امنیت سرویس های وبلاگ دهی

[ravand]

سلام
اگه دیده باشید این سرویس های وبلاگ دهی مثل بلاگفا و امثال اون رو اگه بخوای با php بنویسی.باید برای قسمت قالبش از موتور قالب استفاده کنی. اگه به قسمت ویرایش قالب در سرویس وبلاگی بلاگفا برید اونجایی که به کاربر این امکان رو میده که کدهای قالب مورد نظرش رو قرار بده. همانطوری که می دونید کاربر حتی این اجازه رو داره که کدهای جاوا اسکریپت رو هم وارد کنه. من برام سوال شده که چطوری امنیت این بخش رو برقرار میکنند؟ باید از چه توابع و دستوراتی استفاده کنم که هم امنیت برقرار بشه و هم کسی بتونه کدهای حتی جاوا اسکریپت رو وارد کنه و کسی نتونه هک کنه.
متشکرم.

[omidabedi]

سلام
اگه دیده باشید این سرویس های وبلاگ دهی مثل بلاگفا و امثال اون رو اگه بخوای با php بنویسی.باید برای قسمت قالبش از موتور قالب استفاده کنی. اگه به قسمت ویرایش قالب در سرویس وبلاگی بلاگفا برید اونجایی که به کاربر این امکان رو میده که کدهای قالب مورد نظرش رو قرار بده. همانطوری که می دونید کاربر حتی این اجازه رو داره که کدهای جاوا اسکریپت رو هم وارد کنه. من برام سوال شده که چطوری امنیت این بخش رو برقرار میکنند؟ باید از چه توابع و دستوراتی استفاده کنم که هم امنیت برقرار بشه و هم کسی بتونه کدهای حتی جاوا اسکریپت رو وارد کنه و کسی نتونه هک کنه.
متشکرم.

خب جاوا اسکریپت که روی سرور اجرا نمیشه

امنیت از طریق موتور قالب تامین میشه و کانفیگ سرور اما دقیقا چجوریش رو نمیدونم بخش سرورش رو.

[eshpilen]

اون کدهای جاوااسکریپت در سمت کلاینت و فقط روی دامین وبلاگ خود طرف میتونن کار کنن و بنابراین خطری واسه سرور یا وبلاگهای دیگر ندارن.
مگر اینکه طرف بخواد اطلاعات وبلاگ خودش رو هک کنه، که این بی معنیه! البته مسلما هرکسی که سایت داره میتونه از یکسری حفره ها در مرورگر و نمیدونم فلش و جاوا و حتی PDF viewer کلاینت سوء استفاده و خود بازدیدکنندگان رو هک کنه، و این تهدید کلی روی اینترنت هست و محدود به سرویس وبلاگ نمیشه و همیشه امکانش هست و اگر بخوایم جلوش رو 100% بگیریم اصولا کسی نباید از سایتی بازدید کنه!!

[eshpilen]

البته بالبداهه این نکته بنظرم میرسه که سرویس وبلاگ شما باید حرفه ای باشه و مثلا کوکی هایی که برای وبلاگ افراد مختلف ست میکنه با پارامترهای صحیح باشن که فقط محدود به همون وبلاگ بشن. یعنی مثلا آدرس وبلاگی به این شکل است: ali.example.com یا به شکل example.com/ali خب کوکی های احراز هویت که توسط سرویس وبلاگ شما ست میشن مثلا یکی که برای javad.example.com است یا example.com/javad خب پارامترهای این کوکی موقع ست شدن توسط سرور باید طوری باشن که توسط ali.example.com یا example.com/ali قابل دسترسی نباشن.
برای جزییات و اطمینان بیشتر باید به رفرنس کوکی و پارامترهایی که داره مراجعه کنیم و بیشتر تحقیق کنیم.

[fateme365]

همانطور که دوستمان فرمودند، کدهای جاوا اسکریپت و اچ تی ام ال، توسط مرورگر پارس و اجراء میشود بنابراین از نظر امنیتی هیچ مشکلی روی هاست ایجاد نمیکند، هیچکس هم نمیاد وبلاگ خودش رو deface کنه.
لازم به ذکر هست که معمولاٌ در سرویس های وبلاگدهی، کوکی و سِشِن ها به همان ساب دامین محدود میشود پس نمیتوان با جاوا اسکریپت به ساب دامین دیگر کوکی فرستاد.

[beh3000]

ببخشید این تاپیک رو میارم بالا مال 2.5 ماه پیشه

اینکه دوستان میگن در سرویس های وبلاگ دهی کوکی ها در همون ساب دومین اجرا میشن اصلا درست نیست ... مثلا میهن بلاگ یا بلاگ فا رو بررسی کنید , لیست کوکی ها رو که نگاه کنید در قسمت path نوشته "mihanblog.com." یعنی در همه ساب دومین ها اجرا میشه یکی دوتا کوکی هست که در همون ساب دومین اجرا میشه که اونم برای تبلیغات هست

این تاپیک برای خیلی از دوستان از جمله خود من مهمه که ادامه پیدا کنه

[abolfazl-z]

اینکه دوستان میگن در سرویس های وبلاگ دهی کوکی ها در همون ساب دومین اجرا میشن اصلا درست نیست

قاعدتا همین هست !

نگاه کنید کاربر که نمیدونه کوکی چیه !

میاد میره توی یک سایتی از یک قالبی خوشش میاد بعد کپی می کنه داخل وبلاگ اش .

خوب پس باید حتما روی دامنه اصلی کوکی ایجاد بشه.