عبارت امنیت اطلاعات بخش عظیمی از فعالیت های یک سازمان را در بر میگیرد و معنای واقعی آن این است که با انجام یک سری فعالیت ها و فرآیند ها بتوانیم جلوی دسترسی های غیر مجاز به داده ها، اطلاعات و تغییرات آن ها را بگیریم.
خوب میدانیم هکر ها تشنه ی اطلاعات و استفاده از آن ها هستند و هیچ فرستی را برای هک کردن سیستم شما از دست نخواهند داد برای جلو گیری از این اتفاق میتوانیم از منابع و اطلاعات خود در حالت مختلف حفاظت کنیم.
یکی از متداول ترین راه های هک کردن سیستم ها اتصال به اینترنت می باشد و مانند یک پل عبور برای هکر ها عمل میکند. شما باید هوشیارانه مراقب ایمیل ها، وب سایت و شبکه ی سازمان خود باشید. چرا که ممکن است فرد هکر در داخل سازمان در حال فعالیت باشد. اما اغلب هکرها در خارج از سازمان هستند پس نیازی به نگرانی زیادی نیست.
برای جلو گیری از هک شدن کافیست اقدامات لازم را انجام بدهیم و منابع و اطلاعات سازمان را از دست سودجویان حفظ نماییم.
در این دسته از مقالات شرکت طراحی سایت مبنا قصد داریم به طریقه حفظ امنیت سایت در حین طراحی سایت و بعد از طراحی سایت بپردازیم. لطفا با ما همراه باشید و نظرات و پیشنهاد های سازنده خود را با ما در میان بگزارید.
امنیت در طراحی سایت حرفه ای مهمترین نکته میباشد و عدم داشتن امنیت در یک سایت بیانگر حرفه ای نبودن در طراحی وب سایت است. موضوع امنیت در طراحی سایت بحثی است که هیچ گاه تکراری نمیشود چرا که حتی سایت های بزرگ جهان مانند گوگل گهگاهی مورد حملات هکر ها قرار میگیرد و امنیتش به زیر سوال میرود.
هیچ سایتی داری امنیت 100% نمی باشد برای همین است همه ی مدیران سایت به فکر افزایش امنیت سایت خود هستند تا احتمال هک شدن سایت خود را به 0% برسانند.
خوب شما میتوانید امنیت سایت طراحی شده ی خود و یا سازمان را با چند راهکار افزایش دهید. البته باید این راهکارها به درستی انجام شود تا نتیجه مطلوب حاصل شود.
مخصوصا سایت هایی که دارای مدیریت محتوای رایگان مانند جوملا ، وردپرس و.. هستند زیرا این سایت ها به دلیل رایگان بودن و Open Source بودن آن ها تمامی کد های ر دسترس عموم از جمله هکر ها بوده و هر لحظه ممکن است سایت مورد حمله قرار گیرد.
در این بخش از مقالات شرکت طراحی سایت راه های جلوگیری از هک شدن و راه های افزایش امنیت در طراحی سایت را به شما عزیزان آموزش خواهیم داد.
بازیابی سایت های هک شده
هک یک مشکلی است که بسیاری از وبمستران از آن هراس دارند نام دیگر این دسته هک ها، هکر های کلاه سیاه است که با نیت بد و غیر قابل پیشبینی وارد سایت شما می شوند. چندین سایت ایرانی مشهور بعد از هک شدن به دلیل نداشتن نسخه پشتیبانی از کار افتادند. سایت های هک شده توسط ویروس و یا سایت هایی که اطلاعات خود را بخاطر هک شدن از دست داده اند از موتور های جستجوگر نمره منفی کسب می کنند و بر سئو آن ها تاثیر منفی میگذارد .
حال این سئوال پیش میاید در صورت هک شدن چه باید بکنیم تا به بازیابی سایت هک شده منجر شود؟
در قدم نخست از داشتن نسخه پشتیبان که هاست آن را به صورت خودکار تهیه میکند مطمئن شویدو باگ های سایت خود را شناسایی و رفع نمایید. حذف شدن از لیست نتایج گوگل یکی از پیامد های هک شدن باشد که مشکل بزرگی به نظر می رسد چرا که گوگل نمره منفی زیادی باری سایت های آلوده و آن هایی که مشکل ساختار دارند در مد نظر دارد.
با هم به بررسی مهمترین مراحل رفع هک که توسط گوگل ارائه شده است میپردازیم
- کسب اطلاع از روش های هک و تحقیق در باره مشکل بوجود آمده در سایتتان
- تمای با شتیبان هاست و سرور
- گارانتی کردن سایت
- مطالعه مقالات مدیران گوگل
- سعی کنید به فایل مخرب و یا فایل ویروسی دسترسی پیدا کنید
- شناسایی نوع مشکل
- پاکسازی سایت و پاک کردن فایل مخرب
- ارسال درخواست بررسی برای گوگل
برای مطالعه ببیشتر می توانید به آدرس http://www.google.com/webmasters/hacked مراجعه نمایید.
تکنیک جدید ایمیل های اسپم
حتما می دانید به چه دسته از ایمیل هایی اسپم می گویند. اسپم به ایمیل هایی گفته می شود که به صورت انبوه فرستاده می شود و سرور سرویس دهنده ایمیل آن را مشکوک تشخیص میدهد و آن را در دسته ایمیل های اسپم قرار می دهد اغلب این ایمیل ها موضوع تبلیغاتی دارند.
اما برخی از هکر ها از این سرویس ارسال انبوه سواستفاده می کنند و ایمیل هایی که حاوی ویروس است را ارسال می کنند کاربر با باز کردن ایمیل ویروس را فعال میکند. این ویروس قادر است که به لیست مخاطبان ایمیل شما دسترسی پیدا کند و حتی بدتر از آن نام کاربری و رمز عبور شما را برای رسیدن به هدف های خود میرباید.
در این 1، 2 ماه آحیر ایمیل هایی با مضوع زیر برای کاربران داخل ایران ارسال می شود که تقریبا میتوان گفت تکنیک جدید ایمیل های اسپم است.
