انجمنصفحه اولجستجوی انجمن

[ele]

سرما خوردگی اگه چیز خوبی بود هر چن وقت یه بار سراغ من نمی اومد

[pioneer01]

بیخیال ....

[Milestone]

(۲۰ شهریور ۱۳۹۶ ۰۷:۱۸ ب.ظ)pioneer01 نوشته شده توسط:  امنیت جوملا و وردپرس و کلا این سیستم های مدیریت محتوا که همه جا استفاده میشه کمتر از اونایی هستند که یک شرکتی میاد جدا برای بعضی سازمان ها درست میکنه ؟!

این بحث امنیت یه مقدار نیازمند توضیح بیشتر هست؛
بحث امنیت تو سیستم‌های تحت وب متن باز مثل یه شمشیر دو لبه‌ست! به صورت پیش‌فرض طبیعتا به همون دلیلی که کاربر Black گفت، با توجه Open Source بودنشون، به جای یک چشم چندین چشم داریم، ولی لزوما همه این چشم‌ها چشم‌های پاکی نیستند! هرچند این جنبه ماجرا بیشتر مزیت هست تا عیب اما باید اون سمت ماجرا رو هم در نظر گرفت که این کد در دسترس و قابل بررسی توسط همه هست و یکی از دلایل انتشار کوتاه‌مدت آپدیت‌های سیستم‌هایی نظیر وردپرس هم رفع همین باگ‌های متعدد گزارش شده از سوی کاربران هست.

اما فراتر از بحث بالا و حتی با در نظر گرفتن ضریب امنیتی صد در صد کدهای خام ارائه شده توسط توسعه‌دهنگان سیستم‌هایی نظیر وردپرس، جوملا، دروپال و... بحث اصلی و محوری در برقراری امنیت پایدار، نحوه کاربری از این کدها و چگونگی کانفیگ امنیتی‌شون در ترکیب با بانک‌های اطلاعاتی هست، یعنی اینطور نیست که حتی اگه بدونیم این سیستم‌ها به صورت پیش‌فرض از امنیت بالایی برخوردارند، بسته دریافتی و پیاده‌سازی شده توسط ما هم لزوما از بالاترین امنیت برخورداره! برقراری خیلی از پارامترهای امنیتی بسته به مجری یا مجریان اون پروژه و توانایی اون‌ها در ست کردن پارامترهای امنیتی داره، در واقع اینطور بگم که یه فرد می‌تونه همین الان بدون هیچ دانشی و صرفا توسط یک جستجوی کوچیک سیستمی نظیر وردپرس رو تو ۱۰ دقیقه پیاده‌سازی کنه، یکی ۵ ساله این کار رو می‌کنه و یکی هم ۱۰ سال، اما آیا همه این سیستم‌ها که دقیقا توسط یک بسته کد مشخص اجرا شدند، از ضریب امنیتی یکسانی برخوردارند؟ به هیچ وجه اینطور نیست.

برای مثال می‌خوام به بدیهی‌ترین موارد ممکن اشاره کنم که از مهم‌ترین موارد هم هستند. شما زمانی‌که سیستمی مثل وردپرس رو نصب می‌کنید، چند پارامتر به صورت پیش‌فرض یا پیشنهادی برای شما وجود داره:

Default Username: Admin
Default Password Strength: Low
Default ID Number: 1
Default Login Page:
مهمان عزیز شما قادر به مشاهده پیوندهای انجمن مانشت نمی‌باشید. جهت مشاهده پیوندها ثبت نام کنید.

