elham1388
December 3rd, 2014, 10:25
امنیت وب سایت مسئله ای است که ذهن بسیاری از متخصصان وب را به خود معطوف نموده است و بدین منظور بسیاری از پروتکل ها، سازوکارها در طراحی سایت لحاظ می شود.در اینجا ما تمرکز خود را بر سرویس های امنیتی سایت گذاشته ایم و درصدد این هستیم که با بیان راهنمایی هایی به شما این امکان را دهیم که وب سایت خود را از حملات احتمالی حمایت و کمکی در بهینه سازی سایت خود نمایید.
انتقال محرمانه داده
همه ارتباطات در میان سرویس های وب سایت از ویژگی احراز هویت جلسه بهره میگیرند.در انتقال داده ها و اطلاعات مهم می بایست از رمزگذاری و پیکربندی TLS به خوبی بهره بگیریم. حتی اگر پيام رمزگذاری شده باشد باز هم توصیه می شود که از این پیکربندی استفاده شود.چون SSL/TLS منافع بسياری را در ترافيک داده محرمانه مانند حمایت یکپارچه و اهراز هویت سرورها را شامل می شود.
اهراز هویت سرویس دهنده
SSL/TLS به منظور تایید اهراز هویت سرویس دهنده برای کاربران سرویس بکار گرفته می شود. کاربران سرويس باید اهراز هویت سرویس دهنده که توسط سرور گواهينامه آن صادر شده است را تصدیق کنند و مطمئن شوند که سرویس دهنده تاريخش به انقضا نرسیده باشد و یا لغو نشده باشد و همچنین نام دامین سرور و اثبات اینکه کلید خصوصی مربوط به اين كليد عمومي(با امضای رمزگذاری شده) تطبیق داده شده باشد.
تأیید اعتبار کاربر
تأیید اعتبار کاربر یا تصدیق هويت کاربر، سيستمی ست که تلاش برای اتصال به سرويس را دارد. اين اهراز هویت معمولا توسط وب سرویس انجام می پذیرد.اهراز هویت پایه باید توسط سرویس SSL انجام پذیرد.
کدینگ انتقال
روش کدینگ SOAP وسیله ای برای انتقال داده از نرم افزار به فرمت XML و بالعکس ان می باشد. اجرای این روش کدینگ بین سرور و کاربر نیز باید صورت پذیرد.
صحت پیام
صحت داده ها در حال انتقال به آسانی توسط سرویس SSL/TLS می تواند امکان پذیر شود. استفاده از کلید عمومی، محرمانه رمزگذاری را تضمين می کند اما صحت را تضمین نمیکند زیرا كليد عمومي گيرنده به صورت عمومی در اختیار قرار می گیرد. به همين دليل، رمزگذاری هويت فرستنده را تصدیق نمی کند.
محرمانگی پیام
عناصر داده به منظور محرمانه نگه داشته شدن می بایست توسط رمزگذاری قوی با طول کلید مناسب رمزگذاری شود. این بحث رمزگذاری هنگامی که با داده های حساس روبه رو هستیم باید به صورت قوی تری انجام پذیرد.
تصدیق هویت
خدمات وب نیاز به تصدیق هویت سرویس های وب از سمت سرویس گیرنده می باشد و همین گونه برنامه های کاربردی نیز نیازمند تصدیق هویت کاربران می باشند. يک وب سرويس نياز دارد تا اطمینان حاصل کند که وب سرویس سمت سرویس گیرنده هویتش تصدیق شده است. وب سرويس بايد مشتريان خود را تصدیق هویت کند .در پی تأیید تصدیق هویت، سرویس وب باید بررسی کند که ایا اجازه دسترسی به منبع درخواست شده را دارد.
تضمين دسترسی به مدیریت و عملکردهای مديريتی در برنامه کاربردی وب سرویس، به مدیریت وب سرویس محدود می شود. در حالت مطلوب می بایست توانایی ها و عملکردهای مدیریت به طور کامل از کابران عادی جدا شده باشد.
تایید اعتبار محتوا
مانند تمام کاربری های وب، وب سرویس می بایست محتوای خود را قبل از بکارگیری اعتبار سنجی کند.اعتبارسنجی برای فایل xml موارد زیر را شامل می باشد:
اعتبارسنجی ورودی ها با فرمت خراب xml
اعتبارسنجی در مقابل حملات xml
اعتبارسنجی در مقابل حملات خروجی
سایز پیام
وب سرویس ها مانند برنامه های کاربردی وب می تواند نقطه محرکه ای برای حملات DOS باشد و با فرستادن خودکار هزاران پیام سایز بزرگ در پیام SOAP انجام پذیرد. بدین منظور برای ایجاد امنیت می بایست سایز پیام SOAP به اندازه خاصی محدود شود.