عنوان: تمایل به خرید
متن: با سلام
اینجانب تمایل به استفاده از خدمات و محصولات شما را دارد،در صورت پاسخ به ارائه توضیحات و جزئیات خواهم پرداخت.
با تقدیم احترامات
دکتر مسعود پاکزاد
مهمترین عاملی که باعث میشود کاربران فریب این ایمیل های آلوده را بخورند داشتن عنوان جذاب و تاثیر گذار است. اغلب عنوان این ایمیل ها را به نحوی می نویسند که فرد کنجکاو به دانستن متن داخل ایمیل می کند.
در مثال بالا شخص گمان میکند کسی میخواهد از محصولات و خدمات او خریداری کند مخصوصا در آخر که خود را به نام دکتر مسعود پاکزاد مهرفی کرده است که در کاربر حس اعاماد ایجاد کند. به همین دلیل آن ایمیل را باز میکند و سیستم آلوده به ویروس میشود و از طرف دیگر IP ایمیل فرستنده از حالت اسپم خارج شود.
این هرزنامه یا ایمیل اسپم شرکت هایی را که داری خرید و فروش محصول و یا خدماتی ارائه می کنند را هرف قرار داده است که علاوه بر خارج شدن از اسپم میخواهد به اطلاعات مهم آن شرکت را به دست بیارد.
همچنین برخی از ایمیل ها با مضامین جنسی ارسال میشود که کاربران را درگیر میکند حتی استفاده از unsubscribe و privacy polisi هیچ کمکی برای رهایی از این ایمیل ها نخواهد کرد.
پس فراموش نکنید ایمیل هایی را که فرستنده آن را نمیشناسید و یا دارای عنوان های هیجان انگیز و دوست داشتی مانند برنده شدن جوایز ویا قرعه کشی و یا هر چیز دیگه مانند این ها را به هیچ عنوان باز نکنید.
امیدواریم مقالات طراحی سایت مبنا برای شما مفید واقع شود.
جدیدترین ReCaptcha های محافظتی سایت
ReCaptcha سرویس گوگل است که به وب سایت ها کپچا ارائه میدهد. در مقاله Captcha چیست؟ به معرفی کپچا پرداخته ایم.
همان طور که در مقاله Captcha چیست؟ اشاره شد در روش های قدیمی حروف را به صورت بهم ریخته و ناخوانا قرار میدادند که اکثر کاربران برای آنکه ثابت کنند ربات نیستند به سختی میتوانستند آن را وارد کنند. اما به مرور زمان Captcha به وجود آمد که به جای حروف بهم ریخته از تصاویری استفاده شده که در آن ها پلاکی وجود داشت و کاربر به راحتی از روی تصویر میتوانید کد را بخواند و وارد نماید.
اما همه ی ما و خود گوگل خوب میدانیم روبات ها روز به روز در حال پیشرفت هستند و روزی خواهد رسید که قادر به خواندن پلاک تصاویر شوند. از این رو گوگل یک روش جدید را ارائه کرد.
در این روش گوگل که به reCaptcha no captcha نامیده میشود گوگل از خود کاربران میپرسد که آیا روبات هستید یا نه!
در بسیاری از سایت هایی که از API جدید استفاده میکنند کاربر با زدن تیک من روبات نیستم به را حتی خود را ثابت میکنند. در ظاهر خیلی ساده به نظر میرسد به حدی ساده که گمان میکنید روبات های قدیمی نیز میتوانند این گزینه را تشخیص دهند اما این طور نیست در پشت این صفحه پرسش الگوریتم های پیچیده ای در حال اجرا شدن هستند.
طی تحقیقت انجام شده توسط گوگل به این نتیجه رسیدند که روبات ها قادرند مشکل ترین نوع captcha با دقت 99%حل کنند و این را مدیون هوش مصنوعی هستند.
گوگل با ادامه دادن تحقیقات خود به این نتیجه رسید که سایت هایی که از API جدید استفاده می کنند به روبات نبودن اغلب کاربران را تایید کرده است و ن هایی که وضعیتشان تایید نشده کپچای قبلی را دوباره برای آن ها نمایش میدهد.
با توجه به آنکه این روز ها اهمیت بیشتری به کاربران موبایل و تبلت میدهد، اگر با این دستگاه ها وارد این دسته از سایت ها شوید، گوگل captcha مخصوص به موبایل و تبلت را به شما نمایش می دهد. در این کپچا ها عکسی نمایش داده میشود و کاری که کاربر باید انجام دهد این است که عکس های مرتبط با آن را انتخاب کند.
این الگوریتم جدید گوگل بر اساس رفتار های کاربران تولید شده است و از انجایی که این checkbox واقعی نمی باشد نمیتوان آن را با کیبورد و یا چیز دیگری مشابه سازی کرد و برای کلیک حتما باید از ماوس استفاده شود. همچنین این الگوریتم با بررسی رفتار ماوس قبل و بعد و حتی در حین کلیک را تحلیل کرده و روبات نبودن کاربر را تشخیص میدهد.
لطفا نظرات و پیشنهاد سازنده خود را با شرکت طراحی سایت مبنا در میان بگزارید.
ضعف امنیتی در افزونه یاست وردپرس
میخواهیم ضعف امنیتی افزونه ای را بررسی کنیم که تقریبا 14 میلیون کاربر دارد. این افزونه را 50% افرادی که سایت خود را با وردپرس طراحی کرده اند استفاده میکنند و میتوان گفت این افزونه در میان کاربران وردپرس بسیار محبوب است.
افزونه یاست در این چند سال آخر انتقادات زیادی را دریافت کرده است که از جمله این انتقادات ضعف امنیتی در افزونه یاست وردپرس بوده است. مسئولان یاست نیز تلاش کرده اند که با بروز رسانی های مکرر این ضعف را برطرف سازند اما برخی از این بروز رسانی ها وضع را خراب تر کرده اند و موجب شده اند که مشکلاتی در پیکر بندی وردپرس به وجود آید.
