View Full Version : سوال: رابطه امنیت اطلاعات با html
mehrdad85
چهارشنبه 08 تیر 1390, 09:27 صبح
سلام
دوستان خوب برنامه نویس یه سوال داشتم
نمیدونم سوالمنو داخل همین تالار باید مطرح کنم یا نه میدونم که بی ارتباط با این تالار هم نیست
به هر حال اگه اشتباه مطرح میکنم لطف کنین یادآوری کین که انتقالش بدم
آیا این درسته که کد html بر خلاف کلی عیب و ایرادی که داره امنیت بالایی داره؟
یعنی اگه یه سایت با html نوشته بشه نسبت به web application های دیگه امنیت بالاتری داره؟
دوستان نکات منفی html را در نظر نگیرید میدونم که کلی قابلیت وجود داره که با html یا قابل پیاده سازی نیست یا خیلی سخته اینا هیچ
فقط میخام بدونم کد و کد نویسی با html از نظر امنیتی چطوره؟
و اگه احیانا مشکلات امنیتی خاصی داره اونا چیا هستن
مرسی
jaykob
چهارشنبه 08 تیر 1390, 12:35 عصر
سلام
html یک زبان سمت سرویس گیرنده است یعنی اینکه سمت کاربر ترجمه می شه . خوب در نهایت اینه که شما هیچ اطلاعاتی رو داخل سرور ندارید و کدی روی سرور اجرا نمی شه فقط درخواست می ره و اطلاعات رو می گیره و می آره شما ارتباط با دیتابیس و ... که مرجع حملات هستند رو ندارید . در کل html راه نفوذی نداره یا مشکل امنیتی اما بخواید ریز تر نگاه کنید بحث xss هست که کد های جاوا اسکریپت رو شامل می شه . اما از نظر اپلیکیشن مشکلی نیست فقط بحث سرور هست که امکان نفوذ از سمت سرور با پوت ها و سرویس ها هست که مباحث خاص خودش رو داره
موفق باشید
mehrdad85
دوشنبه 13 تیر 1390, 10:18 صبح
سلام
بابت پاسخ و راهنماییتون ممنونم
یه سوال دیگه داشتم و اون اینکه برای ایجاد امنیت دربرنامه نویسی Asp چه مسائلی و راهکارهایی پیشنهاد میشه؟
از مدیران محترم تالار عذرخواهی میکنم اگه تاپیکم جای بدی مطرح شده و دلیل اینکه اینجا مطرح کردم ارتباطش با امنیت بود که در تاپیک قبلی مطرح شده بود .
بازم مرسی
jaykob
دوشنبه 13 تیر 1390, 11:44 صبح
سلام
سوالتون خیلی کلی هست و هر موردی کلی مباحث داره که باید به شرح بررسی بشه . اما من چند موردی که حضور ذهن دارم رو خدمتتون می گم . اولین مورد رعایت موارد web.config هست . دیگر کد کردن connection string در همین Web.config . مورد دیگه هیچ زمان از یوزر sa برای ارتباط با دیتابیس استفاده نکنید که منجر به دسترسی از کل سرور می شه اگر یکی از کاربران مورد نفوذ قرار بگیره . در رابطه با حملات sql injection شما چندین مورد رو باید رعایت کنید اولین مورد ' را فیلتر کنید اما این مسئله با کد کردن می شه دور زد مرحله بعد از زیر روال های sql server استفاده کنید و هیچ وقت دستور sql را داخل کد صفحه وارد نکنید . مرحله بعدی شما زمانی با کوئری استرینگ مقداری که می گیرید حتما چک کنید که عدد باشد . حتما در برنامه خود از بلاک های try catch استفاده کنید . زمانی از آپلودر ها استفاده می کنید حتما به صورت سیستمی پسوند های مجاز رو چک کنید . برای جلوگیری از حملات xss حتما از html encode استفاده کنید و مقادر را بدون تایین اعتبار ارسال نکنید . زمانی از validator ها استفاده می کنید سعی کنید با کد این کار رو انجام بدید چون کنترل ها رو می شه دور زد . همانطور که گفتم مبحث خیلی زیاده اما اگر شما مطلبی رو در نظر می گیرید بیشتر در موردش صحبت کنیم .
