امنیت وب سرویس

وب سرویس چیست؟

 

کسانی که با صنعت IT آشنایی دارند حتما ً نام وب سرویس را شنیده اند. برای مثال، بیش از ۶۶ درصد کسانی که در نظر سنجی مجله InfoWorld شرکت کرده بودند بر این توافق داشتند که وب سرویس ها مدل تجاری بعدی اینترنت خواهند بود. به علاوه گروه گارتنر پیش بینی کرده است که وب سرویس ها کارآیی پروژه های IT را تا ۳۰ در صد بالا می برد. اما وب سرویس چیست و چگونه شکل تجارت را در اینترنت تغییر خواهد داد؟

وب سرویس ها نرم افزارهایی هستند که از XML برای انتقال اطلاعات بین نرم افزارهای دیگر از طریق پروتکل های معمول اینترنتی استفاده می کنند. به شکل ساده یک وب سرویس از طریق وب اعمالی را انجام می دهد )توابع یا سابروتین ها) و نتایج را به برنامه دیگری می فرستد. این یعنی برنامه ای که در یک کامپیوتر در حال اجراست اطلاعاتی را به کامپیوتردیگری می فرستد و از آن درخواست جواب می کند. برنامه ای که در آن کامپیوتر دوم است کارهای خواسته شده را انجام می دهد و نتیجه را بر روی ساختارهای اینترنتی به برنامه اول برمی گرداند.
برای ساده کردن پردازش های تجاری، برنامه های غیرمتمرکز (Enterprise) باید با یکدیگر ارتباط داشته باشند و از داده های اشتراکی یکدیگر استفاده کنند. قبلا ً این کار بوسیله ابداع استانداردهای خصوصی و فرمت داده ها به شکل مورد نیاز هر برنامه انجام می شد. اما دنیای وب و XML تکنولوژی آزاد برای انتقال دیتا بین سیستم ها را افزایش داد. وب سرویس ها می توانند از پروتکل های زیادی در اینترنت استفاده کنند اما بیشتر از HTTP که مهم ترین آنهاست استفاده می شود. وب سرویس هر نوع کاری می تواند انجام دهد. برای مثال در یک برنامه می تواند آخرین عنوان های اخبار را از وب سرویس Associated Press بگیرد یا یک برنامه مالی می تواند آخرین اخبار و اطلاعات بورس را از طریق وب سرویس بگیرد. کاری که وب سرویس انجام می دهد می تواند به سادگی ضرب دو عدد یا به پیچیدگی انجام کلیه امور مشترکین یک شرکت باشد.

خواص وب سرویس

وب سرویس دارای خواصی است که آن را از دیگر تکنولوژی ها و مدل های کامپیوتری جدا می کند Paul. Flessner، نایب رییس مایکروسافت در dot NET Enterprise Server چندین مشخصه برای وب سرویس در یکی از نوشته هایش ذکر کرده است. اول اینکه وب سرویس ها قابل برنامه ریزی هستند. یک وب سرویس کاری که می کند را در خود مخفی نگه می دارد. وقتی برنامه ای به آن اطلاعات داد وب سرویس آن را پردازش می کند و در جواب آن اطلاعاتی را به برنامه اصلی بر می گرداند. دوم، وب سرویس ها بر پایه XML بنا نهاده شده اند و XML های مبتنی بر SOAP یا Simple Object Access Protocol تکنولوژی هایی هستند که به وب سرویس ها این امکان را می دهد که با دیگر برنامه ها ارتباط داشته باشد حتی اگر آن برنامه ها در زبانهای مختلف نوشته شده و بر روی سیستم عامل های مختلفی در حال اجرا باشند.
همچین وب سرویس ها خود-توصیف هستند. به این معنی که کاری را که انجام می دهند و نحوه استفاده از خودشان را توضیح می دهند. این توضیحات به طور کلی در WSDL یا Web Services Description Language نوشته می شود WSDL. یک استاندارد بر مبنای XML است. به علاوه وب سرویس ها قابل شناسایی هستند به این معنی که برنامه نویس می تواند به دنبال وب سرویس مورد علاقه در دایرکتوری هایی مثل UDDI یا Universal Description , Discovery and Integration جستجو کند UDDI. یکی دیگر از استاندارد های وب سرویس است.

نکات تکنولوژی وب سرویس

همانطور که در ابتدا توضیح داده شد یکی از دلایل اینکه وب سرویس از دیگر تکنولوژی های موجود مجزا شده است استفاده از XML و بعضی استاندارد های تکنیکی دیگر مانند SOAP، WSDL و UDDI است. این تکنولوژی ها زمینه ارتباط بین برنامه ها را ایجاد می کنند به شکلی که مستقل از زبان برنامه نویسی، سیستم عامل و سخت افزار است SOAP. یک مکانیزم ارتباطی را بین نرم افزار و وب سرویس ایجاد می کند WSDL. یک روش یکتا برای توصیف وب سرویس ایجاد می کند و UDDI یک دایرکتوری قابل جستجو برای وب سرویس می سازد. وقتی اینها با هم در یک جا جمع می شوند این تکنولوژی ها به برنامه نویس اجازه می دهد که برنامه های خود را به عنوان سرویس آماده کرده و بر روی اینترنت قرار دهد.

