران را به منابع
بر روي كامپيوتر قرار دارند مديريت نماييد، Local شده و يا منابعي كه به صورت Share
مثلاً اجازه دهيدكه يكسري از كاربران به بعضي از فايل ها دسترسي داشته باشند و يكسري از
اعمال را بر روي آنان انجام دهند.
بنابراين مي بايست از متد و روشي استفاده گردد كه يك لايه امنيتي بر روي خود ديتا ايجاد
گردد كه در واقع ديتا را به تنهايي و در همه حال امن و غير قابل دسترس نماييد، فرض نماييد
بر روي آن (Confidentiality) كه يك ديتا به سرقت رفته و در صورتي كه اصول محرمانگي
فايل اعمال نشده باشد در اين حالت ممكن است به راحتي در دسترس افراد غير مجاز قرار
گيرد، منظور از اين محرمانگي به عدم امكان دسترسي به محتواي ديتا بر مي گردد.
ولي مي توان ديتا و به طور كلي اطلاعات را با استفاده از مكانيسم ها و روش هاي مختلف
درآورد. (Confidential) ديگري به صورت محرمانه
در لغت به معناي رمز نگاري مي باشد، علم رمزنگاري در واقع بر همين Cryptography علم
اساس و براي جلوگيري از دسترسي غير مجاز به محتواي ديتا و بر پايه الگوريتم هاي پيچيده
داشته باشيم Cryptography رياضي ابداع شده است، اگر نگاهي گذرا به تاريخچه علم
متوجه مي شويم كه نيازهاي نظامي در ايجاد و پيشرفت اين علم بسيار موثر بوده است.
از يونان مي باشد و به معناي نوشتن به صورت پنهاني مي باشد. Cryptography ريشه لغت
بسيار كاربردي و حائز اهميت مي باشد: Cryptography استفاده از دو مفهوم در علم
Encryption
Decryption
رمزگذاري و رمزگشايي را مي توان دو مفهوم بسيار مهم و كاربردي در مباحث
دانست، هر نوع ديتا و اطلاعاتي در فرمت اوليه و ساده خود در اين علم Cryptography
ناميده مي شود، در واقع ديتا و اطلاعات در شرايط نرمال در حالت واضح، Plain اصطلاحاً
گفته مي شد. Plain Text آشكار، ساده قرار دارند بنابراين به اين فرمت اصطلاحاً
يكي از اصلي ترين رسالت هاي ايجاد علم رمزنگاري ابداع و به كارگيري روش هايي است كه
از اطلاعات را به فرمتي رمز آلود و سري تبديل نمود، Plain Text بر اساس آن بتوان فرمت
ابداع شده است. (كه در لغت به معناي Cipher براي همين اساس مفهوم ديگري تحت لغت
رمز و سري شده نمي باشد)
مي باشد به فرمت Plain Text براساس اين مفهوم مي توان اطلاعات و ديتا را كه به فرمت
تبديل نمود. Cipher
مي توان گفت: Cipher در تعريف
گفته مي شود، cipher به صورتي كه معناي آن پنهان باشد plain text به روشي براي تبديل
به بيان بسيار ساده قرار است اطلاعات از فرمت ساده و روشن كه به صورت نرمال داراي آن
مي باشند به فرمتي رمزي و پيچيده تغيير فرم دهند، به اين ترتيب در هر صورتي كه در
دسترس افراد غير مجاز قرار گيرند خاصيت محرمانگي آنان حفظ مي گردد، حتي اگر اطلاعات
به صورت فيزيكي هم در دسترس قرار گيرند (مثلاً هارد ديسك به سرقت رود)، در اين حالت
باز هم فرد سارق با اطلاعات رمزگذاري شده روبه رو خواهد گشت، و عملاً امكان استفاده از
ديتاي سرقت شده را نخواهد داشت.
در اين متد اطلاعات را كدگذاري كرده تا از دسترسي افراد به آن جلوگيري گردد.

امنیت سایت

منتشرشده در طراحی سایت
دوشنبه, 12 بهمن 1394 ساعت 20:30

امنیت طراحی سایت به مجموعه اقداماتی گفته می شود که با انجام آنها ضریب امنیت سایت به حداکثر رسیده و امکان نفوذ به آن به حداقل می رسد. توجه داشته باشید که امنیت سایت تابع موارد دیگری نیز می باشد که تمامی آنها نقش بسیار اساسی در تامین امنیت وبسایت دارند. امنیت سرور ، امنیت شبکه ، امنیت اینترنت ، امنیت سیستم عامل ، امنیت نرم افزار و بسیاری از موارد دیگر نقش کلیدی در تامین امنیت یک سایت دارند .

دنیای مجازی و اینترنت نقش بسزایی در زندگی روزمره ما دارد و تقریبا میتوان گفت همه چیز وابسته به اینترنت است. یکی از مواردی که کاربران از آن استفاده میکنند در دنیایی مجازی ، وب سایت ها هستند. امروزه با پیشرفت تکنولوژی و زیاد شدن ابزار های خرابکاری و هک و... ، سرقت نشدن و صحت اطلاعات شما امر مهمی است که وب سایت ها آن را به دوش می کشند. خب امنیت بصورت نسبی برقرار میشود و موارد زیادی را شامل میشود که در ادامه مطلب با یکدیگر به بررسی آنها می پردازیم با وب نگاران پارسه همراه باشید.

امنیت سایت به مولفه های زیادی وابسته است :

1 - امنیت cms و یا اسکریپت های مورد استفاده

2 - استفاده از فایروال های نرم افزاری

3 - کانفیگ کردن بسیار ساده در هاست مانند پرمیژن های فولدرهای حساس و منتقل کردن آنها به قبل از روت .

4 - استفاده از فایروال سخت افزاری لایه های 3 و 4 و همچنین لایه 7

5 - استفاده از فایروال های امنیتی نرم افزاری در سرور مخصوصا آنتی شل و آنتی ویروس های معتبر

تمامی نمونه کارهای وب نگاران پارسه مجهز به 5 بند فوق می باشند و همچنین طبق قرارداد می بایست امنیت سایت ها با توجه به استانداردهای موجود رعایت شود.

برای تامین امنیت سایت خود می توانید از مشاوره و تست نفوذ رایگان بهره مند شوید.

کانفیگ سرور ، نصب سیستم عامل و همچنین آموزش مدیریت سرور بصورت اختصاصی انجام می گردد.

آدرس : تهران ، میدان انقلاب ، کوچه رشتچی ، پلاک ۱۴ (ساختمان ایرانیان) ،طبقه دوم واحد ۸

 

خط ویژه: ۶۶۹۲۸۷۸۷-۰۲۱

تلفن : ۶۶۹۲۸۰۴۰-۰۲۱ | ۶۶۱۲۴۱۴۹-۰۲۱ | تلفن همراه : ۰۹۱۲۳۷۹۰۵۸۸

فکس دیجیتال: ۸۹۸۷۷۳۷۳-۰۲۱

آدرس ایمیل : wnegaran[at]gmail.com 

تمامی حقوق مادی و معنوی این سایت متعلق به شرکت وب نگاران پارسه می باشد