اکثر کسانی که با وردپرس به طراحی سایت میپردازند امکان دارد متوجه یک نقطه ضعف در تزریق کد های تخریبگر به SQL به دلیل ضعف امنیتی در پلاگین یاست شده باشند. بار ها و بار ها این پلاگین به روز رسانی شده است اما موفقیت آن دقیقا مشخص نشده است اما با این حال اگر از افزونه یاست استفاده میکنید از بروز رسانی شدن آن اطمینان یابید.
این ضعف امنیتی میتواند تنها راه ورود هکر ها به کد های وردپرس شما و تزریق کد جستجو در بخش پایگاه داده باشد که منجر به تغییر داده ها ، اطلاعات و یا حذف آن ها میشود.
هکر ها اغلب از این حملات برای ورود غیر مجاز لینک های وابسته، اسپم، نرم افزار های تخریبگر و ابزار های تبلیغی طراحی و ایجاد می کنند.
مسئولان یاست به افرادی که از افزونه یاست برای سئو سایت وردپرس خود استفاده میکنند اکیدا پیشنهاد می کند که افزونه خود را به ورژن 1.7.4 آپدیت کنند.
تیم وردپرس تمامی کاربران خود را تحت فشار قرار داده است تا از ورژن های قدیمی استفاده نکنند. با این حال سایت هایی هستند که از ورژن قدیمی استفاده میکنند. یاست سعی بر آن دارد که تمامی ورژن های قدیمی را به طور خودکار آپدیت کند.
تدابیر امنیتی در نظر گرفته شده در طراحی سایت
در طراحی سایت به منظور حفظ امنیت ، تدابیری در نظر گرفته می شود که در این بخش از مقالات شرکت طراحی سایت مبنا به آنها اشاره می کنیم. ملاحظات امنیتی با هدف جلوگیری از بروز خطا و خرابکاری بر روی سایت ها در نظر گرفته می شود. در ادامه به تدابیری که در طراحی سایت برای جلوگیری از بروز چنین مشکلاتی اتخاذ می شود، اشاره می کنیم. این تدابیر در حالت کلی به دو دسته تقسیم می شوند.
دسته اول، آن دسته از تدابیر امنیتی هستند که به منظور جلوگیری از نفوذ افراد خرابکار به بانک های اطلاعاتی و همچنین ممانعت از ورد به پنل مدیریتی گرفته می شوند. در این موارد معمولا رمز عبور و گذر واژه ها را با استفاده از یک الگوریتم مناسب، کد گذاری کرده و آن را در بانک اطلاعاتی ذخیره می کنند.
دسته دوم تدابیر امنیتی در طراحی سایت ، ممانعت از ارسال و تزریق دستور به کارگذار بانک اطلاعاتی می باشد. برای این منظور، زمانی که کاربر به سایت وارد می شود، بین کامپیوتر کاربر و کارگزار یک مسیر حفاظت شده با استفاده از SSL تشکیل می شود و پس از آن تمام انتقال اطلاعات از طریق این مسیر رخ می دهد. با استفاده از این تکنیک در طراحی سایت ، دیگر امکان دسترسی به اطلاعات برای آن دسته از افرادی که قصد استراق سمع را دارند، فراهم نخواهد بود.
این دو مورد تنها برخی از تدابیری هستند که می توانید برای امنیت طراحی سایت ، از آنها بهره بگیرید. اطلاعات جامع و کامل تر در زمینه طراحی سایت را می توانید از بخش مقالات وب سایت شرکت طراحی سایت مبنا مطالعه نمایید. در بخش مقالات سعی کردیم تا حدالامکان مطالب مفید و کاربردی را برای شما علاقه مندان عزیز ارائه نماییم.
طراحی سایت و SSL
یکی از نکات مهم در طراحی سایت ، رعایت ایمنی و نکات لایه امنیتی است. یکی از روش های بسیار موثر در ایجاد بستری امن ، استفاده از SSL یا لایه سوکت امن است که این امر به موجب پروتکل امنیتی انجام می شود. استفاده از SSL در طراحی سایت تاثیر به بسیار مثبتی بر سئو سایت شما خواهد داشت. در ادامه این بخش از مقالات شرکت طراحی سایت مبنا با ما همراه باشید تا با تاثیر SSL در طراحی سایت آشنا شوید.
SSL چیست؟
به طور کلی SSL مخفف عبارت Secure socket Layer به معنی لایه سوکت امن در واقع یک پروتکل امنیتی است که به منظور جابه جایی داده های خصوصی و پرونده های شخصی بر روی اینترنت شکل گرفته است. امروزه بسیاری از افراد در طراحی فروشگاه اینترنتی خود از این پروتکل امنیتی استفاده می کنند تا اطلاعات کارت اعتباری کاربران آنها به صورت محرمانه باقی بماند. البته می توان این نوع پروتکل امنیتی را در تمام انواع طراحی سایت به کار برد ولی با این حال بیشترین کاربرد آن در سایت های فروشگاهی است که دارای قابلیت پرداخت اینترنتی هستند و حفظ اطلاعات کاربر از اهمیت بالایی برخوردار است.
تاثیر SSL بر رتبه بندی سایت
همانطور که گفته شد پروتکل امنیتی از نظر سئو و بهینه سازی سایت ، تاثیر مثبتی در طراحی سایت می گذارد. این امر موجب افزایش اطمینان به سایت می شود که نتیجه آن افزایش رتبه و رنکینگ است. استفاده از SSL در طراحی فروشگاه اینترنتی ، موجب افزایش امنیت خرید اینترنتی و تراکنشات امن تر می شود. یکی دیگر از تاثیرات پروتکل امنیتی بر روی طراحی سایت ، افزایش سرعت لود و بارگذاری صفحات وب است. در بخش تنظیمات SSL ، میزان و درجه امنیت قابل تغییر و تنظیم می باشد. لازم به ذکر است که اصلی ترین کاربرد SSL برای طراحی فروشکاه اینترنتی است.