در اختیار داشتن هر کدوم از مقادیر بالا که متاسفانه غالبا هم (خصوصا توسط تازه‌کارها) به همین شکل رها می‌شن، یعنی یک قدم خیلی بزرگ به سمت نفوذ، یعنی مثلا شما وقتی Username رو داشته باشی، دیگه بحث شمارش حالات ممکن (ریاضیات گسسته) رو روی Password متمرکز می‌کنی، حالا اگه همین Password هم به جای چهار مولفه‌ای بودن (مولفه ۱: حروف کوچک، مولفه ۲: حروف بزرگ، مولفه ۳: اعداد و مولفه ۴: نمادها) مثل MiliLa$90am#9026*a90%TLX ، تک مولفه‌ای و صرفا عددی باشه، دیگه پیدا کردنش توسط یک ربات کار سختی نیست. از طرف دیگه ست کردن سطوح دسترسی به فایل‌ها (File Permission)، چگونگی برخورد با حملاتی مثل DDOS ، تعریف مکانیسمی برای بلاک کردن IP های متخاصم، استفاده از پروتکل SSL و خیلی از موارد دیگه وابسته به مجری هست و این نوع سیستم‌ها هیچ اقدامی برای شما انجام نمی‌دن، هرچند که با استفاده از افزونه‌ها یا پلاگین‌هایی که براشون نوشته شده می‌شه تا حدی این مسیر رو هموار کرد اما در موارد پیشرفته، نیاز به نیروی انسانی متخصص برای اعمال این تنظیمات و خصوصا رهگیری حملات و صدمات، یک امر اجتناب‌ناپذیر هست.

نکته دیگه اینکه، تا الان تمام صحبت‌های ما روی سیستم مدیریت محتوا یا همون هسته قابل دانلود متمرکز بود اما همونطور که در جریان هستید، لازمه برپاسازی یک وب‌سایت کامل در چنین سیستم‌هایی، در کنار هم قرار گرفتن هسته به عنوان بخش عملکردی و پوسته به عنوان بخش بصری و برقرار کننده ارتباط با کاربر هست، در واقع برنامه‌نویسی امن پوسته هم یک بخش غیرقابل اجتناب هست که خب این هم هیچ ارتباطی به سیستمی متن‌باز نظیر وردپرس یا پرستاشاپ نداره، یعنی طراح پوسته باید این رو در نظر داشته باشه، پس می‌بینیم که حتی ایمنی صد در صدی هسته خام یک CMS و کانفیک کامل اون هم دلیلی بر امنیت تضمین‌شده یک وب‌سایت نیست.

(۲۰ شهریور ۱۳۹۶ ۰۸:۰۲ ب.ظ)pioneer01 نوشته شده توسط:  پس چرا بعضی سازمان ها که خیلی مهمه که سایتشون بالا باشه از این سیستم ها استفاده می کنن و هزینه هم پرداخت می کنن ؟
من ازشون پرسیدم گفتن امنیتش بالاتره
من میخام بدونم واقعا امنیت اینا بالاتر از اوناس ؟

همونطور که می‌دونید و درس مهندسی نرم‌افزار رو خوندید، نگهداری یا پشتیبانی آخرین مرحله فرآیند تولید نرم‌افزار هست و بسته به متدولوژی مورد استفاده در توسعه اون نرم‌افزار، یکی از تنهاترین مراحل مانا و فعال تا آخر عمر اون نرم‌افزار به حساب میاد. فارغ از اینکه سیستم پیاده شده به صورت Open Source باشه یا نباشه و اینکه خودمون نوشته باشیم یا پکیج‌های پیش‌ساخته استفاده کرده باشیم، نرم‌افزار ما خصوصا اگه از نوع مبتنی بر وب باشه و در معرض دسترسی و نفوذ، نیازمند انواع مدل‌های نگهداری (اصلاحی، تطبیقی، پیش‌گیرانه و مهندسی مجدد) تا زمان بقای خودش هست، اصلاحی از این دید که بتونیم مشکلات و باگ‌هاش رو ترمیم و اصلاح کنیم، تطبیق از این نظر که در طی زمان (مثلا وقتی نسخه جدیدی از یک زبان مثل PHP یا تکنولوژی عرضه شد) نیاز به تطبیق نرم‌افزار خودمون با شرایط جدید رو داشته باشیم، پیش‌گیرانه از این نظر که با توجه به پیش‌بینی‌ها، تجریبات باقی وب‌سایت‌ها و به صورت کلی برآیندی که از فضای وب داریم بتونیم اقدامات لازم و واکنشی رو تعبیه کنیم و مهندسی مجدد از این نظر که اگه لازم شد و مثلا هزینه‌های توسعه نرم‌افزار در بستر قبلی بالا رفت یا دیگه توان وصله و پینه رو نداشت، نرم‌افزار رو در یک چارچوب بهتر به نوعی بازطراحی کنیم.

