اذا كنت من مبرمجين الويب سواء حديثاً او مخضرماً فيجب ان تتعلم كثيراً عن الحماية و الامان في برمجة الويب و هو الجانب الذي يهمله كثير من المبرمج خاصةً العرب بدون فهم لتداعيات اختراق المواقع او الاسباب التي تدفع المخترقين للاستيلاء علي معلومات قد تتخيل انها ليست مهمة ، فدعني اشرح لك اكثر لتتخيل الامر بصورة اوضح
كلمات السر
كلمات السر من اهم و اخطر المعلومات المسجله في موقعك و هي الهدف الاساسي لمعظم المخترقين و العابثين و ذلك لأن اغلبيه المستخدمين على الانترنت يستخدمون كلمة سر واحدة لكل المواقع و البرامج او اثنين او ثلاثة على الاكثر لصعوبة حفظ عدد كبير من كلمات السر فلا شك ان اغلبنا او كلنا يفعل هذه العادة و في الغالب يستغل المخترق هذة القاعدة البسيطه جداً في البحث عن اضعف المواقع و التي تكون انت مشترك بها لمحاولة الاختراق و اذا نجح الاختراق فكل الحسابات اصبحت في خطر لأن كلمة السر واحدة ، فهل ادركت اذا كنت انت صاحب هذا الموقع الغير مؤمن بطريقة احترافيه المسؤلية التي تحملها بدون ان تدري ، انت مسؤل عن امن كل عملائك او الحسابات المفتوحة على اي من المواقع او البرامج التي قمت بتصميمها و قد يؤدي خطأ بسيط جداً في سرقة اموال او انتهاك حرمات او قد تصل الامور الى حدوث اضرار لا يمكن تصورها.
الكثير يتخيل ان بمجرد استخدام اسلوب تشفير بسيط او حتى غير بسيط فقد حقق الحمايه الكاملة لكلمات السر و قد يتخيل انه بمجرد استخدامه للتشفير الاحادي الاتجاه (one way encryption) فقط حقق اعلى درجات الامان و هذه كلها معلومات خاطئة ، فليس معنى انك لاتستطيع فك كلمات السر المشفرة في قواعد بياناتك بأن لا احد آخر يستطيع ، بالعكس هذا معناه ان هناك شخص اكثر علماً و مقدرهً يستطيع. ايضاً المشكلة هي تأمين كلمة السر ليس فقط في قواعد البيانات و لكن يجب ان تفكر في الحمايه من الطرف للطرف (end to end) بمعني هل كلمه السر مؤمنة من بدايه كتابتها و حتى وصولها لقواعد البيانات؟ فكر في كل النقاط التي تمر عليها كلمة السر في الجهاز و الشبكة و اسأل نفسك هذا السؤال دائماً
بياناتك الشخصية
قد لا تتخيل ابداً ان هناك شخص مهتم ببياناتك او بيانات المشتركين في موقعك الشخصية و لكن انتظر ، هل فعلاً هي بيانات غير مهمة؟ و اذا كانت غير مهمة اليوم هل ستكون مهمة غداً؟ فهل اذا اصبحت بعن عده سنين مديراً او وزيراً ، هل ستتغير بياناتك الشخصية مثل تاريخ الميلاد و رقم البطاقة الشخصية او اسمك بالكامل و غيرها؟ بالطبع لا
فالحقيقة ان المبرمجين يتحملون مسؤلية كبيرة قلما رأيت من يدركها ، فلاحظ انك قد تهدد حياه او مصالح الآلاف من البشر او حتى الملايين بمجرد عدم اهتمامك لدراسه تلك المواضيع و التي يتخيل البعض بأنها ثانوية.
اذا نظرت اليوم الى الانترنت فستجد معلومات هائلة متاحة عن اغلب الناس فاذا اردت ان تعرف معلومات لكي تستطيع بها فك كلمة سر او الاتصال ببنك او اي غرض آخر فهناك احتمال كبير ان تجده بسهولة و ان لم تكن كافيه فاختراق المواقع التي يشترك فيها المستخدمين تكون هي المصدر المكمل للمعلومات.
