امنیت در سرویس [بایگانی]

ali-baba

سه شنبه 12 خرداد 1394, 15:55 عصر

آقایان سلام و خسته نباشید...
می خواستم بپرسم...
این نحوه پیاده سازی امنیت در وب سرویس تا چه حد قابل اطمینان هستش؟؟؟
یعنی امکان هک در اون چقدر وجود داره...
آیا یوزر و پسورد به صورت clear text فرستاده میشه یا اینکه رمزنگاری میشه؟؟؟
کلا یوزر نیم و پسورد رو تویه هدر بذاریم بهتره یا به این صورتی که تویه این لینک وجود داره؟؟؟

و اینکه کلا برای اینکه بتونیم امنیت رو تا حد ممکن بالا ببریم چه کارهایی میشه کرد؟
باتشکر

محمد فدوی

سه شنبه 12 خرداد 1394, 20:15 عصر

سلام.
مهمترین و درست‌ترین جواب اینه که امنیت مطلق بی‌معنیه. امنیت یه امر نسبیه و در مقابل ارزش اطلاعات تعریف می‌شه، پیاده‌سازیتون رو تاحدی امن نگه‌دارید که برای کسی ارزش نفوذ رو نداشته باشه. وگرنه امن‌ترین سیستم‌ها هم قابل نفوذن.

در مورد امنیت بهتره یه منبع خوب رو مطالعه کنید. اما در مورد چیزایی که پرسیدید یه توضیح مختصر می‌دم.
کلیدواژه‌ها حتما باید بصورت یک‌طرفه رمزنگاری و بعد ارسال بشن. حتی خود سرور هم نباید رمزعبور کسی رو بصورت متن‌ساده ذخیره داشته باشه، این کار نه‌تنها از نظرفنی خیلی مبتدیانه‌ست، بلکه به نوعی تجاوز به حریم شخصی افراد هست.
سؤال دومتون واضح نیست اما اطلاعات هویت افراد باید حتی‌المقدور کمتر جایی ثبت بشه و از اون مهمتر تا حد امکان در سمت کلاینت (Client-Side) غیرقابل‌مشاهده باشه. درصورتی که مجبورید بخشی از اطلاعات رو در سمت کلاینت ذخیره کنید (مثل کوکی‌ها که باید تا حدامکان ازشون برای ذخیره‌ی اطلاعات خطیر اجتناب کرد) حتما کلیدواژه‌ها رو رمزنگاری کنید.
اگر ترابری اطلاعات بین کلاینت و سرور طولانی مدت و پرتکراره ایده اینه که مدام اطلاعات هویتی کلاینت ارسال نشه. به‌جاش از یه Authentication Key موقت استفاده می‌شه که برای مدت معلومی برای هویت‌سنجی کلاینت استفاده می‌شه.

در مورد سؤال آخرتون بازم به جواب اولم تاکید می‌کنم! صرف‌نظر از اینکه ما باید سعی کنیم از تکنیک‌هایی استفاده کنیم که امنیت رو به حداکثر برسونیم، باید تلاش کنیم تا ارزش اطلاعات در دسترس نفوذگر تاحد امکان کمتر و بی‌ارزش‌تر باشه.

موفق باشید.