طبیعتا نظارت و کنترل روی این روند که قطعا بخش زیادی از اون توسط نیروی انسانی انجام می‌شه، نیازمند هزینه هست، البته میزان اهمیت دادن به مبحث امنیت و ضربه نخوردن به اعتبار برند و از دست رفته داده‌ها، محرمانگی و... ناشی از مشکلات امنیتی وابسته به تصمیم صاحبان اون سیستم هست.

برای مثال پورتال تحت وب یکی از بانک‌های کشور که دارای سیستم اختصاصی هست رو در نظر بگیرید، شاید بگیم خب، کی جرات داره تو ایران با وجود پلیس فتا و... به سایت یک بانک حمله کنه یا اصلا چه انگیزه‌ای برای حمله از کشورهای خارجی بهش هست، پس بر اساس همین امر بیایم و روی امنیت سرمایه‌گذاری زیادی نکنیم، اما مهم‌ترین موضوعی که باعث می‌شه سرمایه‌های زیادی روی این قضیه انجام بگیره اینه که اگه فقط ده ثانیه وب‌سایت یک بانک هک بشه و به تبع اون تو تراکنش‌ها اختلالی به وجود بیاد، علاوه بر ضرر مالی، هزینه‌های تخریب وجهه و برندش به مراتب و فوق‌العاده بیشتر از هزینه‌هایی هست که باید صرف امنیت خودش می‌کرد. از طرف دیگه وب‌سایت‌هایی که توسط سیستم‌هایی مثل وردپرس پیاده شدند (امثال CNN و...) هم مشمول همین قواعد هستند و به صورت کلی نمی‌تونیم صرفا با در نظر گرفتن سیستم‌های تمام اختصاصی و غیراختصاصی در مورد امنیت اون‌ها به صورت دقیق اظهار نظر کنیم، بلکه باید به مکانسیم‌های امنیتی اون‌ها توجه کرد، از همین نظر شما ممکنه بتونید یک سیستم پیچیده و اختصاصی و دارای داده‌های مهم رو هک کنید اما توان هک کردن یک وب‌لاگ ساخته شده با وردپرس رو هم نداشته باشید.

[pioneer01]

(۲۱ شهریور ۱۳۹۶ ۱۲:۲۹ ق.ظ)Milestone نوشته شده توسط:  این بحث امنیت ...

یه برنامه بود قبلنا تو برنامه کودک به اسم " استاد همه چی دون " توضیحات شما رو خوندم یاد اون برنامه افتادم
خیلی ممنون از توضیحات جامع شما

[Milestone]

امروز رفتم یه سیم‌کارت همراه اول اعتباری با قیمت ۵/۰۰۰ خریدم که از شانس من شماره رُندی هم بود! همون اول که فعال شد ۵۰۰۰ اعتبار داخلی + ۸۰۰ مگ اینترنت هدیه داد، خب تا اینجا که پول خود سیم‌کارت دراومد! از اون مهم‌تر اما بعد از اینکه طبق شرایط جشنواره ۱۰/۰۰۰ شارژش کردم، بهم ۱۰۰۰ دقیقه مکالمه + ۱۰۰۰ تا پیامک و از همه مهم‌تر ۱۰۰۰ گیگ اینترنت هدیه داد! (همگی با محدودیت استفاده در یک هفته). الان دقیقا احساس می‌کنم تو بهشتم! چون دارم همه فایل‌هایی که واسه دانلود تو آرشیو گذاشته بودم رو با سرعت نزدیک دو مگ دانلود می‌کنم! ولی خب نهایتا ۱۰۰ گیگ بشه! نمی‌دونم ۹۰۰ گیگ بقیه رو چی‌کار کنم! شاید هم وقف عام (همسایگان و رهگذران) کردم!

پی‌نوشت: این کار از همراه اول عجیب بود، فرصت خوبیه، استفاده کنید!