برای بالابردن امنیت طراحی سایت چه باید کرد
آیا تا به حال به این مسئله فکر کرده اید که اگر سایتتان هک بشود چه کاری باید بکنید. سایت شما یک شعبه 24 ساعته برای کسب و کار شما می باشد اگر افرادی به اطلاعات شما دسترسی پیدا کنند مشکلات فراوانی به وجود می آید.
حال نکاتی که با انجام دادن آن ها میتوانید از سایت خود در برار هک شدن محافظت کنید را به شما توضیح می دهیم.
افزایش امنیت شبکه دسترسی:
هنگامی که شما از سیستم شخصی برای ورود به سایت استفاده می کنید اگر دسترسی شبکه به درستی تنظیم نشده باشد یک هکر به راحتی میتواند وارد سایت شما شود پس بهتر است که پسورد پنل مدیریتی خود را تغییر داده و یک نرم افزار برای اسکن کردن فایل ها بر روی سیستم نصب کرد.
FIRE WALL در وب سایت:
فایروال از خطر هک شدن سایت ، ارسال فایل های مخرب و اسپم ها به سیستم حفاظت می کند. پس بر روی سیستم خود یک فایروال نصب کنید.
نصب نرم افزار های امنیتی
حتما در طراحی سایت خود از نرم افزار های امنیتی استفاده کنید. اگر در سیستم خود از وردپرس یا جوملا استفاده می کنید حتما از افزونه های افزایش امنیت استفاده کنید.
مخفی کردن صفحه ادمین
سعی کنید با گذاشتن رمز و محدود کردن دسترسی ها از هک شدن بخش ادمین سایت جلوگیری کنید.
پروتکل رمزنگاری شده ای است که برای انتقال بین سرور و کلاینت می باشد .اینگونه کابران با خیال آسوده در سایت تان عضو می شوند .این پروتکل باعث بهینه سازی می شود زیرا سعی در انتقال اطلاعات کاربران به صورت تضمینی را دارید و گوگل نیز رتبه بهتری به سایت می دهد.
هرگز این گونه نیندیشید که سایت شما حاوی اطلاعات بی ارزشی است و هیچ هکری تمایل هک کردن سایت شما را ندارد. چرا که هکرها از همان اطلاعات ساده نهایت سوء استفاده را می کنند و به علاوه با ارسال هرزنامه های Spam مشتریان شما را از بین می برند و از اطلاعات مشتریان و کاربران شما سوء استفاده خواهند کرد.
شناخت و دسته بندی اطلاعات:داده های پر اهمیت را دسته بندی کنید و مشخص کنید چه افرادی به این داده ها دسترس پیدا کنند.
بررسی و تست: تمامی قسمت های سایت را به ویژه قسمت فرم ثبت نام و فرم ها را چند بار مورد سنجش قرار دهید.
نرم افزار ها را بروز نگهداری کنید: سیستم مدیریت سایت، ماژول ها، کامپوننت ها، پلاگین ها و سایر نرم افزار های مربوط به سایت را بروز نگهدارید.
اعتبار سنجی داده های ورودی در دو سمت کاربر وسرور: قسمت ورود داده و اطلاعات در فرم ها هم در قسمت مدیریت و هم در قسمت مشتریان باید مورد نظارت قرار بگیرند با قرار دادن فیلتر اعتبار سنجی اطلاعات را در مرورگر های اینترنتی و هم در سرور به منظور عدم پذیرش داده های مخرب و بی اعتبار به صورت همزمام باید بررسی شوند.
جلو گیری از حمله SQL injection: این حمله زمانی رخ می دهد که هکری قصد ورود و دسترسی به سایت یا پایگاه اطلاعات سایت شما را دارد واز طریق درگاه های ورودی مانند فرم ورود داده یا کد URL با نوشتن کد SQL می خواهد نفوذ کند.
استفاده ازگذرواژه های مناسب: بهتر است هر از چندگاهی گذرواژه ورود به سایت و یا هاست سایت خود را تغییر دهید. سعی کنید در گذرواژه خود از ترکبیت حروف بزرگ و کوچک و اعداد و نشانه به کار ببرید تا توسط افراد و نرم افزار ها غیر قابل حدس باشد.
اعتبار سنجی در قسمت آپلود فایل: قسمت آپلود فایل راحترین مسیر نفوذ هکر ها به سایت می باشد. در هنگام کد نویسی و طراحی این فرم ها تمام نکات امنیتی را رعایت کنید.
امنیت سرور: سروری که از آن برای میزبانی سایت تان استفاده می کنید یکی دیگر از راه های نفوذ هکر ها می باشد. در هنگام انتخاب، سروری را اتنخاب کنید که ار نرم افزار های Update شده استفاده کند و داراری firewall و پشتیبانی قوی باشد.
استفاده از درگاه SSL: از این پروتکل برای ایمن سازی در هنگام ارسال و دریافت داده ها بین مرورگر ها و سرورها استفاده کنید چرا هکر ها به این داده های مهم که ممکن است شامل حساب های بانکی به همراه گذرواژه هایشان باشد علاقه زیادی نشان می دهند.
BackUp گیری: هر از چندگاهی از سایت خود و پایگاه دادهای سایت یک BackUp تهیه و نگهداری نمایید تا در مواقع ضروری و زمانی که اطلاعات از بین رفتن بتوانید با کمترین هزینه این داده ها را دوباره احیا کنید.
تفاوت http با https در امنيت اطلاعات
از آنجایی که HTTP مخفف Hyper Text Transport Protocol می باشد و به معنی یک پروتکل می باشد و از آن جهت رد و بدل اطلاعات میان سرور و کاربر در زمینه ی طراحی سایت استفاده می باشد . پروتکل ها اغلب متني هستند و نحوه مکالمه بين کلاينت و سرور را تعيين مي کنند . فرق بین HTTP و HTTPS در یک S میباشد که این S مخفف کلمه ی Secure به معنی امن می باشد به عبارتی زمانی که شما در حال تبادل اطلاعات در یک وب سایت می باشید اگر این وب سایت دارای پسوند HTTPS باشد شخص دیگری قادر به استفاده از اطلاعات شما نخواهد بود به عبارتی امنیت HTTPS از HTTP می باشد .