 XML یا eXtensible Markup Language

 XMLیک تکنولوژی است که به شکل گسترده از آن پشتیبانی می شود، همچنین این تکنولوژی Open است به این معنی که متعلق به شرکت خاصی نیست. اولین بار در کنسرسیوم WWW یا W3C در سال ۱۹۹۶ برای ساده کردن انتقال دیتا ایجاد شده است. با گسترده شدن استفاده از وب در دهه ۹۰ کم کم محدودیت های HTML مشخص شد. ضعف HTML در توسعه پذیری (قابلیت اضافه و کم کردن خواص) و ضعف آن در توصیف دیتاهایی که درون خود نگهداری می کند برنامه نویسان را از آن ناامید کرد. همچنین مبهم بودن تعاریف آن باعث شد از توسعه یافتن باز بماند. در پاسخ به این اشکالات W3C یک سری امکانات را در جهت توسعه HTML به آن افزود که امکان تغییر ساختار متنهای HTML مهم ترین آن است. این امکان را CSS یا Cascade Style Sheet می نامند.
این توسعه تنها یک راه موقتی بود. باید یک روش استاندارد شده، توسعه پذیر و دارای ساختار قوی ایجاد می شد. در نتیجه W3C استاندارد XML را ساخت. XML دارای قدرت و توسعه پذیری SGML یا Standard   Generalized  Markup Language  و سادگی که در ارتباط در وب به آن نیاز دارد است.

استقلال اطلاعات یا جدا بودن محتوا از ظاهر یک مشخصه برای XML به حساب می آید. متنها XML فقط یک دیتا را توصیف می کنند و برنامه ای که XML برای آن قابل درک است بدون توجه به زبان و سیستم عامل قادر است به اطلاعات درون فایل XML هر گونه شکلی که مایل است بدهد.  XML حاوی دیتا هستند بدون شکل خاص، بنابراین برنامه ای که از آن می خواهد استفاده کند باید بداند که چگونه می خواهد آن اطلاعات را نمایش دهد. بنابراین نحوه نمایش یک فایل XML در یک PC با PDA و تلفن همراه می تواند متفاوت باشد.

وقتی یک برنامه با متن XML مواجه می شود باید مطمئن باشد که آن متن حاوی دیتای مورد نظر خود است. این اطمینان توسط برنامه هایی با نام XML Parser حاصل می شود. تجزیه کننده ها دستورات متن XML را بررسی می کنند. همچنین آنها به برنامه کمک می کنند تا متن های XML را تفسیر کند. به صورت اختیاری هر متن XML می تواند به متن دیگری اشاره کند که حاوی ساختار فایل XML اصلی باشد. به آن متن XML دوم DTD یا Document  Type Definition گفته می شود.
وقتی فایل XML به DTD اشاره می کند برنامه تجزیه کننده فایل اصلی را با DTD بررسی می کند که آیا به همان ساختاری که در DTD توصیف شده شکل گرفته است یا خیر. اگر یک تجزیه کننده XML بتواند یک متن را به درستی پردازش کند متن XML نیز به شکل صحیحی فرمت شده است.

وقتی که اکثر نرم افزارها امکانات بیخود را افزایش دادند این طور به نظر می رسد که XML به عنوان یک تکنولوژی جهانی برای فرستادن اطلاعات بین برنامه ها انتخاب شود. تمامی برنامه هایی که از XML استفاده می کنند قادر خواهند بود که XML ِ همدیگر را بفهمند. این سطح بالای تطابق بین برنامه ها باعث می شود که XML یک تکنولوژی مناسب برای وب سرویس باشد. چون بدون اینکه احتیاج به سیستم عامل و سخت افزار یکسان باشد می تواند اطلاعات را جابجا کند.

 SOAP یا  Simple Object Access Protocol

 SOAPیکی از عمومی ترین استاندارد هایی است که در وب سرویس ها استفاده می شود. طبق شواهد اولین بار توسط Developer Mentor، شرکت User Land و مایکروسافت در سال ۱۹۹۸ ساخته شده و نسخه اول آن در سال ۱۹۹۹ ارایه شده است. آخرین نسخه SOAP، نسخه 1.2 بود که در دسامبر سال ۲۰۰۱ در W3C ارایه شد. نسخه 1.2 نشان دهنده کار زیاد بر روی آن و نمایانگر اشتیاق زیاد صنعت IT برای استفاده از SOAP و وب سرویس است.
هدف اصلی SOAP ایجاد روشی جهت فرستادن دیتا بین سیستم هایی است که بر روی شبکه پخش شده اند. وقتی یک برنامه شروع به ارتباط با وب سرویس می کند، پیغام های SOAP وسیله ای برای ارتباط و انتقال دیتا بین آن دو هستند. یک پیغام SOAP به وب سرویس فرستاده می شود و یک تابع یا سابروتین را در آن به اجرا در می آورد به این معنی که این پیغام از وب سرویس تقاضای انجام کاری را دارد. وب سرویس نیز از محتوای پیغام SOAP استفاده کرده و عملیات خود را آغاز می کند. در انتها نیز نتایج را با یک پیغام SOAP دیگر به برنامه اصلی می فرستد.

به عنوان یک پروتکل مبتنی بر XML، پروتکل SOAP تشکیل شده از یک سری الگوهای XMLی است. این الگوها شکل پیغام های XML را که بر روی شبکه منتقل می شود را مشخص می کند. مانند نوع دیتاها و اطلاعاتی که برای طرف مقابل تفسیر کردن متن را آسان کند. در اصل SOAP برای انتقال دیتا بر روی اینترنت و از طریق پروتکل HTTP طراحی شده است ولی از آن در دیگر مدلها مانند LAN نیز می توان استفاده کرد. وقتی که وب سرویس ها از HTTP استفاده می کنند به راحتی می توانند از Firewall عبور کنند.