(۲۱ شهریور ۱۳۹۶ ۱۲:۵۷ ق.ظ)pioneer01 نوشته شده توسط:  یه برنامه بود قبلنا تو برنامه کودک به اسم " استاد همه چی دون " توضیحات شما رو خوندم یاد اون برنامه افتادم

همه‌چیزدون بودن (=آچارفرانسه) خیلی چیز ترسناک و خطرناکیه! من ترجیح می‌دم با خوندن توضیحاتم یاد دیجی‌مون یا حتی پوکی‌مون بیفتید تا استاد همه‌چیزدون! )))

[blackhalo1989]

(۲۰ شهریور ۱۳۹۶ ۰۹:۵۱ ب.ظ)The BesT نوشته شده توسط:  جدیدا ها حسی به زندگی ندارم. به هدفهایی که دارم و فکر میکنم بهشون میدونم میرسم. سخته رسیدن بهشون و تلاش بسیار میخواد ولی بالاخره میرسم بهشون. ولی اون چیزی که خسته ام کرده نبودن اون کسی هست که باید باشه و نیست !!! آخه لامصب نمیدونم هم کی هست ولی فقط میدونم نیستش! چرا خب؟؟؟ آخه چرا؟؟؟؟ چقدر خوب بود آدم از این دلخوشی ها تو زندگی داشت. دیگه غمی در زندگی بود اونوقت ؟؟؟ دلخوشیهامون شده یک مشت کتاب و مقاله و مزخرفیات اینجوری. خب که چی بشه آخه؟

البته اینکه آدم فکر کنه که اون آدم کیه و الان در چه حاله هم هیجان انگیزه.
حتی تصور کردنش هم جالبه. یه نقطه سیاه بزرگ تو رویاها.

[Doctorwho]

(۱۶ شهریور ۱۳۹۶ ۰۲:۵۵ ب.ظ)sss نوشته شده توسط:  

(16 شهریور ۱۳۹۶ ۰۲:۵۰ ب.ظ)WILL نوشته شده توسط:  

(16 شهریور ۱۳۹۶ ۰۲:۴۸ ب.ظ)sss نوشته شده توسط:  

(15 شهریور ۱۳۹۶ ۰۳:۳۳ ب.ظ)Milestone نوشته شده توسط:  یک نکته جالب تو سیر زندگی عقاب وجود داره که دوست داشتم بهش اشاره کنم؛
عقاب پرنده‌ای هست که به صورت عادی ۴۰ سال عمر می‌کنه؛ نکته شگفت‌انگیز در طی زندگی عقاب اینه که در طول دهه چهارم عمرش و زمانی‌که حدودا به سن ۴۰ سالگی نزدیک می‌شه فرآیند عجیب و سختی براش رخ می‌ده که این فرآیند شگفت‌انگیز می‌تونه برای هر انسان هوشمندی یک نقطه عطف و در واقع الهام‌بخش باشه:
......

به عنوان تمثیل و افسانه خیلی جالبه. اون مستند رو دیدم ولی چیزی ندیدم که این مطلب رو تایید کنه.

مهمان عزیز شما قادر به مشاهده پیوندهای انجمن مانشت نمی‌باشید. جهت مشاهده پیوندها ثبت نام کنید.
و
مهمان عزیز شما قادر به مشاهده پیوندهای انجمن مانشت نمی‌باشید. جهت مشاهده پیوندها ثبت نام کنید.
رو هم بخونید.

در مثل مناقشه نیست،‌ منظور دوستمون و کسانی که این موضوع رو گفتند اینه که یه جاهایی باید تغییر کرد تا بتونی به زندگی ادامه بدی

بله من هم همین رو گفتم که تمثیل جالبیه ولی زیاد دیدم که تمثیل هایی از این دست رو با واقعیت اشتباه گرفتن.

---

(۱۶ شهریور ۱۳۹۶ ۰۲:۵۵ ب.ظ)blackhalo1989 نوشته شده توسط:  

(16 شهریور ۱۳۹۶ ۰۲:۴۸ ب.ظ)sss نوشته شده توسط:  به عنوان تمثیل و افسانه خیلی جالبه. اون مستند رو دیدم ولی چیزی ندیدم که این مطلب رو تایید کنه.

مهمان عزیز شما قادر به مشاهده پیوندهای انجمن مانشت نمی‌باشید. جهت مشاهده پیوندها ثبت نام کنید.
و
مهمان عزیز شما قادر به مشاهده پیوندهای انجمن مانشت نمی‌باشید. جهت مشاهده پیوندها ثبت نام کنید.
رو هم بخونید.