Pingback
by Tweets that mention كيف يمكن للمشاكل الامنية في موقعك ان توثر على حياة الملايين | That's me - LiNuXaWy -- Topsy.com
13 Apr 2010 at 18:13
[...] This post was mentioned on Twitter by AhmedSoliman. AhmedSoliman said: كيف يمكن للمشاكل الامنية في موقعك ان توثر على حياة الملايين http://bit.ly/bIPXTG [...]
by M.M.F
13 Apr 2010 at 18:17
جميل جداا
المشكلة أيضا انك تخاف تثق فى أصحاب المواقع
ممكن اصلا مش بيحفظ الباسوورد مشفرة
و بيستغلها هو !!!
by Sinar
13 Apr 2010 at 20:42
معلومات فعلا قيمه
بس ايه الحلول المفترض اتباعها لتحقيق اكبر قدر من الامان للموقع الخاص بي، وتفادي العيوب المذكورة؟
by Ahmed S. Farghal
14 Apr 2010 at 11:00
المفروض من كل مبرمجين الويب دراسه اصول الامان و التأمين بدقة و التعرف على اساليب الاختراق و كيف يفكر المخترق لكي تستطيع تفادي المشاكل — مع ان هذا صعب للغاية — و حل اخر هو استخدام بيئة او ئframework
تكون مجربة و مدروسه جيداً اثناء التصميم مع ان هذا ايضاً له عيوبة
by Mariam
13 Apr 2010 at 22:50
Ya, security.
by Mahmoud Slamah
14 Apr 2010 at 04:41
بقدر المستطاع نستخدم كلمة سر معقدة,
بأن تحتوى على تجميعة من الرموز و الارقام و الحروف الصغيرة و الكبيرة,
A…Z
a…z
0…9
+-*/.=><@!~$#%^&*…etc
و لا تقل طول كلمة المرور/السر عن ثمانية او عشرة رموز و كلما زادت كلما كان افضل بشرط ان تجمع ما سبق
فى رأى الشخصى المعادلات هى افضل وسيلة للجمع من كل ما سبق فهل تفضلوا المعادلات الرياضية ام المعادلات الكميائية
For example :
1M=100cm & 1kB=2^10B & 1Inch=2.54cm
GNU/Linux#1 …. use your mind
و لا ننسى استخدام كلمة سر مختلفة لكل بريد الكترونى او موقع او ………الخ
اذا كنت تستخدم جنو\لينوكس يمكنك ان تزيد تأمين نظامك اولا بتوعية كل المستخدمين و لا ننسى التعامل مع
as root user : vim /etc/login.defs
go to
PASS_MIN_LEN Minimum acceptable password length.
then
PASS_MIN_LEN 5
change number to 10 or what you prefer
هكذا لن يقبل النظام اى كلمة سر تقل عن الرقم الذى اخترته و ليكن مع العلم ان طول كلمة السر ممكن ان يصل الى 127
Enter the new password (minimum of 10, maximum of 127 characters)
و فى نفس الملف أيضا
#
# Max number of login retries if password is bad
#
LOGIN_RETRIES 2
#
# Max time in seconds for login
#
LOGIN_TIMEOUT 45
#
# Maximum number of attempts to change password if rejected (too easy)
#
PASS_CHANGE_TRIES 5
by Ahmed S. Farghal
14 Apr 2010 at 10:58
شكراً على التعليق
لكن اسمحلي ان اقول انه ليس من العملي مطلقاً ان يكون لك كلمه سر لكل موقع مختلفة عن الاخري فببساطة شديدة سينساها الناس و سيضطر الي كتابه ورقة فيها اسم الموقع و كلمة السر لكي يتمكن من تذكرها و هنا يكون قد اضاع كل المجهود لحمايه كلمات السر عن طريق هذه الورقة
انا في المقال اقصد المبرمجين و ليس المستخدمين و هذا لأن مهما كانت كلمه السر معقدة من ناحية المستخدم فإذا اختُرق الموقع فلن تفيد صعوبة او سهولة كلمة السر
by GNU/Linux beginner
23 Apr 2010 at 10:54
Peace on you السلام عليكم
اسف لأن السؤال خارج عن الموضوع.يمكنك حذفه و الرد على بريدى.. بافتراض ان وقتك يسمح … شكرا
I have question :
Is official books/manuals on redhat Docs
http://www.redhat.com/docs/manuals/enterprise/
suitable for study and gain knowledge ?
I hear redhat courses dependent on instructor /trainer efforts , is this accurate ?
In this case , what the suitable materials contain explanations with details to study from it ?
What the difference between Official courses Books { rh033 , rh131 & rh253 } and red hat official docs
http://www.redhat.com/docs/manuals/enterprise/
+++++++++++
If someone use CentOS / RHEL with manuals to learn then practice , is this equivalent or near from official courses books ? any advice
The idea is try to self study and practice to take RH302 RHCE exam { now i
do not have enough money to take both training then exam but exam only }
Thanks in advance شكرا مقدما
Greetings
by Ahmed S. Farghal
28 Apr 2010 at 21:06
من رأي انك لازم تاخد الكورسات و كتب ريدهات اللي على الموقع دي مش هاتفيدك في الامتحان لأنها مرجع و مش منهج تعليمي
ممكن تحاول تجيب كتب الكورس من اي مكان لكن تظل فكرة الكورس هي الافضل على الاطلاق
by Anonymous
28 Apr 2010 at 20:02
http://loco.ubuntu.com/events/team/108/detail/