یک پیغام SOAP از سه بخش مهم تشکیل شده است: Envelope (پوشش) ،Header(سرامد)،Body  (بدنه) قسمت پوشش برای بسته بندی کردن کل پیغام به کار می رود. این بخش محتوای پیغام را توصیف و گیرنده آن را مشخص می کند. بخش بعدی پیغام های SOAP، Header آن است که یک بخش اختیاری می باشد و مطالبی مانند امنیت و مسیریابی را توضیح می دهد. بدنه پیغام SOAP بخشی است که دیتاهای مورد نظر در آن جای می گیرند. دیتاها بر مبنای XML هستند و از یک مدل خاص که الگوها (Schemas) آن را توضیح می دهند تبعیت می کنند. این الگو ها به گیرنده کمک می کنند تا متن را به درستی تفسیر کند. پیغام های SOAP توسط سرورهای SOAP گرفته و تفسیر می شود تا در نتیجه آن، وب سرویس ها فعال شوند و کار خود را انجام دهند.
برای اینکه از SOAP در وب سرویس استفاده نکنیم از تعداد زیادی پروتکل باید استفاده شود. برای مثال XML-RPC  تکنولوژی قدیمی تری بود که همین امکانات را ایجاد می کرد. به هر حال، خیلی از سازندگان بزرگ نرم افزار SOAP را بر تکنولوژی های دیگر ترجیح دادند. دلایل زیادی برای انتخاب SOAP وجود دارد که خیلی از آنها درباره پروتکل آن است که فراتر از این متن می باشد. سه برتری مهم SOAP نسبت به تکنولوژی های دیگر عبارتند از قابلیت توسعه، سادگی و قابلیت عملکرد داخلی.
پیغام های SOAP معمولا ً کدهای زیادی ندارند و برای فرستادن و گرفتن آن به نرم افزارهای پیچیده نیاز نیستSOAP  این امکان را به برنامه نویس می دهد تا بنا به نیاز خود آن را تغییر دهد. در آخر بدلیل اینکه SOAP از XML استفاده می کند می تواند بوسیله HTTP اطلاعات را انتقال بدهد بدون اینکه زبان برنامه نویسی، سیستم عامل و سخت افزار برای آن مهم باشد.

 WSDL یا Web Services Description Language

استاندارد دیگری که نقش اساسی در وب سرویس بازی می کند WSDL است. همانطور که قبلا ً اشاره کردیم یکی از خواص وب سرویس ها توصیف خود آنهاست به این معنی که وب سرویس دارای اطلاعاتی است که نحوه استفاده از آن را توضیح می دهد. این توضیحات در WSDL نوشته می شود، متنی به XML که به برنامه ها می گوید این وب سرویس چه اطلاعاتی لازم دارد و چه اطلاعاتی را بر می گرداند.
وقتی که سازندگان نرم افزار برای اولین بار SOAP و دیگر تکنولوژی های وب سرویس را ساختند دریافتند که برنامه ها قبل از اینکه شروع به استفاده از یک وب سرویس بکنند باید اطلاعاتی درباره آن را داشته باشند. اما هر کدام از آن سازندگان برای خودشان روشی برای ایجاد این توضیحات ابداع کردند و باعث شد که وب سرویس ها با هم هماهنگ نباشد. وقتی IBM و مایکروسافت تصمیم گرفتند تا استاندارد های خود را یکسان کنند WSDL بوجود آمد. در ماه مارس سال ۲۰۰۱ مایکروسافت، IBM  و Ariba نسخه 1.1 را به W3C ارائه کردند. گروهی از W3C بر روی این استاندارد کار کردند و آن را پذیرفتند. هم اکنون این تکنولوژی در دست ساخت است و هنوز کامل نشده. ولی هم اکنون اکثر سازندگان وب سرویس از آن استفاده می کنند.
هر وب سرویسی که بر روی اینترنت قرار می گیرد دارای یک فایل WSDL است که مشخصات، مکان و نحوه استفاده از وب سرویس را توضیح می دهد. یک فایل WSDL نوع پیغام هایی که وب سرویس می فرستد و می گیرد را توضیح می دهد مانند پارامترهایی که برنامه صدا زننده برای کار با وب سرویس باید به آن بفرستد. در تئوری یک برنامه در وب برای یافتن وب سرویس مورد نظر خود از روی توضیحات WSDL ها جستجو می کند. در WSDL اطلاعات مربوط به چگونگی ارتباط با وب سرویس بر روی HTTP یا هر پروتکل دیگر نیز وجود دارد.
این مهم است که بدانیم WSDL برای برنامه ها طراحی شده است نه برای خواندن آن توسط انسان. شکل فایلهای WSDL پیچیده به نظر می آید ولی کامپیوترها می توانند آن را بخوانند و تجزیه و تحلیل بکند. خیلی از نرم افزارهایی که وب سرویس می سازند فایل WSDL مورد نیاز وب سرویس را نیز تولید می کنند بنابراین وقتی برنامه نویس وب سرویس خود را ساخت به شکل خودکار WSDL مورد نیاز با آن نیز ساخته می شود و احتیاجی به آموزش دستورات WSDL برای ساختن و استفاده از وب سرویس نیست.

 UDDI یا  Universal  Description , Discovery and Integration

سومین استاندارد اصلی وب سرویس ها، یعنی UDDI، به شرکتها و برنامه نویسان اجازه می دهد تا وب سرویس های خود را بر روی اینترنت معرفی کنند. این استاندارد در اصل بوسیله مایکروسافت، IBM و Ariba و پنجاه شرکت بزرگ دیگر ساخته شده است. با استفاده از UDDI شرکتها می توانند اطلاعات خود را در اختیار شرکت های دیگر قرار بدهند و مدل B2B ایجاد کنند. همان طور که از نام آن مشخص است شرکت ها می توانند وب سرویس خود را معرفی کنند، با وب سرویس دیگران آشنا شوند و از آن در سیستم های خود استفاده کنند. این استاندارد جدیدی است و در سال ۲۰۰۰ ساخته شده است و کنسرسیومی از شرکتهای صنعتی در حال کار بر روی آن هستند. نسخه دوم UDDI در ماه ژوئن سال ۲۰۰۱ ارائه شد و نسخه سوم آن در دست ساخت است.