بیشتر اینجور مطالبی که تو تلگرام دیدم واقعی نبوده.
شبکه های اجتماعی شده پایگاهی از پراکندن مطالب و اخبار دروغ و غیر موثق. اوضاع بدی شده. مساله منحصر به ایران هم نیست نمونه اش انتخابات ریاست جمهوری اخیر آمریکا.

کتاب دانش و شبه دانش ترجمه پرویز شهریاری با این که ۲۰ سال از چاپش میگذره ولی هنوز هم میتونه مفید باشه. اگر تمایز اطلاعات و دانش رو بتونیم درک کنیم، این مسایل حل میشه.

سلام و درود امکانش هستش لینک دانلود کتاب دانش و شبه دانش اقای شهریاری را قرار بدهید ؟ گشتم متاسفانه چنین کتابی نیستش ممنونم

[sss]

(۲۱ شهریور ۱۳۹۶ ۰۳:۵۵ ق.ظ)Doctorwho نوشته شده توسط:  سلام و درود امکانش هستش لینک دانلود کتاب دانش و شبه دانش اقای شهریاری را قرار بدهید ؟ گشتم متاسفانه چنین کتابی نیستش ممنونم

سلام من کتاب رو از کتابخونه امانت گرفته بودم.
مهمان عزیز شما قادر به مشاهده پیوندهای انجمن مانشت نمی‌باشید. جهت مشاهده پیوندها ثبت نام کنید.
میتونید نزدیک ترین جایی که کتاب رو دارن ببینید. البته اشکالی که داره کتاب واحد رو ۴ حالت متفاوت فهرست کردن. همه رو چک کنید.

[The BesT]

(۲۱ شهریور ۱۳۹۶ ۰۳:۱۴ ق.ظ)blackhalo1989 نوشته شده توسط:  

(20 شهریور ۱۳۹۶ ۰۹:۵۱ ب.ظ)The BesT نوشته شده توسط:  جدیدا ها حسی به زندگی ندارم. به هدفهایی که دارم و فکر میکنم بهشون میدونم میرسم. سخته رسیدن بهشون و تلاش بسیار میخواد ولی بالاخره میرسم بهشون. ولی اون چیزی که خسته ام کرده نبودن اون کسی هست که باید باشه و نیست !!! آخه لامصب نمیدونم هم کی هست ولی فقط میدونم نیستش! چرا خب؟؟؟ آخه چرا؟؟؟؟ چقدر خوب بود آدم از این دلخوشی ها تو زندگی داشت. دیگه غمی در زندگی بود اونوقت ؟؟؟ دلخوشیهامون شده یک مشت کتاب و مقاله و مزخرفیات اینجوری. خب که چی بشه آخه؟

البته اینکه آدم فکر کنه که اون آدم کیه و الان در چه حاله هم هیجان انگیزه.
حتی تصور کردنش هم جالبه. یه نقطه سیاه بزرگ تو رویاها.

اینکه دیگه خیلی عالیه. اینکه فکر کنی اون آدم کی هست خیلی خوبه حتی تو خیالات هم باهاش زندگی کرد! به قول یکی دوستام اینقدر تو خیالم با فرد مورد نظرم حرف زدم که تو عالم واقعی اینقدر فرصت نمیشه باهاش حرف بزنم! حتی شده گاهی برای همدیگه هم جوک تعریف کردیم و خندیدیم. این دیگه اوج توهمات هست خخخ ولی خب خدا نصیب همه بکنه خیلی توهمات باحالیه که جوونهامون دچار شدن خخخ

متاسفانه یا خوشبختانه یه مساله که من دیدم اینکه کسانیکه میخوان به کسی فکر کنن و براشون فراهم نیست بهترین حالت که بهش دیگه رضایت میدن چک کردن آخرین زمان بازدید طرف تو تلگرام هست. ببینید جوونهامون دیگه به چی قانع شدن!
حالا فکر کنید دارید یواشکی اخرین زمان بازدید طرف را چک میکنید یکهو براتون بنویسه is typying....
خداوکیلی هیچان انگیزتر از این واقعه در طول تاریخ ثبت شده؟؟؟
خدا همه را به راه راست هدایت کنه

[crevice]