در اینجا این نکته قابل تامل است:
در HTTPS اطلاعات ابتدا به کد تبدیل شده و به سرور ارسال میگردد. سپس این کد در سرور رمز گشایی شده و به زبان قابل فهم بر میگردد . این کار مقداری زمان بر بوده و بنابراین سرعت HTTPS از سرعت HTTP کمتر است همچنین HTTP از Port شماره 80 و HTTPS از Port شماره 443 استفاده می کند .
هنگامی که شما از سایتی بازدید می کنید اگر عبارت HTTP ظاهر شود و شما اطلاعات خود را کرده باشید در برابر امنیت اطالاعات شما هیچ تضمینی وجود ندارد و اطلاعات شما توسط هکرها قابل تغییر خواهد بود .
از آنجایی که امنیت در دنیای مجازی بسیار حائز اهمیت میباشد در وب سایت هایی مانند بانک ها بسیار اهمیت دارد همچنین پروتكل //:https معمولاً براى بانك ها، ايجاد حساب كاربرى و ورود كاربرى به پورتال ها - سرويس دهنده ها پيغام الكترونيكى ،.. خريد اينترنتى و فروشگاه هاى اينترنتى، ورود به صفحات با اطلاعات سرى و مهم و غيره استفاده مى شود .
همچنین بعد از وارد شدن با پروتکل HTTPS، اطلاعاتی در رابطه با امنیت اعمال شده در سایت و گروه ارائه دهنده این امنیت نمایش داده میشود . این اطلاعات معمولا ( در اکثر مرورگر ها ) بصورت قفلی در پایین صفحه موجود بوده و بعد ازکلیک بر روی آن این اطلاعات را مشاهده خواهید کرد .
تعداد از شركت هاى امنيتى مانند Verisign و Goddady اين سرويس را ارائه مى دهند كه جهت تبديل اطلاعات سرورى كه شما به آن متصل شده ايد به اين سرور ها مراجعه مى كند.سود اصلی HTTPS جلوگیری از Sniff کردن اطلاعات هست . یعنی برای مقابله با دزدهای اطلاعاتی که در مسیر قرار می گیرند.سود اصلی HTTPS جلوگیری از Sniff کردن اطلاعات هست . یعنی برای مقابله با دزدهای اطلاعاتی که در مسیر قرار می گیرند.لازم به ذکر است که برای تهیه ی پروتکل HTTPS باید ماهیانه هزینه ای را پرداخت کرد که هزینه یآن بر اساس سرعت اینترنت (512 -256) می باشد که هرچه سرعت بالاتر باشد هزینه ی بیشتری را باید پرداخت کرد .
نکته ی آخر اینکه در هنگام ورود به این سایتها حتما به اطلاعات امنیتی توجه کنید. ممکن است امنیت در کار نبوده و همه اینها با برنامه نویسی سادهای برای شما نمایش داده شود .
وب سایت خود را به SSL مجهز کنید
در یک طراحی سایت که مجهز به گواهی SSL است، تمام اطلاعات تبادل شده میان سرور و مرورگر پیش از ارسال کد گذاری خواهند شد.
برای این کار، گواهی SSL دو کد دارد که کلید نامیده میشوند . کلید امنیتی (private key) منحصراً به سرور میزبان وب سایت اختصاص دارد و کلید عمومی (public key) در دسترس تمام مرورگرها قرار خواهد گرفت. دادههایی که توسط کلید امنیتی رمز گذاری شوند تنها توسط کلید عمومی رمزگشایی شده و بالعکس دادههایی که توسط کلید عمومی رمزگذاری میشوند توسط کلید امنیتی رمزگشایی خواهند شد .
سطح امنیتی که توسط SSL ایجاد میشود به عوامل محدودی از جمله نوع گواهی SSL وب سایت، نوع مرور گر استفاده شده توسط کاربر و قابلیتها و ویژگیهای سرور میزبان بستگی خواهد داشت .
یکی از ویژگیهای گواهی SSL، وجود طیفی از سطح رمزگذاری نظیر «بالاتر از ۲۵۶ بیت» است .
در این بخش مثالی برای مقایسهٔ قدرت رمزگذاری SSL آورده شده است. جالب است بدانید که قدرت SSL صد و بیست و هشت بیتی ۸۸^۲ برابر گواهی SSL چهل بیتی است. به عبارت دیگر تریلیونها بار قویتر است. میتوان گفت که یک سارق اطلاعات (هکر) باید برای شکستن حصار امنیتی یک گواهی SSL ۱۲۸ بیتی و رمز گشایی کدهای آن یک تریلیون سال وقت صرف کند و این زمان برای گواهی SSL ۲۵۶ بیتی بسیار بیشتر خواهد بود .
اگر شما قصد دارید برای افزایش امنیت سایت و طراحی سایت خود را دارید، از گواهی SSL استفاده نمایید، اولین گام، انتخاب یک شرکت ارائه دهندهٔ این خدمت است . شرکتهای ارائه دهندهٔ خدمات SSL بسیار زیاد هستند، اما به یاد داشته باشید که باید بهترین شرکت را از میان آنها انتخاب کنید . شرکتی که دستورالعملهای امنیتی سخت گیرانهای را در پیش میگیرد .
وقتی شما با یک شرکت قرارداد همکاری امضا کردید، این شرکت از شما قبل از صدور گواهی SSL مدارک هویتی و قانونی شرکت یا سایتتان را برای احراز هویت درخواست خواهد کرد. در این بخش هر شرکت ارائه دهنده، مقررات خاص خود را دارد اما معمولاً بسیاری از شرکتهای ارائه دهندهٔ خدمات SSL اسناد ثبت شدهٔ حقوقی و قانونی سایت (شرکت) را درخواست خواهند کرد. برای مثال، شرکت ژئو تراست برای تکمیل مراحل درخواست گواهی و تأیید هویت قانونی محلی و ملی سایت شما، کپی تمام اسناد ثبتی شرکت را به دقت بررسی میکند. این شرکت همچنین اسناد مربوط به ثبت دامنهٔ سایت شما را نیز مورد بررسی قرار میدهد. ژئو تراست به منظور تسهیل فرآیند بررسی برای مشتریانش، این تحقیق را از طریق پایگاههای دادهٔ عمومی انجام میدهد .