UDDI یک متن مبتنی بر XML را تعریف می کند که در آن شرکت ها توضیحاتی درباره چگونگی کار وب سرویس شرکتشان و امکانات خود می دهند. برای تعریف این اطلاعات از شکل خاصی که در UDDI توضیح داده شده استفاده می شود. شرکت ها می توانند این اطلاعات را در UDDI شرکت خود نگهداری کنند و تنها به شرکت های مورد نظرشان اجازه دستیابی به آنها را بدهند یا آنها را در مکان عمومی و در اینترنت قرار دهند.
بزرگترین و مهمترین پایگاه UDDI پایگاه UDDI Business Registry یا UBR نام دارد و توسط کمیته UDDI طراحی و اجرا شده است. اطلاعات این پایگاه در چهار نقطه نگهداری می شود: مایکروسافت، IBM،  SAP و HP اطلاعاتی که در یکی از چهار پایگاه تغییر کند در سه تای دیگر نیز اعمال می شود.
اطلاعات درون این پایگاه ها شبیه دفترچه تلفن است. White Pages که در آنها اطلاعات تماس شرکت ها و توضیحات متنی آنهاست، Yellow Pages حاوی اطلاعات طبقه بندی شده شرکتها و اطلاعات درباره توانایی های الکترونیکی آنها می باشد، Green Pages، حاوی اطلاعات تکنیکی درباره سرویس های آنها و نحوه پردازش اطلاعات شرکت آنها می باشد.
اطلاعات تجاری و سرویس های شرکت ها کاملا ً طبقه بندی شده است و اجازه می دهد که به راحتی در آنها جستجو کرد. سپس متخصصان IT می توانند از این اطلاعات استفاده کرده و شرکت ها را برای خدمات بهتر به هم متصل کنند. با این شرح UDDI امکان پیاده سازی مدل B2B را ایجاد می کند و شرکتها می توانند از سرویس های یکدیگر استفاده کنند.
شرکت هایی که به UDDI علاقه نشان داده اند قدرتمند هستند و خیلی از آنها از وب سرویس و استانداردهای آن در محصولات خود استفاده می کنند. NTT Communications of Tokyo یکی از شرکت هایی است که در حال اضافه کردن توضیحاتی به ساختار UDDI است. در هر حال حاضر شرکت ها هنوز کمی درباره وارد کردن خود در پایگاه های عمومی محتاط هستند. این چیز عجیبی نیست. شرکتها ابتدا این امکانات را فقط برای شرکای خود ایجاد می کنند. شرکتهای بزرگ نیز برای مدیریت بر سرویس های خود و اشتراک آنها بین قسمت های مختلف از این استاندارد استفاده می کنند. وقتی این استاندارد به حد بلوغ خود برسد و کاربران با آن احساس راحتی بکنند استفاده از آن نیز در مکان های عمومی فراگیر خواهد بود.

این تغییر رویه برای شرکت های بزرگی که B2B را به روش های قدیمی اجرا کرده بودند مشکل است. بعضی نیز اشکال امنیتی بر این روش می گیرند و مایل نیستند اطلاعاتشان را بدهند. اما با گذشت زمان و کامل شدن این تکنولوژی و درک لزوم استفاده از آن شرکت ها چاره ای جز استفاده از آن ندارند.

 نکات امنیت وب

 

یک فیلتر هوشمند ساخته ی موسسه ی امنیت کامپیوتری، می تواند از ورود افراد به برخی

وب سایت ها جلوگیری کند. همچنین در زیر چند نمونه از سایتهای طراحی شده توسط

نرم افزار مدیریت محتوای طراحان وب ایران برای مشاهده آپلود شده است که شما می توانید

آنها را مشاهده کنید. اخیرا یکی از نظریات مطرح شده درباره بلوتوث اینست که آنرا

بزرگترین پارازیت امنیتی صنایع کامپیوتری میدانند و طرفداران این نظریه معمولا وسیله ای

که این تکنولوژی را بهمراه خود داشته باشد را نمیخرند !!BS7799 نتیجه تلاش برای رسیدن

به یک قالب مشترک امنیتی جهت شرکت های مختلف با زمینه کاری مختلف می باشد.سیستم

عامل، یکی از عناصر چهار گانه در یک سیستم کامپیوتری است که دارای نقشی بسیار مهم

و حیاتی در نحوه مدیریت منابع سخت افزاری و نرم افزاری است .

از سوی دیگر نرم افزارهای کنترلی می توانند برخی اعمال تهاجمی را شناسایی و متوقف کنند

و به کارفرما اجازه ی شناسایی افراد خاطی را دهند، اما در عین حال به حریم خصوصی افراد

تجاوز کرده و وجدان کارفرما را زیر سوال می برند.استاندارد امنیت اطلاعات BS7799

استانداردی جهانی و پویاست که با ارائه کنترل های مختلف سعی در پیاده سازی قالبی مطمئن

برای شرکت ها دارد. درک اینکه infosec چیست و از آن چگونه برای توسعه و گسترش

امنیت سیستمهای اطلاعاتی که بر اساس IIS مایکروسافت بنا نهاده شده اند، استفاده می شود،

به شناسایی ماهیت تهدیدهایی که امنیت کامپیوتر را به مخاطره می اندازد کمک می کند.

نرم افزار پرتال طراحان وب ایران از My SQL که یک بانک اطلاعاتی Free Licence

است استفاده می نماید این بانک اطلاعاتی از نظر سرعت و کارآیی در حجم های بالا با

Oracle رقابت می نماید و در تستهای انجام شده دو سال اخیر با آن برابری می نماید.

امکان مدیریت css های صفحات ، بسیار شبیه دریم ویور است و طبق گفته مایکروسافت

تعامل زیادی با بسته نرم افزاری ویژوال استودیو دارد. این نرم افزار بطور کامل توسط

تیم طراحان وب ایران طراحی شده و قابلیت انعطاف و تغییر برای کاربردهای خاص مانند

آموزش مجازی (LCMS) و یا پرتالهای سازمانی را دارا می باشد. اهمیت infosec هم از

جهت دسترسی مشکل به آن و هم از جهت مخاطراتی است که همه روزه در دنیای کامپیوتر

اتفاق می افتد.پرداختن به مقوله امنیت در برنامه های وب با توجه به ماهیت این نوع از برنامه

ها و جایگاه آنان در ارائه سرویس ها و خدمات پیشرفته ای همچون تجارت الکترونیکی بسیار

حایز اهمیت است .