(۲۰ شهریور ۱۳۹۶ ۰۹:۵۱ ب.ظ)The BesT نوشته شده توسط:  جدیدا ها حسی به زندگی ندارم. به هدفهایی که دارم و فکر میکنم بهشون میدونم میرسم. سخته رسیدن بهشون و تلاش بسیار میخواد ولی بالاخره میرسم بهشون. ولی اون چیزی که خسته ام کرده نبودن اون کسی هست که باید باشه و نیست !!! آخه لامصب نمیدونم هم کی هست ولی فقط میدونم نیستش! چرا خب؟؟؟ آخه چرا؟؟؟؟ چقدر خوب بود آدم از این دلخوشی ها تو زندگی داشت. دیگه غمی در زندگی بود اونوقت ؟؟؟ دلخوشیهامون شده یک مشت کتاب و مقاله و مزخرفیات اینجوری. خب که چی بشه آخه؟

جدیدا خیلی از جوونها ان حس رو دارن. ولی بیشتر تحصیل کرده ها گرفتارشن..
میگن مونده از ... و رونده از ... . دقیقا واسه خیلی از ماها که مسیر به نسبت "سخت تری" رو برای موفقیت انتخاب کردیم، مصداق پیدا میکنه. اما خبر خوب اینه که هیچ چیزی توی این دنیا کامل نیست و اساس شگفتی و جذابیت این دنیام همینه.
از اونجایی که فکر کنم بتونم حدس بزنم هدفتونن چیه ; ) به نظرم این افکار و ... عادیه توی این مسیر و شک نکنید و ادامه بدید البته سعی کنین تک بعدی هم جلو نرید. از این ستون به اون ستون فرجه.. بعضی وقتا از جایی انسان به اون چیزی توی قلب و یا مغزشه میرسه که با هیچ منطقی نمیشه پیش بینیش کرد.

[blackhalo1989]

(۲۱ شهریور ۱۳۹۶ ۱۰:۱۵ ق.ظ)The BesT نوشته شده توسط:  اینکه دیگه خیلی عالیه. اینکه فکر کنی اون آدم کی هست خیلی خوبه حتی تو خیالات هم باهاش زندگی کرد! به قول یکی دوستام اینقدر تو خیالم با فرد مورد نظرم حرف زدم که تو عالم واقعی اینقدر فرصت نمیشه باهاش حرف بزنم! حتی شده گاهی برای همدیگه هم جوک تعریف کردیم و خندیدیم. این دیگه اوج توهمات هست خخخ ولی خب خدا نصیب همه بکنه خیلی توهمات باحالیه که جوونهامون دچار شدن خخخ

اون دیگه خیلی پیشرفته بوده!

(۲۱ شهریور ۱۳۹۶ ۱۰:۱۵ ق.ظ)The BesT نوشته شده توسط:  متاسفانه یا خوشبختانه یه مساله که من دیدم اینکه کسانیکه میخوان به کسی فکر کنن و براشون فراهم نیست بهترین حالت که بهش دیگه رضایت میدن چک کردن آخرین زمان بازدید طرف تو تلگرام هست. ببینید جوونهامون دیگه به چی قانع شدن!
حالا فکر کنید دارید یواشکی اخرین زمان بازدید طرف را چک میکنید یکهو براتون بنویسه is typying....
خداوکیلی هیچان انگیزتر از این واقعه در طول تاریخ ثبت شده؟؟؟
خدا همه را به راه راست هدایت کنه

این برای کسیه که کسی مد نظرش باشه، نه ما!

---

(۲۰ شهریور ۱۳۹۶ ۰۸:۰۲ ب.ظ)pioneer01 نوشته شده توسط:  شاید شما می گفتین آبجی

نه من چیزی نمی گفتم.

[sss]

آرزو میکنم کراشِ کراشتون باشین

[RASPINA]

اینو یه جا خوندم جالب بود:
-امروز رئیسم با لامبورگینى جدیدش اومد.
بهش گفتم ایول عجب ماشین خفنى !

رئیسم گفت:

اگه سخت کار کنى ، تمام وقت کار کنى ، تمام تلاشتو بکنى ، سال دیگه من یکى دیگه هم میخرم! ?

[pioneer01]

.......

[khayyam]

در جهت ادامه بحث ازدواج ...


چرا مهریه رو ۱۲ سکه قبول نمی کنید !؟

در ادامه شاهد پر شدن صفحه خواهیم بود