آقای شاهپیری میگن امنیت رو نباید در پنهان کردن لینک داخل سورس برنامه بدونیم و باید هرکاربری یه اکانت داشته باشه و کل کارها برحسب همون اکانت انجام بشه. حالا اگر طرف خواست بره لینک رو از طریق دیکامپایل بدست بیاره، چه فرقی میکنه کارهای خودش رو از طریق اپلیکیشن انجام بده یا بره از طریق مرورگر انجام بده!
خب چندتا سوال در این رابطه داشتم:
1- طرف اول برنامه قراره اکانت بسازه درسته؟ به عنوان مثال ماهم قراره با شماره همراه اکانت رو وریفای کنیم. حالا یه فردی بیاد لینک ثبت نام رو استخراج کنه و مثلا با پایتون یا هر زبان دیگه بیاد به اون لینک در ثانیه هزاران ریکوئست بفرسته و هربار یه شماره رندوم بهش بده خب کل اعتبار پنل پیامکی من تموم میشه و من بیخود و بی جهت کلی ضرر میکنم! شاید بگید ip رو چک کنید که اگه مثلا در عرض یک ساعت بیشتر از 5 ریکوئست داد دیگه به اون ip جواب نده! اما اون فرد ممکنه روی برنامه ای که نوشته یه پ * ر * و * ک *س * ی هم سوار کنه و ip رو هر چند ثانیه تغییر بده!
2- کلا این برنامه چطور باید کار کنه؟ مثلا همین اینستارو در نظر بگیرید. کاربر میخواد دوستش رو فالو کنه هر سری نام کاربری و رمز عبورش از طریق GET یا POST باید به سرور ارسال بشه و صحتش چک بشه؟ یا باید هنگام ورود به برنامه سشن بزنیم؟
3- هرکاری که بخوایم انجام بدیم به هرحال باید رمز عبور و یوزرنیم و یه سری اطلاعات دیگه داخل گوشی طرف سیو بشه سوالم اینه با توجه به اینکه این موارد رو خود کاربر میدونه باید رمزنگاری شده سیو بشه؟ چرا؟ اگر بله با چه کلیدی باید رمزنگاری کنیم؟ کلید رو که داخل سورس بصورت استرینگ بنویسیم یا از سرور بگیریم یا هرکاری کنیم که به دست میارن!
یه سوال دیگه هم داشتم زیاد به موضوع تاپیک ربطی نداره ولی همینجا میپرسم:
بعد خرید یه سرور مجازی یا اختصاصی و بعد اینکه فایل های لازم رو روی سرور اجرا کردیم باید دقیقا چیکار کنیم؟ بعد اجرا سرور رو همونجوری رهاش میکنیم و از ریموت دسکتاپ کانکشن بیرون میریم؟ حتی اگه کل نکات امنیتی رو از لحاظ برنامه نویسی در سمت سرور رعایت کرده باشیم، ممکنه خود سرور رو هک کنن؟ یعنی خود اون کامپیوتر رو؟ اگر بله چطوری باید جلوش رو گرفت؟
سوال
امیرحسین قاسمی 607
با سلام و احترام،
آقای شاهپیری میگن امنیت رو نباید در پنهان کردن لینک داخل سورس برنامه بدونیم و باید هرکاربری یه اکانت داشته باشه و کل کارها برحسب همون اکانت انجام بشه. حالا اگر طرف خواست بره لینک رو از طریق دیکامپایل بدست بیاره، چه فرقی میکنه کارهای خودش رو از طریق اپلیکیشن انجام بده یا بره از طریق مرورگر انجام بده!
خب چندتا سوال در این رابطه داشتم:
1- طرف اول برنامه قراره اکانت بسازه درسته؟ به عنوان مثال ماهم قراره با شماره همراه اکانت رو وریفای کنیم. حالا یه فردی بیاد لینک ثبت نام رو استخراج کنه و مثلا با پایتون یا هر زبان دیگه بیاد به اون لینک در ثانیه هزاران ریکوئست بفرسته و هربار یه شماره رندوم بهش بده خب کل اعتبار پنل پیامکی من تموم میشه و من بیخود و بی جهت کلی ضرر میکنم! شاید بگید ip رو چک کنید که اگه مثلا در عرض یک ساعت بیشتر از 5 ریکوئست داد دیگه به اون ip جواب نده! اما اون فرد ممکنه روی برنامه ای که نوشته یه پ * ر * و * ک *س * ی هم سوار کنه و ip رو هر چند ثانیه تغییر بده!
2- کلا این برنامه چطور باید کار کنه؟ مثلا همین اینستارو در نظر بگیرید. کاربر میخواد دوستش رو فالو کنه هر سری نام کاربری و رمز عبورش از طریق GET یا POST باید به سرور ارسال بشه و صحتش چک بشه؟ یا باید هنگام ورود به برنامه سشن بزنیم؟
3- هرکاری که بخوایم انجام بدیم به هرحال باید رمز عبور و یوزرنیم و یه سری اطلاعات دیگه داخل گوشی طرف سیو بشه سوالم اینه با توجه به اینکه این موارد رو خود کاربر میدونه باید رمزنگاری شده سیو بشه؟ چرا؟ اگر بله با چه کلیدی باید رمزنگاری کنیم؟ کلید رو که داخل سورس بصورت استرینگ بنویسیم یا از سرور بگیریم یا هرکاری کنیم که به دست میارن!
یه سوال دیگه هم داشتم زیاد به موضوع تاپیک ربطی نداره ولی همینجا میپرسم:
بعد خرید یه سرور مجازی یا اختصاصی و بعد اینکه فایل های لازم رو روی سرور اجرا کردیم باید دقیقا چیکار کنیم؟ بعد اجرا سرور رو همونجوری رهاش میکنیم و از ریموت دسکتاپ کانکشن بیرون میریم؟ حتی اگه کل نکات امنیتی رو از لحاظ برنامه نویسی در سمت سرور رعایت کرده باشیم، ممکنه خود سرور رو هک کنن؟ یعنی خود اون کامپیوتر رو؟ اگر بله چطوری باید جلوش رو گرفت؟
لینک ارسال
به اشتراک گذاری در سایت های دیگر
3 پاسخ به این سوال تاکنون داده شده است
ارسالهای توصیه شده
بایگانی شده
این موضوع بایگانی و قفل شده و دیگر امکان ارسال پاسخ نیست.