همچنین اگر آفیس 2007 بتا را نصب کرده اید قبل از نصب expression web باید آنرا از

کامپیوترتان پاک کنید. این یعنی اینکه شما نقطه مرکزی برای تامین و تبیین سیاستهای امنیتی

ندارید و در حقیقت مرکز سقلی برای امنیت شبکه وجود ندارد ! اینجاست که امنیت تبدیل به

دغدغه اصلی میشود چرا که شما اطلاعات مهم خودتان را بی پناه بر روی لپ تاپ خود ذخیره

میکنید تا دیگران روی شبکه از آنها استفاده کنند. از دیگر خصوصیات J2EE وجود طیف

وسیعی از Application Server ها از نظر قیمت می باشد که از انواع Free Source مانند

JBoos,Tomcat شروع شده و تا راهکارهای گرانقیــمتی مانند IBM Websphere و Bea

weblogic با قیمتهای بیشتر از 30000 دلار ادامه می باید. از بین 87 ویروس سال 2005

حدود 82 تای آنها ویروس هایی هستند که برای حمله به سیستم عامل Symbian سری 60

طراحی شده اند.

پرتال طراحان وب ایران نرم افزار مدیریت محتوای بومی و ایرانی می باشد که جهت

پاسخگویی به نیاز استفاده کنندگان ایرانی به یک cms ارزان و در عین حال پر قدرت در

معیارهای جهانی طراحی شده است. در صورتی که در نمایشگاه وب طراحان وب ایران قالبی

را برای سایت خود انتخاب کرده باشید تیم ما نرم افزار پرتال طراحان وب ایران را در آن

قالب در کوتاهترین زمان ممکن برای شما راه اندازی خواهد کرد.com/demo برای مشاهده

دمو و بخش مدیریت پرتال طراحان وب ایران و در اختیار گرفتن نام کاربری و رمز عبور

با تلفن 09133135582 تماس گرفته و به آدرسهای زیر مراجعه کنید . پرداختن به مقوله

امنیت سیستم های عامل ، همواره از بحث های مهم در رابطه با ایمن سازی اطلاعات در یک سیستم کامپیوتری بوده که امروزه با گسترش اینترنت ، اهمیت آن مضاعف شده است.

Net, J2EE می باشند ، اولی (J2EE) توسط شرکت Sun بصورت یک استاندارد جهت پیاده

سازی سیستمهای چند لایه تعریف شده که توسط شرکتهای معتبری مانند

HP, Borland, Macromedia,  Bea ,Oracle ,IBM حمایت و پیاده سازی شده است در

مقابل با اجرای این کنترل ها نه تنها به شرکت خود نظم می بخشیم بلکه امنیت اطلاعات و دارا

یی های مختلف شرکت را برقرار خواهید ساخت. من مطمئن هستم که شما همچین کاری را

انجام نمی دهید ولی دیده ام و شنیده ام که همین مسایل چگونه باعث حمله به یک شبکه می شود

. در طراحی پرتال طراحان وب ایران از معماری چند لایه مبتنی بر J2EE استفاده شده است

که در لایه نمایش XML به عنوان یک لایه واسطه و XSL جهت نمایش پیاده سازی شده اند.

با توجه به موارد بالا تیم طراحان وب ایران J2EE را به عنوان بستر نرم افزاری خود انتخاب

نموده و به طراحی و پیاده سازی Framework منحصر به خود اقدام کرده است جداول زیر

برای مقایسه توانائیهای .فرمت PDF توسط شرکت Adobe طراحی شده و مخفف

Portable Document Format است ، به معنای فرمت سند قابل انتقال. مباحث مربوط به

قابلیت اجرا بر روی بسترهای مختلف با توجه به پروژه سیستم عامل ملی در شرکت رهنما از

اهمیت زیادی برخوردار بوده و تلاش خود را جهت عدم بروز مشکل برای کاربران نرم افزار

های ساخت خود نموده است.Net یک محصول نرم افزاری تجاری از شرکت

Microsoft می باشد با توجه به موارد بالا در مواردی امنیت بالا ، کارآیی و قابلیت اطمینان

اهمیت داشته باشد از J2EE استفاده میگردد که در این زمینه مراجعه به سایت www.url

با مطرح شدن اینترنت به طور گسترده، مسئله امنیت اطلاعات قابل انتقال، به شکل مشخصی

بازگو شد زیرا اطلاعات مهم نیز از طریق این بستر فرستاده می شد. شاید شما هم شنیده باشید

که چگونه یک نوجوان شانزده ساله با فهم اینکه رمز عبور استفاده شده توسط کارمند FBI

چهار حرف بیشتر نمی باشد ، چگونه به شبکه فدرال امریکا نفوذ می کند و امنیت سیستم هایی

را به خطر می اندازد که بیش از میلیونها دلار خرج امنیت آنها شده بود. فیلتر هوشمند موارد

استفاده از وب و فعالیت های نامناسب اینترنتی را برجسته می کند و به سازمان ها اجازه

می دهد برای مراجعه به برخی صفحات وب سایت هایی در نظر بگیرند.سیستم عامل، یکی از

عناصر چهار گانه در یک سیستم کامپیوتری است که دارای نقشی بسیار مهم و حیاتی در

نحوه مدیریت منابع سخت افزاری و نرم افزاری می باشد .

