امروزه مرورگرها از تکنیکی به نام(ssl (secure socket layerاستفاده می کنند تا اطلاعاتی را که بین مرورگر شما و وب سرور مبادله می شود، رمزنگاری کنند. هنگامی که علامت «قفل» در گوشه پایین مرورگر نمایش داده می شود، به این معنی است که مرورگر ارتباط رمزشده امن با سرور برقرار کرده است و لذا ارسال دیتای حساس مانند شماره کارت اعتباری امن است. اما آیا واقعا این سیستم امن است و می توان از این طریق با اطمینان تراکنشهای حساس مالی را رد و بدل کرد؟ پاسخ این است که ssl فقط ارتباط بین مرورگر شما و وب سرور را امن می کند و برای محافظت از اطلاعات شما در آن سرور کاری انجام نمی دهد. در شرکت های بزرگ که می توانند سرورها و خطوط ارتباطی با ظرفیت های بالا را اختصاصی و برای ارتباط مستقیم تهیه کنند، تا جایی که شما بتوانید به شرکت اعتماد کنید، مشکلی ایجاد نخواهد شد. اما بسیاری از شرکت های کوچک تر توانایی تهیه سرور اختصاصی را ندارند. آنها از «میزبانی شخص ثالث» استفاده می کنند و این جایی است که عدم امنیت بوجود می آید. شما مجبورید به میزبانی که هیچ شناختی از آن ندارید، اطمینان کنید و به ایمن بودن نحوه دریافت اطلاعاتتان از آن میزبان توسط شرکت مورد نظرتان اعتماد کنید. اما تضمینی برای ایمن بودن این ارتباط نیست! بیشتر میزبان های وب برای کلاینت های خود یک برنامه (cgi (common gateway interface ارائه می دهند که formmail نام دارد. آنچه که این برنامه انجام می دهد این است که محتوای یک فرم اینترنتی را، مانند فرمی که شما اطلاعات کارت اعتباری خود را در آن قرار می دهید، می گیرد و از طریق ایمیل به شرکت ارسال می کند. برای این ایمیل نه محافظتی وجود دارد و نه رمزنگاری صورت می گیرد. آنچه که اتفاق می افتد این است که شرکتی که شما از آن خرید می کنید، ظاهری امن به خود می گیرد تا شما اطلاعات حساس را وارد کنید. سپس همان اطلاعات را از طریق ایمیل معمولی برای شرکت ارسال می کند. در واقع تمای این روال برای دادن یک احساس امنیت کاذب به شماست. بسیار هستند شرکت های کوچکی که سایتشان توسط شرکت های شخص ثالثی میزبانی می شود که ابدا سرویس های امن ssl ارائه نمی کنند. پرسش هایی که مشتریان در ذهن شان ایجاد می شود، معمولا در باره نحوه ارسال این اطلاعات و آگاه شدن خودشان از سفارش هایشان است و از طرف دیگر قرار دادن یک فرم امن آنها را قانع می کند که معامله با شرکت مورد نظر از طریق اینترنت امن است و به دانستن نکات دیگر توجهی نشان نمی دهند. توجه کنید که خود شرکت ها می گویند «هدف یک فرم امن راضی کردن کاربران به وارد کردن جزئیات کارتشان است». با خود فکر کنید که اگر ایمیل کردن اطلاعات کارت اعتباریتان به شرکت بدون استفاده از رمزنگاری، امنیت کافی را دارد، چرا خودتان این کار را نکنید؟ آیا احساس امنیت خواهید کرد اگر بدانید که این شرکت (یا سایر شرکت های مشابه) سهوا شما را فریب می دهند که معاملات به این شکل امن است، در حالیکه نیست؟ هنوز، این شرکت ها مشتریانی دارند که به آنها پول می دهند تا به آنها این حس کاذب را بدهند.