فرآیند صدور گواهی SSL توسط CA بسته به نوع و سطح گواهی خریداری شده از چند دقیقه تا چند روز زمان خواهد برد. فرآیند صدور گواهیهای امنتر و قابل اعتمادتر زمان بیشتری خواهد برد، اما انتظار برای دریافت این نوع گواهیها ارزش دارد. به عنوان نمونه، صدور گواهی EV SSL بسیار طولانی است، اما حداکثر امنیت و اعتماد را برای شما مهیا خواهد کرد، به نحوی که کاربران از حضور در سایت شما احساس امنیت خواهند کرد. گواهی EV به دلیل ایجاد فضای امنتر برای تعاملات شما با مشتریان و کاربران، تأثیر بسیار مثبتی روی افزایش سود کسب و کار شما خواهد داشت .
لازم است شما پس از اخذ گواهی، آن را روی وب سرور خود نصب نمایید. هر چند مراحل نصب SSL ساده و روشن است، اما به دلیل نگرانی برخی از خریداران از ایجاد مشکل، برخی از شرکتهای CA به هنگام خرید گواهی، دستورالعمل کاملی برای نصب ارائه میدهند. چگونگی نصب SSL با توجه به نوع سرورها متفاوت است، بنابراین لازم است برای اطمینان بیشتر هر گونه سؤال و ابهامی را با نمایندهٔ CA مطرح کنید .
برخی از شرکتهای CA به خریدارانشان نشانهٔ امنیتی ویژهای ارائه میدهند که خریداران با نشان دادن آن به بازدیدکنندگان سایت به آنها اطمینان میدهند که این سایت توسط گواهی امنیتی SSL محافظت میشود. برای نصب این نشان ویژهٔ امنیتی کافی است که کد مورد نظر را از نمایندهٔ CA دریافت کرده و آن را در بخش Source Code وب سایتتان کپی کنید . اطمینان حاصل کنید که این نشان ویژهٔ امنیتی در سایت شما به ویژه در صفحهٔ اول (home page) برجسته و قابل رؤیت باشد. در صورتی که طراحی سایت شما یک فروشگاه الکترونیک است توصیه میشود این نشان ویژه را در تمامی صفحات سایت از جمله صفحهٔ محصولات و صفحهٔ ویژهٔ خرید الکترونیک نمایش دهید. زمانی که بازدیدکنندگان هولوگرام SSL را در سایت شما مشاهده میکنند، زمان بیشتری را در سایتتان میگذرانند، در خبرنامهٔ شما عضو خواهند شد و خرید بیشتری خواهند کرد. متخصصان توصیه میکنند که این نشان را در بالای صفحهٔ اصلی نمایش دهید. بسیاری از صاحبان وب سایتها این نشان را در تمامی صفحات سایت نمایش میدهند تا امنیت بالای آن را به مشتریان یادآوری کنند .
اهمیت انتخاب درست ارائه دهندهٔ خدمات SSL
بسیاری از کاربران در هنگام بازدید از یک سایت به وجود نشانهای تجاری شرکتهای امنیتی مجازی که در اصطلاح trust marks نامیده میشوند و دال بر ایمنی سایت هستند، توجه ویژهای نشان میدهند. نتیجهٔ یک تحقیق نشان داده است که بیش از ۸۶ درصد خریداران آنلاین ابتدا از وجود و اعتبار این نشان اطمینان حاصل میکنند و سپس با احساس امنیت بیشتری اطلاعات شخصی خود را در اختیار وب سایت قرار میدهند. با توجه به این واقعیت مهم، انتخاب یک ارائه دهندهٔ خدمات SSL مطمئن یکی از مهمترین تصمیمات کسب و کار شما خواهد بود .
تعداد شرکتهای ارائه دهندهٔ گواهی امنیتی SSL بسیار زیاد است، اما تعداد کمی از این شرکتها در سطح جهان از شهرت و اعتبار خوبی برخوردار هستند. لازم است قبل از خرید گواهی SSL دربارهٔ شرکت ارائه دهندهٔ خدمات تحقیق کرده و از حسن شهرت و اعتبار آن اطمینان حاصل نمایید .
همکاری با یک شرکت متخصص در زمینهٔ ارائهٔ گواهی امنیتی SSL به اعتبار سایت شما و اعتماد کاربران به آن کمک قابل توجهی خواهد کرد .
اما در مقابل انتخاب یک ارائه دهندهٔ غیر قابل اعتماد میتواند عواقب جدی و خطرناکی را به دنبال داشته باشد. برای مثال در ۴ آوریل ۲۰۰۹ به دلیل مشکلات فنی شرکت گلوبال ساین، دارندگان گواهی SSL این شرکت با مشکلات و ضررهای زیادی مواجه شدند .
به همین دلیل است که انتخاب درست شرکت ارائه دهندهٔ خدمات SSL امری ضروری قلمداد میشود .
مزایای بهره گیری از گواهیهای SSL
وقتی شما از گواهی SSL استفاده میکنید، این پیام روشن را به کاربرانتان میدهید که ما مراقب ایمنی شما هستیم و سایت ما مورد اعتماد است. با این وجود تمام گواهیهای SSL از لحاظ سطح امنیتی موقعیت یکسانی ندارند. هنگامی که قصد خرید SSL را دارید باید از اعتبار، قابل اعتماد بودن و حسن شهرت شرکت ارائه دهنده اطمینان حاصل فرمایید. توصیه متخصصان به خریداران استفاده از گواهی EV SSL است. بهره گیری از گواهی EV SSL که از شرکت ارائه دهندهٔ معتبری خریداری شده باشد، امنیت و اعتبار سایت شما در فضای مجازی را تضمین خواهد کرد. علاوه بر این موارد گواهی EV SSL کاربران را تشویق میکند تا زمان بیشتری را در سایت شما حضور داشته باشند که این اتفاق به افزایش فروش و در نتیجه به موفقیت طراحی سایت شما منجر خواهد شد .