بررسی و آنالیز امنیت در سیستم های عامل می بایست با ظرافت و در چارچوبی کاملا" علمی و با در نظر گرفتن تمامی واقعیت های موجود ، انجام گیرد تا از یک طرف .شرکت Autonomy در یک اقدام بی سابقه، می تواند به تعیین زمان هایی که کارکنان شرکت به اعمالی علیه شرکت مشغول اند، بپردازد.کنترل های بالا تنها بخشی از 127 کنترل مدون در استاندارد BS7799 می باشد که اجرای آنها شما را چند قدم به ایجاد امنیت واقعی نزدیک تر می سازد. تا به امروز استفاده از J2EE تنها راهکار رایج پیاده سازی برنامه هایی است که بر روی تمامی بسترهای سخت افزاری PC,main,Sparc,.

علاوه بر این امنیت در این فایل ها نسبت به سایر فرمت های موجود بسیار بالاتر است و

حتی امکان رمزگزاری روی فایل جهت امنیت بیشتر نیز ممکن است . این نرم افزار هم چنین

تعیین می کند که یک کارمند به طور تصادفی روی یک هرزنامه کلیک کرده یا این که این

کار را بدخواهانه انجام داده است.هرچه امتیاز شما در گوگل افزایش یابد باعث میشود تا گوگل

شما را در صفحه جستجو در رتبه بالاتری نمایش دهد. اطلاعاتی مثل، شماره کارت اعتباری

، فرم پرداخت و غیره از جمله مسایلی بود که احتیاج به امنیت بیشتری داشت.

فایل های بانک ACCESS در حالت default از امنیت خوبی برخوردار نیستند و جای امنی

برای نگه داری اطلاعات محرمانه کاربران یک سایت نیستند . مایکروسافت که شکست

فرانت پیج را در برابر دریم ویور پذیرفته است ، دست به کار طراحی برنامه جدیدی برای

طراحان وب زده است با امکاناتی که برای هر طراح و برنامه نویسی جذاب است. بررسی و

آنالیز امنیت در سیستم های عامل می بایست با ظرافت و در چارچوبی کاملا" علمی و با در

نظر گرفتن تمامی واقعیت های موجود . هکرها تا به حال اقدام به تولید برنامه هایی کرده اند

تا امنیت دستگاه های همراه را امتحان کنند اما تعداد نرم افزارهای مخرب از 10 تا در

سال 2004به 87 تا در سال 2005 رسیده است و احتمالا در آینده نیز افزایش می یابد.

Com/demo یاد بگیرید که همیشه جلو دهان خود را بگیرید! این را یک گستاخی مپندارید و

به صورت مداوم آن را تمرین کنید. پرداختن به مقوله امنیت سیستم های عامل ، همواره از

بحث های مهم در رابطه با ایمن سازی اطلاعات در یک سیستم کامپیوتری بوده که امروزه

با گسترش اینترنت ، اهمیت آن مضاعف شده است . بافرض یک انتقال ایمن با پروتکل

SSL,TCP/IP به عنوان پروتکل امنیتی لایه انتقال در زیر لایه کاربردی قرار گرفته و

امنیت ارتباطات بین سرویس دهنده و سرویس گیرنده را برقرار می کند.هنگامی که شما

تلاش می کنید IIS را در مقابل خطرات و تهدیدها ایمن نموده و آسیب پذیری برنامه های

کاربردی موجود در IIS را شناسایی نمایید، در واقع به دنیای امنیت اطلاعات که با عنوان

infosec شناخته می شود، وارد شده اید.

فایل های PDF دقیقا همانگونه ای چاپ میشوند که شما آن را در مانیتور میبینید ، با همان

صفحه بندی ، فونت و عکس های موجود . درست است که امنیت 100% اطلاعات کاری

دشوار است ولی نزدیک تر شدن به آن نیازمند کمی تلاش و مدیریت می باشد. تعداد زیاد

حملات ویروسی به این سیستم عامل به معنای امنیت کمتر آن نیست بلکه نشان دهنده مشهور

بودن دستگاه های Symbian است بنابراین هدف مورد علاقه ویروس نویسان است.

موسسه ی امنیت کامپیوتری با ارایه ی یک طرح تکنیکی، مزایا و نقاط ضعف فیلترهای

نرم افزاری را بررسی کرده است.

شرکت ضد ویروس F-Secure برای محافظت از تلفن های همراه نرم افزار جدیدی ارائه

داده است کاربران می توانند با بازدید از سایت های زیرانتقال اطلاعات مهم مثل شماره

کارت اعتباری اشخاص باید با امنیت کامل انجام گیرد. این فعالیت ها شامل خرید و فروش در

داخل شرکت، دست بردن در حساب ها و یا حتا فرستادن ایمیل های خلاف عفت یا

نژادپرستانه، باشد.) اجرا می گردند به عبارت دیگر برنامه های نوشته شده با J2EE بر

روی طیف وسیعی سیستمها از ابر کامپیوترهای غول پیکر تا تلفن های همراه قابل اجرا

می باشند. درباره امنیت اطلاعات خود به گونه ای فکر کنید که انگار دارید درباره امنیت

خانواده خود و یا امنیت کشور خود فکر می کنید.

والبته برای این دسته از کاربران اهمیت امنیت بسیار دور از ذهن است ! پیاده سازی امنیت

حتی در همین سطح استفاده میتواند از سوء استفاده کاربر غیرمجاز از این دستگاهها

جلوگیری بکند. فناوری یاد شده، ایمیل ها، تلفن های همراه و PDA و پیام های فوری مربوط

به شرکت Autonomy را بررسی می کند. Info sec یک رشته تخصصی در دنیای کامپیوتر

است که هدف آن تجزیه، تحلیل، کاهش و پاسخ به تهدیدهای سیستمهای اطلاعاتی است.

Language J2EE Database My SQL(Oracle,SQL Server) Application Server

Tomcat( Jboss

,Bea Web logic ,Sun One ,Web sphere) Web Server Apache -IIS,Iplanet )

برخی از امکانات پرتال 1.

