سلام
با تشکر از آقای راد برای قرار دادن مطالب مفید در سایت.
در تاپیک روش های محافظت و موارد رعایت اصول امنیتی در برنامه های ASP.NET گفته شده :
در بالاترین سطح برنامه های وب، امنیت دو مقوله داره:


امنیتی که توسط برنامه نویس به وجود میاد
امنیتی که توسط Host به وجود میاد.

در مقاله ای با عنوان مقاله ای جامع در مورد امنیت و الگوریتم های امنیت داده ها گفته شده:
امنیت جدا از بحث شبکه به دو سطح تقسیم می شود:


امنیت در سطح برنامه(Desktop Application یا Web Application)
امنیت در سطح داده های برنامه

در یک مقاله دیگه مطلب زیر را خواندم:
مفاهيم اصلي امنيت اطلاعاتامنيت داده ها به چهار مفهوم كلي قابل تقسيم است :


محرمانگي
تماميت
اعتبار و سنديت
دسترس پذيري

من کمی گیج شدم و از این دسته بندی ها سر در نمی یارم.
آیا این دسته بندی ها به هم ربط دارند یا مفاهیم جداگانه ای هستند؟
حملات Xss , dos , session hijacking جز کدام دسته هستند؟
مورد زیر مربوط به چه قسمتی از امنیت می شود؟
روش هایی که به منظور شناسائي کاربران و اعطاي مجوزهاي لازم در جهت دستيابي واستفاده از يک برنامه وب ، استفاده مي نمايد
Windows Authentication
Forms Authentication
Authentication Passport

با تشکر

آیا این دسته بندی ها به هم ربط دارند یا مفاهیم جداگانه ای هستند؟


همشون درست و زیر مجموعه ی هم هستند:

امنیت:
1) امنیت ایجاد شده توسط برنامه نویس

1-1) امنیت در سطح برنامه
1-1-1) جلوگیری از حملات XSS
1-1-2) جلوگیری از حملات DOS
1-1-3) جلوگیری از ....

1-2) امنیت در سطح داده های برنامه

1-1-2) محرمانگی
2-1-2) تمامیت
3-1-2) اعتبار و سندیت
4-1-2) دسترسی پذیری

2) امنیت ایجاد شده توسط Host



حملات Xss , dos , session hijacking جز کدام دسته هستند؟

این موارد جزء مقوله ی امنیت در سطح برنامه هستند.
امنیت در سطح برنامه و امنیت در سطح داده های برنامه، دو مقوله ی نزدیک به هم هستند. مثلاً اگر امنیت در سطح برنامه وجود نداشته باشه و برنامه ی من به SQL Injection آسیب پذیر باشه، "محرمانگی" داده های من از بین میره.

اصولاً اکثر نقاط ضعف برنامه ها از طریق bad form بودن داده های ورودی اونهاست.


روش هایی که به منظور شناسائي کاربران و اعطاي مجوزهاي لازم در جهت دستيابي واستفاده از يک برنامه وب ، استفاده مي نمايد
Windows Authentication
Forms Authentication
Authentication Passport

امنیت در سطح برنامه.

موفق باشید.

سلام
ممنون از پاسخ های کامل و مفیدتون.
یه سوال دیگه هم داشتم، در چند تا مقاله خوندم که وقتی در مورد امنیت برنامه های وب صحبت میشه از امنیت شبکه هم گفته شده، این امنیت شبکه مربوط به امنیت ایجاد شده توسط host هست؟

با تشکر

در چند تا مقاله خوندم که وقتی در مورد امنیت برنامه های وب صحبت میشه از امنیت شبکه هم گفته شده، این امنیت شبکه مربوط به امنیت ایجاد شده توسط host هست؟

البته من از مقاله هایی که شما خوندی مطلع نیستم و برای اظهار نظر صحیح بهتره که اون مقاله ها رو بخونم؛ اما امنیت شبکه، مجموعه ای از تعدادی عوامل مختلفه؛ باید دید منظور نگارنده در کدام حوزه بوده.

موفق باشید.

همشون درست و زیر مجموعه ی هم هستند:

امنیت:
1) امنیت ایجاد شده توسط برنامه نویس

1-1) امنیت در سطح برنامه
1-1-1) جلوگیری از حملات XSS
1-1-2) جلوگیری از حملات DOS
1-1-3) جلوگیری از ....

1-2) امنیت در سطح داده های برنامه

1-1-2) محرمانگی
2-1-2) تمامیت
3-1-2) اعتبار و سندیت
4-1-2) دسترسی پذیری

2) امنیت ایجاد شده توسط Host


این موارد جزء مقوله ی امنیت در سطح برنامه هستند.
امنیت در سطح برنامه و امنیت در سطح داده های برنامه، دو مقوله ی نزدیک به هم هستند. مثلاً اگر امنیت در سطح برنامه وجود نداشته باشه و برنامه ی من به SQL Injection آسیب پذیر باشه، "محرمانگی" داده های من از بین میره.

اصولاً اکثر نقاط ضعف برنامه ها از طریق bad form بودن داده های ورودی اونهاست.

امنیت در سطح برنامه.

موفق باشید.

سلام
اگر بخواهیم اینها رو عملا در برنامه هامون پیاده کنیم ،چی؟؟؟
اگر دوستان مقاله یا راهنمایی در این زمینه دارند،استفاده می کنیم.