برای خرید SSL، ارائه دهندهای قابل اعتماد، معتبر و مستقل را انتخاب نمایید. این گواهی باید حداقل سطح رمزگذاریاش ۱۲۸ بیتی باشد، اما به گفتهٔ متخصصان یک حالت خوب برای آن سطح رمزگذاری ۲۵۶ بیتی است. برای حفاظت بهتر از دادهها و اطلاعات، باید SSL به مراکز دادهٔ قوی و سایتهای بازیابی اطلاعات قدرتمند مجهز باشد. از نمونه شرکتهای معتبر در زمینهٔ ارائهٔ گواهی SSL میتوان به KPMG، دلویت و تاچ، ارنست و یانگ و ژئوتراست اشاره کرد .
گواهی SSL در ایران
از آنجایی که گواهیهای امنیتی SSL با واسطه یا بیواسطه باید به یک CA معتبر متصل باشند با توجه به شرایط امروز کشور ما و نیاز سایتهای ایرانی به اخذ این گواهی نامه برای تأمین امنیت کاربران، معمولاً این گواهیها با ۲ یا ۳ واسطه از شرکت CA اصلی خریداری میشود که لازم است در خصوص نوع SSL خریداری شده و اعتبار شرکت اصلی و شرکتهای واسطه تحقیق و ارزیابی دقیقی انجام شود.
ریشه همه مشکلات رمز عبور:بگو نه به کلمات عبور به اشتراک گذاشته شده
تا به حال خیلی شنیده اید که از رمز عبور ساده استفاده نکنید و همیشه سعی کنید رمزهای بزرگ (بالای ده کاراکتر) انتخاب کنید تا برنامه های کامپیوتری رمزشکن نتوانند آن را به راحتی حدس بزنند. اما یک نکته مهمتر برای سازمان ها و گروها مطرح است و آن استفاده از یک رمز عبور برای همه کارها است! به اشتراک گذاری یک رمز عبور مابین تمامی کارکنان، برای مدیریت سیستم، ایده بسیار بدی است. یک رمز عبور میتواند مشکلات بسیاری را به همراه داشته باشد. در این مقاله از طراحی سایت به بیان مطالبی در این باره می پردازیم.
با استفاده از یک رمز عبور کار را به دست شیطان خواهید سپرد و فساد، خرابی و کاهش بهرهوری دست به گریبان شما خواهد بود.
کاربران بد اندیش
یک وضعیت کابوسوار ولی محتمل، کارمند حقهبازی است که از دسترسیهای اصلی سوءاستفاده میکند. این حالت اغلب اتفاق میافتد، ولی درصورت وقوع نتایجش مصیبتبار خواهد بود. ماجرای «تری چایلدز» را نگاه کنید که دسترسی به شبکه گسترده فیبر نوری در سنفرانسیسکو را گرفت. او با ریستکردن رمزهای مدیریتی مسیریابها و سوییچهای سنفرانسیسکو تصمیم داشت که کمی در هزینههای شهر صرفهجویی کند.
میتوانید گزارش تیم آمادگی اضطرار کامپیوتری (cert) را در ماه مه سال ۲۰۰۵ مطالعه کنید که حدود ۵۰ رخداد اینچنینی را در فاصله سالهای ۱۹۹۶ تا ۲۰۰۲ بررسی میکند. توجه داشته باشید که اینها فقط حوادث برجسته که «زیرساخت حیاتی» را تحت تأثیر قرار دادهاست و حوادث «جزئیتر» در سازمانهای با حساسیت کمتر رخ داده است.
اتلاف اطلاعات
همه کارمندان خرابکار نیستند که بخواهند دادههای شرکت را بدزدند یا به سیستمهایش صدمه بزنند. اما بیشتر کارمندان این کار را میکنند و سرانجام شغل را ترک یا پست جدیدی دریافت میکنند. مدیران، رمز عبور اصلی را تغییر میدهند ولی فراموش میکنند که اسناد را روزآمد کنند. اسناد میگویند که هر تعداد سناریویی برای یافتن رمز اصلی استفاده شود، نباید به نتیجه برسد.
بهاشتراک گذاری رمز عبور اصلی برای مدیران یک مساله است و شکلی از مدیریت کاربران مجاز، یک مساله دیگر. بله، میتوانید راههایی برای ریست کردن رمز عبور پیدا کنید، اما موجب اختلال در کارکرد میشود و معمولاً مستلزم در نظر گرفتن یک سیستم آفلاین است. لازم نیست تا بدترین فکرها را دربارة کارمندهایتان بکنید تا متوجه شوید راههای بهتری برای مدیریت دسترسی وجود دارد. فقط در نظر داشته باشید که آنها انسان هستند و تیم مدیریتی که امروز دارید حتماً همانهایی نخواهند بود که شش ماه دیگر دارید.
دسترسی نامحدود
یک مساله دیگر که وجود دارد، این است که برخی از کارکنان با دسترسی super user قادر به انجام کارهای مورد نظر خواهند بود و نیازی به دسترسی مدیر شبکه ندارند.
ممکن است که یکی از اعضای گروه وب نیاز داشته باشد تا برنامه Apache یا MySQL را راهاندازی مجدد کند؛ اما لازم نیست دسترسی کامل به کل سیستم داشته باشد. امکان دارد که بخواهید اعضای گروه قادر باشند تا Apache را راهاندازی مجدد کنند، ولی قادر نباشند تا برنامهای را نصب کنند. شاید مدیر پایگاه داده، دسترسی مدیریتی محدودی لازم داشته باشد، اما مجدداً یادآوری میکنم که ضرورت ندارد تا به کل سیستم دسترسی داشته باشد.