در کنار استفاده از کنترل اینترنتی، سازمان ها می توانند تماس های تلفنی افراد را با استفاده از

سیستم کنترل صدا زیر نظر داشته باشند.دستگاه های موبایل استعداد آلودگی ده ها هزار

محصولی را دارند که هم اکنون از چیپ های کامپیوتری استفاده می کنند که این کار استعداد

ویرانگر ویروس ها را افزایش می دهد. در طراحی و پیــاده سازی نـرم افزار پرتال طراحان

وب ایران از نرم افـزارها و بسـته های Free License , Free Sourceشده است تا پس از

پیوستن ایران به سازمان تجارت جهانی(WTO) و قانون کپی رایت مشکلات قانونی جهت

استفاده کنندگان آن بوجود نیامده ، نرم افزار امکان ارائه در بازارهای جهانی را داشته باشد.

یعنی آنقدر دور که تکنیکهای War-Driver کاملا جوابگوی هکرها میباشد و کاملا هم از دید

شما مخفی خواهد بود. با آن که این فیلترها می توانند از مضامین نامربوط و هجو جلوگیری و

آن ها را مسدود کنند، لحظه و زمان سواستفاده ی افراد از اینترنت را نشان نمی دهند.

پیاده سازی این استاندارد سبب خواهد شد تا امکان سوء استفاده از اطلاعات ، ازبین رفتن آن

و سایر خطرات به حداقل برسد. این برنامه که از سوی مایکروسافت در حال آماده سازی

است (فعلا نسخه بتا) به نظر من کپی برداری مستقیمی از روی Dreamweaver است.

مواردی که در این نوشتار خواهید خواند، گوشهای از نکات مهمیست که شرکت گوگل به

مدیران سایتها برای بهبودِبخش جستجو در سایت توصیه میکند.

شما باید اطلاعاتی که توسط شما منتشر می شود و یا در سرور های وب شما به نمایش

گذاشته می شود اطلاع کاملی داشته باشید. پرتال طراحان وب ایران آمده است تا امکان

مدیریت یک سایت را در کمترین زمان و هزینه و بدون نیاز به نیروی متخصص برای

شما فراهم ساخته و کلیه مرزها ( محدودیتها) ی شما در مدیریت محتوا را از پیش رو بردارد

تکنولوژیهای مورد استفاده و مزایا تکنولوژیهای رایج نرم افزاری امروز . این برنامه تعدادی

از قابلیت های بانک اکسس را فعال میکند که باعث بالا بردن امنیت نهایی فایل MDB

می شود . طبق گفته ی موسسه ی پشتیبان نرم افزارهای امنیتی Web sense، نرم افزار

کنترل کارکنان این شرکت با اجرای تعهداتی از وصل شدن افراد به سایت های نامربوط و

ناخوشایند و بارگذاری (Download) پیام های فوری جلوگیری می کند.

زیرا گوگل سایت هایی را که این نکات را رعایت نکرده اند از لیست جستجویش حذف میکند

و دیگر در هیچ یک از سایت های شرکای گوگل نیز نام شما نشان داده نمی شود . بی گمان،

این نکات حاصل تجربه ی این شرکت در زمینه ی جست و جوست و نشان از اهمیت این

بخش در سایتها دارد .

 


روزانه چه تعداد وب سایت ایجاد می شود؟وبلاگ چطور؟و از همه مهمتر چه تعداد هکر به دنیای پهناور اینترنت وارد می شوند؟.امروز با رشد روز افزون وب سایت ها و وبلاگ ،تعداد هکرها نیز بیشتر از پیش می شود و این روند صعودی رشد هکرها مستلزم جلوگیری و بهینه سازی سایت ها می باشد تا از روند هکرها و جاسوسان در امان باشد. برای این منظور باید نکات امنیتی را در نظر گرفت  تا کوچکترین مشکلی بوجود نیاید و با خیال راحت کنترل وب سایت را بر عهده داشت، برای این منظور اصولی ترین روش های تامین امنیت وب سایت را معرفی می کنیم تا وب سایتی ایمن داشته باشیم.

1- انتخاب سرویس دهنده مناسب و ایمن

اولین گام برای ایجاد وب سایت ایمن انتخاب سرویس دهنده مناسب می باشد . اگر شما هر چقدر بر روی مسائل امنیتی و طراحی و کدها کار کنید ولی سرویس دهنده مناسبی نداشته باشید کاری از پیش نخواهید برد و دیر یا زود توسط گروه های هکر و ضعف سرور هک خواهید شد ، پس در انتخاب سرویس دهنده نهایت دقت را به خرج دهید . برخی سایت ها مدعی هستند دارای برقراری ارتباط و امنیت 9۹% هستند ولی در ظاهر هیچ  چیز را باور نکنید و درباره سرویس دهنده و مشتریان آن تحقیق کنید تا بعدا به خاطر عدم امنیت سرویس دهنده با خطر هک روبرو نشوید.

  2- استفاده نکردن از کدهایی که شناختی به آن ندارید

   

برخی از مدیران وب سایت ها  وبه خصوص وبلاگ ها بدون هیچ شناختی از کدهایی که درون برخی وب سایت ها وجود دارد در سایت خود برای زیبایی وب سایت و امکانات جالب قرار می دهند ولی غافل از اینکه ممکن است این کدها حاوی دستورهای مخربی برای آلوده کردن وب سایت شما باشد.اغلب کدها به صورت جاوا اسکریپت می باشد که به صورت های مختلف با عناوین مختلف برای استفاده قرار داده شده است.سعی کنید کدها را از وب سایت های معتبر دریافت کنید.استفاده از چنین کدهایی در وبلاگ ها بیشتر دیده می شود و ممکن است علاوه بر سایت امنیت خود کاربر را به خطر بیندازد. پس با دقت از کدها استفاده کنید.