ایمن کردن معاملات
با وجود تمام این شرکت هایی که به تاجران راه هایی ارائه می کنند تا به مشتریانشان این احساس کاذب امنیت را بدهند، یک شرکت کوچک بمنظور امن کردن واقعی معاملات، چه باید بکند؟ یک روش برای آن شرکت، استفاده از ایمیل های رمزشده مانند pgp است. نسخه هایی از formmail وجود دارند که از ایمیل رمزشده pgp استفاده می کنند. در حالیکه بعضی از این روش استفاده می کنند، برای بعضی شرکتهای تجاری کوچک بدلیل نداشتن افراد خبره برای تنظیم و استفاده از pgp، این کار مشکل است. بعضی شرکت های میزبان اینترنت وجود دارند که بخش سرور این ارتباط را تنظیم می کنند، اما در طرف کلاینت که یک شرکت کوچک تجاری است باید بتواند pgp را روی کامپیوتر خود نصب و استفاده کند. روش امن دیگر، ذخیره اطلاعات در پایگاه داده ای روی وب سرور اما در جایی است که از وب دسترسی مستقیم به آن ممکن نباشد. زمانی که شرکت میزبان اینترنت قابل اعتماد نیست و یا قصد دارید امنیت بیشتری را به وجود آورید، این پایگاه داده می تواند رمزنگاری شود. تاجران بعدا می توانند اطلاعات مربوط به معاملات را با استفاده از ارتباط رمزشده ssl خود بازیابی کنند. اما در این روش فروشنده باید بتواند سیستم امن را برای خود ایجاد کند. این عمل به میزان مشخصی از توانایی های برنامه سازی احتیاج دارد تا اسکریپت های cgi برای استفاده از این سیستم نوشته شود. بنابراین روند مورد نظر امن به این شکل خواهد بود؛ فرم سفارش امن است و اطلاعات بین کامپیوتر مشتری و سرور بصورت رمز شده خواهد بود. در سرور، اطلاعات بصورت رمزشده در یک پایگاه داده ذخیره می شود. سپس فروشنده از طریق ایمیل از رسیدن سفارش ها مطلع می شود (هیچ گونه اطلاعات مهم و حساس در ایمیل ها قرار ندارد) و بالاخره، فروشنده اطلاعات را از طریق یک ارتباط امن دیگر بازیابی می کند. بنابراین، وقتی که راههایی برای تامین امنیت واقعی برای معاملات وجود دارد، چگونه باید مشتری را مطلع کرد که معامله واقعا امن است یا خیر؟ در حال حاضر راه ساده ای وجود ندارد. مشخصا، شما می خواهید مطمئن شوید که فرم امن است، بعلاوه می خواهید مطمئن شوید که شرکت به شما حس کاذب امنیت نمی دهد و این حس واقعی است. یک راه این است که به سیاست های حریم خصوصی آن شرکت نگاهی بیندازید (البته با این فرض که چنین چیزی وجود دارد) و مطمئن شوید که در آن ذکر شده است که «اطلاعات کارت اعتباری هیچ مشتری هرگز بدون رمزنگاری از طریق اینترنت ارسال نخواهد شد.»
asemoni.com
بحران در امنیت سایت های دولتی؛تنها یک انتخاب
... بزرگراه فناوری - اعلام نتیجه یک پژوهش توسط مرکز پژوهش های مجلس شورای اسلامی در چند روز گذشته باعث شد به نوعی بار دیگر دغدغه قدیمی بسیاری از صاحب نظران و کارشناسان حوزه آی تی در خصوص نبود امنیت در میزبانی سایت های ایرانی مطرح شود ... در گزارش این پژوهش آمده است، 57 درصد سایت های مهم حکومتی ایران از میزبان های خارجی استفاده می کنند و از این بین، اطلاعات 87 سایت حکومتی صرفا در آمریکا و کانادا نگهداری می شود ... نتایج فوق حاصل بررسی روی 150 سایت مهم حکومتی توسط مرکز پژوهش های مجلس است ... گرچه هشدار مجلسیان به وضعیت بحرانی امنیت سایت های دولتی قابل قدردانی است، اما نکته مهم آن است که این هشدار و هشدارهایی از این قبیل از سوی بسیاری در سال های گذشته مطرح شده و به نوعی این پژوهش، یک یافته جدید محسوب نمی شود و بهتر بود که در کنار این هشدار هرچه سریع تر مسؤولان به فکر راهکاری برای خروج از این بحران بودند چراکه یک سرور اینترنتی مثل یک خانه مستحکم می تواند محیط امن برای زندگی یک سایت به شمار آید ... اطلاعاتی در قلب آمریکا "مسدود کردن بیش از 500 سایت از سوی ارایه کنندگان خدمات میزبانی کانادایی و آمریکایی و هک شدن چندباره وبسایت های مهم حکومتی نظیر وب سایت مجلس شورای اسلامی و مجلس خبرگان، این سؤال تامل برانگیز را در ذهن تداعی می کند که آیا دولتمردان نسبت به این مهم واقفند و اقدامی به عمل نمی آورند یا توسعه فناوری اطلاعات، تحقق دولت الکترونیکی و جامعه اطلاعاتی تنها در حد شعار دنبال می شود ...
57 درصد سایت های مهم ایران در خارج از کشور هاست شده اند!