حتی مدیران که باید به تمام سیستم دسترسی داشته باشند، لازم است که که تا حدی پاسخگو باشند. استفاده از رمز عبور اصلی برای انجام کارهای مدیریتی، چندان جالب نیست. با وجود آنکه یافتن فردی که از رمز عبور اصلی سوءاستفاده کرده، ممکن است؛ ولی در عمل، پیچیدهتر از این است و هنوز جای کار برای پیشرفت وجود دارد.
ممیزی و پیروی از سیاست
ممیزی و پیروی از سیاست، یکی از دلایل اصلی برای دوری جستن از برنامه به اشتراک گذاری رمز عبور است. خواه نگران ممیزیهای گوناگون یا قواعد و استانداردها (مانند Sarbanes-Oxley, HIPAA, PCI) باشید یا نه، نشان میدهد که دسترسی شما به حساب مدیر سیستم بسیار مهم است.
همچنین ممکن است بخواهید که دسترسی را ببخشید یا متوجه شوید که هر کسی چهکار کردهاست. مجدداً کنار هم چیدن اطلاعاتی مانند لاگهای سیستم، جایگزین مناسبی برای امکانات حسابرسی واقعی نیست.
راهحلها
بعد از آنکه متوجه شدید به اشتراک گذاری رمز عبور اصلی، ایده بدی است؛ راه حل چیست؟ جواب این سئوال بستگی به منابع، نیازها و اندازة سازمان شما دارد.
برای سازمانهای کوچکتر، یک پیکرهبندی شبههکدی شاید کفایت کند. این راهکار باید شما را از انجام وظایف مدیران مطمئن سازد و اینکه به هیچ اجازه دیگری نیاز نداشته باشند. این مساله به این معنی است که اعطای «تمامی» دسترسیها به مدیر شبکه، در بسیاری از موارد یک راه حل منطقی نیست. (خصوصاً چون میتوان آن رمز عبور را تغییر دهند و برای خودشان رمز جدید ایجاد کنند)
راه حل دیگر، مدیریت کاربران مجاز از طریق برنامههایی مانند Novell’s Privileged User Manager و محصولات شرکتهایی مانند Centrify یا Quocirca است. کدام یک بهتر است؟ پاسخ بستگی زیادی به محیط شخص دارد. تنها قاعده که در مورد همة سازمانها صدق میکند که از زمان بهاشتراک گذاری رمز عبور اصلی مدتها گذشتهاست.
جیمیل به شما پیشنهاد توقف دریافت ایمیلهای اسپم را می دهد
جیمیل به شما پیشنهاد توقف و عدم دریافت ایمیل اسپم به کاربران می دهد و به این صورت دنیای ایمیل مارکتینگ به پایان می رسد
دوباره همه چیز تغییر کرد. جیمیل کار دنیای ایمیلهای اسپم را سخت می کند و ایمیل مارکتینگ ها را محدود می نماید.
این یک شوک برای برخی است خصوصا آنانکه ایمیل های حقیقتا اسپم می فرستادند و کلیدهای عدم دریافت که توسط کاربر می توانست زده شود را مخفی می کردند. آیا انتهای این راه فاجعه ای برای برخی از فرستندگان ایمیل های تبلیغاتی خواهد بود؟ یا آنکه این یک روند جدید و جدا از آن چیزی است که برای اولین بار در سال 2009 دیدیم؟
اگر به 2009 باز گردیم، غول اسپم گوگل -برد تیلور- اعلام کرد که حالا جیمیل روند توقف دریافت ایمیل ها را آسانتر از گذشته کرده است.
از آن زمان شما اگر از ایمیلی که اسپم بود عصبانی می شدید می توانستید (و می توانید!) گزارش آن را به عنوان یک ایمیل اسپم رد کنید. اگر هم می خواستید ایمیل هایی را متوقف کنید، تنها گزینۀ موجود برای عدم دریافت ایمیلهای مزاحم، کلیک کردن بر روی لینکی در انتهای آن ایمیل ها با نام Unsubscribe بود که البته می توانست خطرات خود را نیز داشته باشد.
تعداد از ارسال کنندگان بودند که تلاش می کردند کاربران دریافت کننده را مجبور نکنند و به همین دلیل کار را تا جای ممکن برای این دریافت کنندگان ساده کرده و این امکان را برایشان گذاشته بودند که بتوانند دریافت ایمیل را متوقف کنند. آنان این کار را با درج لینکی مشخص، پر رنگ و قابل توجه در قسمت بالایی قالب پیام ارسالی قرار می دادند. متاسفانه دیگر تعداد این ارسال کنندگان زیاد نیست که از دریافت کنندگان بپرسند که آیا تمایلی به دریافت ایمیل آنان دارند یا خیر.
برد اعلام کرد که ما در آغاز به کار جیمیل به ارسال کنندگان هشدار می دهیم (همانگونه که هاتمیل و امریکن آنلاین و یاهو می دهند). جیمیل حالا این امکان را به کاربرانش می دهد تا ایمیل ناخواسته ای را انتخاب کرده و آن را به عنوان اسپم معرفی و از لیست مخاطبان ارسال کننده حذف کنند.
هر دوی این راه ها مربوط به ایمیل های ارسال کنندگانیست که راه های قانونی تر و محدودتری راه پیش گرفته اند و در قسمت هدر ایمیل هایشان بخش Unsubscribe وجود دارد. این یک راه برای مبارزه و کاهش ایمیل های ناخواسته است.
در اندک زمانی پس از این اعلان، جیمیل برای آن دسته از کاربرانی که قصد توقف دریافت برخی ایمیل ها را بدون کلیک کردن بر روی Unsubscribe را داشتند برایشان امکان پذیر شد بدون آنکه گزارش یک ایمیل را به عنوان ایمیل اسپم به جیمیل گزارش کنند.
در حال حاضر و با آخرین تغییرات به وجود آمده در جیمیل، منهای آنکه کاربران باید کلاه خودشان را نگاه دارند که باد نبرد، اما روند متوقف سازی دریافت ایمیل های ناخواسته به آسانی صورت می گیرد.