  3- تعیین سطح دسترسی فایلها و فولدرهای سایت            

امروزه اکثر وب سایت دارای پنل مدیریت و فولدر های متفاوت می باشند و برخی دیگر از وب سایت ها از سیستم مدیریت محتوا استفاده می کنند .یکی از راههای نفوذ هکرها فایل و فولدرها سایت شما می باشد ، شما باید با تعیین سطح دسترسی فایل ها و فولدرها امنیت سایت خود را بالا ببرید. اگر سایت شما با سیستم مدیریت محتوا کار می کند داخل فایل راهنمای سیستم مدیریت پریمیشن یا سطح دسترسی فایل ها مختلف را برای شما نوشته است تا فایل ها و فولدرها را بر اساس همان اعداد تعیین کنید .اگر هم سایت را خودتان طراحی کرده اید با توجه به اهمیت فولدرها و محتویات آن سطح دسترسی را تعیین کنید.

  4- پسورد گذاری بر روی فایل های مدیریت و مهم 

هر جا که سخن از امنیت می شود اولین راهی که به ذهن هر شخصی می رسد پسورد گذاری می باشد ، وب سایت ها هم از این قضیه مستثنا نیستند و برخی از فایل ها  نیاز به پسورد گذاری دارند ، از جمله مهمترین قسمت ها “administrator”  می باشد که برای تامین امنیت اکثر سایت ها بر روی آن پسورد می گذراند تا امنیت سایت را بالا ببرند.مدیر هر سایتی به خوبی نقاط قوت و مهم و فایل ها و فولدرهای حیاتی را می شناسد پس مدیران سایت ها بهتر از هر کسی می دانند که روی چه قسمت هایی پسورد گذاری کنند.در هاست های لینوکس و ویندوز قسمتی برای این کار در پنل تعبیه شده است.

  5- انتخاب پسورد امن و مطمئن برای قسمت های مختلف

حتما این جمله را بارها شنیده اید که  همیشه پسورد قوی  و مطمئن انتخاب کنید. تاریخ تولد ، شماره تلفن ، ،عددهای متوالی و کوتاه و شبیه هم و نام خودتان و نام خانوادگی و از این قبیل حروف به هیچ وجه انتخاب مناسبی برای پسورد نمی باشد.پسورد مناسب باید حداقل ۸ کاراکتر و ترکیبی از حروف و اعداد و علامت و تا جای ممکن کاملا بی ربط باشد.خود سرویس دهنده وب در هنگام خرید سرویس، شناسه کاربری و رمز عبوری به شما می دهد که رمز عبور دارای امنیت خوبی است ولی شناسه ساده می باشد و باید تغییر یابد. هکرها با استفاده برنامه هایی که خودشان می سازند تمام اعداد و حروف و علامت را از کوچک به بزرگ چک می کنند که برای جلوگیری از چنین مشکلی نیز راه حلی وجود دارد.

    6- محدود کردن وارد کردن اطلاعات در قسمت مدیریت   

اگر از سیستم مدیریت محتوا استفاده می کنید ،برای ورود به قسمت مدیریت سایت خود باید شناسه و رمز عبور وارد کنید. که  هکرها برای ورود به سیستم  ممکن است به تعداد دفعات متعدد پسوردهای مختلف را امتحان کنند برای جلوگیری از وارد کردن پی در پی و اشتباه با تنظیمات پرتال خود می توانید محدودیت در لوگین (ورود)ایجاد کنید تا پس از چند بار وارد کردن اطلاعات اشتباه آی پی هکر بند (بسته) و از ورود آن به سایت جلوگیری شود.

نکته : همه پرتال ها  و سیستم های مدیریت محتوا ممکن است چنین قابلیتی نداشته باشد ، یا باید کدی برای چنین کار نوشته شود و یا باید به امکانات سرویس دهنده نگاه کنیم و ببینم چنین قابلیتی را دارا می باشد یا خیر(بسته به نوع پنل سرویس دهنده و سیستم عامل خدمات متفاوت می باشد)

0-                                                                                                                            7- تغییر مسیر  مدیریت و تغییر نام کاربری مدیریت

در پرتال هایی که توسط شخص خاصی طراحی می شود آدرس ها دلخواه می باشد و معمولا سلیقه ای می باشد و مشکلی ایجاد نمی شود ولی در سیستم های مدیریت محتوا مسیر پیشفرض قابل حدس زدن می باشد ، پس چه بهتر است با تغییر مسیر پیشفرض از مشکلات بعدی جلوگیری کنیم .برا تغییر مسیر مدیریت ، پلاگین ها یی مرتبط با سیستم مدیریت محتوای مربوطه برای چنین کاری موجود می باشد.در برخی سیستم های مدیریت محتوا در هنگام نصب شما می توانید شناسه و رمز عبور را وارد کنید و در این صورت مشکلی وجود ندارد ولی در برخی شناسه به طور پیشفرض می باشد که برای جلوگیری از نفوذ باید با نامی مناسب تغییر یابد."Admin"

 

0-                                                                                                                               8- استفاده از قالب ها،پلاگین ها و ابزارک های ایمن

درشماره ۲ در مورد کدهای مخرب و مورد استفاده آنها صحبت کردیم ، حالا طرف صحبت ما مدیران وب سایت ها است که روزانه با انبوه قالب و پلاگین ها مواجه هستند . سعی کنید از سایت های رسمی محصولات را دریافت کنید و اگر از محصولات نال شده استفاده می کنید به محتوای پوشه ها دقت کنید تا با باگ های اساسی و خطرناک ، به راحتی هک نشوید.قالب ها اضافی نگه ندارید و تا جای امکان از امکانات پیشفرض خود سیستم استفاده کنید.

با رعایت نکاتی که در بالا ذکر شد می توانید امنیت وب سایت خود را به خوبی تامین کنید ولی این نکته را فراموش  نکنید که هیچگاه تامین امنیت به طور کامل امکان پذیر  نمی باشد و روزانه روش های جدید ابداع می شود پس توقع نداشته باشید که هیچ گاه هک نشوید ، ولی با رعایت نکات امنیتی  درصد نفوذ را به طور قابل ملاحضه ای کاهش دهید.
گزارش تخلف
بعدی