PDA

View Full Version : امنیت سرویس های وبلاگ دهی



ravand
دوشنبه 12 آبان 1393, 10:15 صبح
سلام
اگه دیده باشید این سرویس های وبلاگ دهی مثل بلاگفا و امثال اون رو اگه بخوای با php بنویسی.باید برای قسمت قالبش از موتور قالب استفاده کنی. اگه به قسمت ویرایش قالب در سرویس وبلاگی بلاگفا برید اونجایی که به کاربر این امکان رو میده که کدهای قالب مورد نظرش رو قرار بده. همانطوری که می دونید کاربر حتی این اجازه رو داره که کدهای جاوا اسکریپت رو هم وارد کنه. من برام سوال شده که چطوری امنیت این بخش رو برقرار میکنند؟ باید از چه توابع و دستوراتی استفاده کنم که هم امنیت برقرار بشه و هم کسی بتونه کدهای حتی جاوا اسکریپت رو وارد کنه و کسی نتونه هک کنه.
متشکرم.

omidabedi
دوشنبه 12 آبان 1393, 13:29 عصر
سلام
اگه دیده باشید این سرویس های وبلاگ دهی مثل بلاگفا و امثال اون رو اگه بخوای با php بنویسی.باید برای قسمت قالبش از موتور قالب استفاده کنی. اگه به قسمت ویرایش قالب در سرویس وبلاگی بلاگفا برید اونجایی که به کاربر این امکان رو میده که کدهای قالب مورد نظرش رو قرار بده. همانطوری که می دونید کاربر حتی این اجازه رو داره که کدهای جاوا اسکریپت رو هم وارد کنه. من برام سوال شده که چطوری امنیت این بخش رو برقرار میکنند؟ باید از چه توابع و دستوراتی استفاده کنم که هم امنیت برقرار بشه و هم کسی بتونه کدهای حتی جاوا اسکریپت رو وارد کنه و کسی نتونه هک کنه.
متشکرم.

خب جاوا اسکریپت که روی سرور اجرا نمیشه

امنیت از طریق موتور قالب تامین میشه و کانفیگ سرور اما دقیقا چجوریش رو نمیدونم بخش سرورش رو.

eshpilen
دوشنبه 12 آبان 1393, 20:01 عصر
اون کدهای جاوااسکریپت در سمت کلاینت و فقط روی دامین وبلاگ خود طرف میتونن کار کنن و بنابراین خطری واسه سرور یا وبلاگهای دیگر ندارن.
مگر اینکه طرف بخواد اطلاعات وبلاگ خودش رو هک کنه، که این بی معنیه! البته مسلما هرکسی که سایت داره میتونه از یکسری حفره ها در مرورگر و نمیدونم فلش و جاوا و حتی PDF viewer کلاینت سوء استفاده و خود بازدیدکنندگان رو هک کنه، و این تهدید کلی روی اینترنت هست و محدود به سرویس وبلاگ نمیشه و همیشه امکانش هست و اگر بخوایم جلوش رو 100% بگیریم اصولا کسی نباید از سایتی بازدید کنه!!

eshpilen
دوشنبه 12 آبان 1393, 20:06 عصر
البته بالبداهه این نکته بنظرم میرسه که سرویس وبلاگ شما باید حرفه ای باشه و مثلا کوکی هایی که برای وبلاگ افراد مختلف ست میکنه با پارامترهای صحیح باشن که فقط محدود به همون وبلاگ بشن. یعنی مثلا آدرس وبلاگی به این شکل است: ali.example.com یا به شکل example.com/ali خب کوکی های احراز هویت که توسط سرویس وبلاگ شما ست میشن مثلا یکی که برای javad.example.com است یا example.com/javad خب پارامترهای این کوکی موقع ست شدن توسط سرور باید طوری باشن که توسط ali.example.com یا example.com/ali قابل دسترسی نباشن.
برای جزییات و اطمینان بیشتر باید به رفرنس کوکی و پارامترهایی که داره مراجعه کنیم و بیشتر تحقیق کنیم.

fateme365
شنبه 17 آبان 1393, 10:15 صبح
همانطور که دوستمان فرمودند، کدهای جاوا اسکریپت و اچ تی ام ال، توسط مرورگر پارس و اجراء میشود بنابراین از نظر امنیتی هیچ مشکلی روی هاست ایجاد نمیکند، هیچکس هم نمیاد وبلاگ خودش رو deface کنه.
لازم به ذکر هست که معمولاٌ در سرویس های وبلاگدهی، کوکی و سِشِن ها به همان ساب دامین محدود میشود پس نمیتوان با جاوا اسکریپت به ساب دامین دیگر کوکی فرستاد.

beh3000
سه شنبه 30 دی 1393, 08:56 صبح
ببخشید این تاپیک رو میارم بالا مال 2.5 ماه پیشه

اینکه دوستان میگن در سرویس های وبلاگ دهی کوکی ها در همون ساب دومین اجرا میشن اصلا درست نیست ... مثلا میهن بلاگ یا بلاگ فا رو بررسی کنید , لیست کوکی ها رو که نگاه کنید در قسمت path نوشته "mihanblog.com." یعنی در همه ساب دومین ها اجرا میشه یکی دوتا کوکی هست که در همون ساب دومین اجرا میشه که اونم برای تبلیغات هست

این تاپیک برای خیلی از دوستان از جمله خود من مهمه که ادامه پیدا کنه

abolfazl-z
سه شنبه 30 دی 1393, 23:49 عصر
اینکه دوستان میگن در سرویس های وبلاگ دهی کوکی ها در همون ساب دومین اجرا میشن اصلا درست نیست

قاعدتا همین هست !

نگاه کنید کاربر که نمیدونه کوکی چیه !

میاد میره توی یک سایتی از یک قالبی خوشش میاد بعد کپی می کنه داخل وبلاگ اش .

خوب پس باید حتما روی دامنه اصلی کوکی ایجاد بشه.