منبع: سرویس های امنیتی در بستر وب سایت (http://www.npco.net/demo/articles/243-%D8%B3%D8%B1%D9%88%DB%8C%D8%B3-%D9%87%D8%A7%DB%8C-%D8%A7%D9%85%D9%86%DB%8C%D8%AA%DB%8C-%D8%AF%D8%B1-%D8%A8%D8%B3%D8%AA%D8%B1-%D9%88%D8%A8-%D8%B3%D8%A7%DB%8C%D8%AA.html)
انتقال محرمانه داده
همه ارتباطات در میان سرویس های وب سایت از ویژگی احراز هویت جلسه بهره میگیرند.در انتقال داده ها و اطلاعات مهم می بایست از رمزگذاری و پیکربندی TLS به خوبی بهره بگیریم. حتی اگر پيام رمزگذاری شده باشد باز هم توصیه می شود که از این پیکربندی استفاده شود.چون SSL/TLS منافع بسياری را در ترافيک داده محرمانه مانند حمایت یکپارچه و اهراز هویت سرورها را شامل می شود.
اهراز هویت سرویس دهنده
SSL/TLS به منظور تایید اهراز هویت سرویس دهنده برای کاربران سرویس بکار گرفته می شود. کاربران سرويس باید اهراز هویت سرویس دهنده که توسط سرور گواهينامه آن صادر شده است را تصدیق کنند و مطمئن شوند که سرویس دهنده تاريخش به انقضا نرسیده باشد و یا لغو نشده باشد و همچنین نام دامین سرور و اثبات اینکه کلید خصوصی مربوط به اين كليد عمومي(با امضای رمزگذاری شده) تطبیق داده شده باشد.
تأیید اعتبار کاربر
تأیید اعتبار کاربر یا تصدیق هويت کاربر، سيستمی ست که تلاش برای اتصال به سرويس را دارد. اين اهراز هویت معمولا توسط وب سرویس انجام می پذیرد.اهراز هویت پایه باید توسط سرویس SSL انجام پذیرد.
کدینگ انتقال
روش کدینگ SOAP وسیله ای برای انتقال داده از نرم افزار به فرمت XML و بالعکس ان می باشد. اجرای این روش کدینگ بین سرور و کاربر نیز باید صورت پذیرد.
صحت پیام
صحت داده ها در حال انتقال به آسانی توسط سرویس SSL/TLS می تواند امکان پذیر شود. استفاده از کلید عمومی، محرمانه رمزگذاری را تضمين می کند اما صحت را تضمین نمیکند زیرا كليد عمومي گيرنده به صورت عمومی در اختیار قرار می گیرد. به همين دليل، رمزگذاری هويت فرستنده را تصدیق نمی کند.
محرمانگی پیام
عناصر داده به منظور محرمانه نگه داشته شدن می بایست توسط رمزگذاری قوی با طول کلید مناسب رمزگذاری شود. این بحث رمزگذاری هنگامی که با داده های حساس روبه رو هستیم باید به صورت قوی تری انجام پذیرد.
تصدیق هویت
خدمات وب نیاز به تصدیق هویت سرویس های وب از سمت سرویس گیرنده می باشد و همین گونه برنامه های کاربردی نیز نیازمند تصدیق هویت کاربران می باشند. يک وب سرويس نياز دارد تا اطمینان حاصل کند که وب سرویس سمت سرویس گیرنده هویتش تصدیق شده است. وب سرويس بايد مشتريان خود را تصدیق هویت کند .در پی تأیید تصدیق هویت، سرویس وب باید بررسی کند که ایا اجازه دسترسی به منبع درخواست شده را دارد.
تضمين دسترسی به مدیریت و عملکردهای مديريتی در برنامه کاربردی وب سرویس، به مدیریت وب سرویس محدود می شود. در حالت مطلوب می بایست توانایی ها و عملکردهای مدیریت به طور کامل از کابران عادی جدا شده باشد.
تایید اعتبار محتوا
مانند تمام کاربری های وب، وب سرویس می بایست محتوای خود را قبل از بکارگیری اعتبار سنجی کند.اعتبارسنجی برای فایل xml موارد زیر را شامل می باشد:
اعتبارسنجی ورودی ها با فرمت خراب xml
اعتبارسنجی در مقابل حملات xml
اعتبارسنجی در مقابل حملات خروجی
سایز پیام
وب سرویس ها مانند برنامه های کاربردی وب می تواند نقطه محرکه ای برای حملات DOS باشد و با فرستادن خودکار هزاران پیام سایز بزرگ در پیام SOAP انجام پذیرد. بدین منظور برای ایجاد امنیت می بایست سایز پیام SOAP به اندازه خاصی محدود شود.
منبع: سرویس های امنیتی در بستر وب سایت (http://www.npco.net/demo/articles/243-%D8%B3%D8%B1%D9%88%DB%8C%D8%B3-%D9%87%D8%A7%DB%8C-%D8%A7%D9%85%D9%86%DB%8C%D8%AA%DB%8C-%D8%AF%D8%B1-%D8%A8%D8%B3%D8%AA%D8%B1-%D9%88%D8%A8-%D8%B3%D8%A7%DB%8C%D8%AA.html)