موفق باشید
Javad.Kashi
دوشنبه 13 تیر 1390, 13:14 عصر
سلام
آیا این درسته که کد html بر خلاف کلی عیب و ایرادی که داره امنیت بالایی داره؟
سلام ممکنه بگید منظورتون از کلی عیب و ایراد چیه؟
یا علی
mehrdad85
دوشنبه 13 تیر 1390, 14:41 عصر
سلام
به نظرتون طراحی صفحات وب با html محض ایراد نداره؟
پس نقش زبون های برنامه نویسی و قابلیت های دیگه چی میشه؟
مرسی
Javad.Kashi
دوشنبه 13 تیر 1390, 19:11 عصر
سلام
هر زبانی از جهت نیاز و عملکرد آن بررسی می شود و html یک Markup Language می باشد نه Programming Language و به نظر من مقایسه این زبان ها با هم از ریشه صحیح نیست.
مثل اینکه یه نفر می گه جاوا اسکریپ کلی عیب و ایراد دارده.چرا؟؟؟ چون مثل فوتوشاپ نمی تونه .......
یا علی
mehrdad85
سه شنبه 14 تیر 1390, 14:34 عصر
سلام
دوست عزیز بابت این همه راهنمایی ممنون
مرسی
فقط چند تا سوال واسم پیش اومده که یک دنیا ممنونت میشم یا یک مرجع بهم معرفی کنی یا اگه امکانش هست خودت یکم راهنمایی کنی
دیگر کد کردن connection string در همین Web.config .
اول اینکه برای کد کردن connection string ها چطور باید عمل کنم؟
آیا نمونه یا sample ای داری که بهم نشون بدی؟
مورد دیگه هیچ زمان از یوزر sa برای ارتباط با دیتابیس استفاده نکنید که منجر به دسترسی از کل سرور می شه اگر یکی از کاربران مورد نفوذ قرار بگیره .
برای جلوگیری از حملات xss حتما از html encode استفاده کنید و مقادر را بدون تایین اعتبار ارسال نکنید .
دوم اینکه html encode چی هستش و چطور و کجا ازش استفاده میشه؟
زمانی از validator ها استفاده می کنید سعی کنید با کد این کار رو انجام بدید چون کنترل ها رو می شه دور زد .
سوم اینکه میشه یه نمونه واسم بذارید که validator ها را با کد شبیه سازی کرده باشه؟
مرسی
mehrdad85
سه شنبه 14 تیر 1390, 14:36 عصر
مثل اینکه یه نفر می گه جاوا اسکریپ کلی عیب و ایراد دارده.چرا؟؟؟ چون مثل فوتوشاپ نمی تونه .......
سلام
دوست عزیزمی
با این مثالت دیگه کارو تموم کردی
مرسی
jaykob
چهارشنبه 15 تیر 1390, 18:14 عصر
اول اینکه برای کد کردن connection string ها چطور باید عمل کنم؟
آیا نمونه یا sample ای داری که بهم نشون بدی؟
می تونید از لینک زیر کمک بگیرید برای کد گذاری و خارج کردن از کد :
http://msdn.microsoft.com/en-us/library/zhhddkxy.aspx
دوم اینکه html encode چی هستش و چطور و کجا ازش استفاده میشه؟
Response.Write(HttpUtility.UrlEncode(urlString));
سوم اینکه میشه یه نمونه واسم بذارید که validator ها را با کد شبیه سازی کرده باشه؟
در این رابطه هم مثل کد زیر یک بازه و قوانین مشخصی برای ورودی داشته باشید :
string var =[a-zA-Z]{6,10}
mehrdad85
شنبه 18 تیر 1390, 07:35 صبح
Response.Write(HttpUtility.UrlEncode(urlString));
در این رابطه هم مثل کد زیر یک بازه و قوانین مشخصی برای ورودی داشته باشید :
string var =[a-zA-Z]{6,10}
سلام
دوست عزیز شرمنده ها اما من از این کد هایی که گذاشته بودید هیچی متوجه نشدم
میشه یکم بیشتر توضیح بدید یا اینکه منبعی معرفی کنین؟
مرسی
vBulletin® v4.2.5, Copyright ©2000-1403, Jelsoft Enterprises Ltd.