... مرکز پژوهش های مجلس شورای اسلامی اعلام کرد: 57درصد سایت های مهم حکومتی ایران از میزبانهای خارجی استفاده می کنند و از این بین اطلاعات 87سایت حکومتی صرفا در آمریکا و کانادا نگهداری می شود ... در این گزارش آمده است که این موضوع در کنار رویدادهایی نظیر مسدود کردن بیش از 500سایت از سوی ارایه کنندگان خدمات میزبانی کانادایی و آمریکایی و هک شدن چندباره وب سایت های مهم حکومتی نظیر وب سایت مجلس شورای اسلامی و مجلس خبرگان، این سوال تامل برانگیز را در ذهن تداعی می کند که آیا دولتمردان نسبت به این مهم واقفند و اقدامی به عمل نمی آورند یا توسعه فناوری اطلاعات، تحقق دولت الکترونیکی و جامعه اطلاعاتی تنها در حد شعار دنبال می شود؟گزارش مرکز پژوهشهای مجلس، وضعیت کنونی وب سایتهای دولتی از نظر امنیتی را یک بحران ملی دانست و افزود: بررسی (صلاحیت) میزبان های وب سایتهای دولتی نشان می دهد که تاکنون به مقوله امنیت در فضای تبادل اطلاعات به هیچ عنوان بها داده نشده است ... "این آمار و ارقام فقط به محل میزبان وب سایتها می پردازد و مقوله بهره گیری سازمانها از نرم افزارهای غیر ایمنی و استفاده از خدمات رایگان پست الکترونیکی نظیر: google , Yahooو ... "مرکز پژوهشها بر لزوم ایجاد مراکز داده در کشور برای جلوگیری از تعرضات الکترونیکی بیگانگان تاکید کرد و افزود: "مایکل چرتوف"، یکی از معاونین وزارت امنیت ملی ایالات متحده، که یک صهیونیست اسرائیلی است، نامه محرمانه ای از سوی وزارت امنیت ملی با تایید آژانس امنیت ملی و کاخ سفید برای شرکت های بزرگ میزبانی مانند ,microsoft,Yahoo,the planet interland, peerlو googleارسال و در آن صراحتا تاکید کرده که سرورها، داده ها، پست الکترونیکی و دیگر منابع، همگی اموال ایالات متحده محسوب می شوند ...
هشدار مرکز پژوهش های مجلس به وضعیت بحرانی امنیت سایت های دولتی
... مرکز پژوهش های مجلس شورای اسلامی اعلام کرد: 57درصد سایت های مهم حکومتی ایران از میزبانهای خارجی استفاده می کنند و از این بین اطلاعات 87سایت حکومتی صرفا در آمریکا و کانادا نگهداری می شود ... در این گزارش آمده است که این موضوع در کنار رویدادهایی نظیر مسدود کردن بیش از 500سایت از سوی ارایه کنندگان خدمات میزبانی کانادایی و آمریکایی و هک شدن چندباره وب سایت های مهم حکومتی نظیر وب سایت مجلس شورای اسلامی و مجلس خبرگان، این سوال تامل برانگیز را در ذهن تداعی می کند که آیا دولتمردان نسبت به این مهم واقفند و اقدامی به عمل نمی آورند یا توسعه فناوری اطلاعات، تحقق دولت الکترونیکی و جامعه اطلاعاتی تنها در حد شعار دنبال می شود؟ گزارش مرکز پژوهشهای مجلس، وضعیت کنونی وب سایتهای دولتی از نظر امنیتی را یک بحران ملی دانست و افزود: بررسی (صلاحیت) میزبان های وب سایتهای دولتی نشان می دهد که تاکنون به مقوله امنیت در فضای تبادل اطلاعات به هیچ عنوان بها داده نشده است ... "این آمار و ارقام فقط به محل میزبان وب سایتها می پردازد و مقوله بهره گیری سازمانها از نرم افزارهای غیر ایمنی و استفاده از خدمات رایگان پست الکترونیکی نظیر: google , Yahooو ... " مرکز پژوهشها بر لزوم ایجاد مراکز داده در کشور برای جلوگیری از تعرضات الکترونیکی بیگانگان تاکید کرد و افزود: "مایکل چرتوف"، یکی از معاونین وزارت امنیت ملی ایالات متحده، که یک صهیونیست اسرائیلی است، نامه محرمانه ای از سوی وزارت امنیت ملی با تایید آژانس امنیت ملی و کاخ سفید برای شرکت های بزرگ میزبانی مانند ,microsoft,Yahoo,the planet interland, peerlو googleارسال و در آن صراحتا تاکید کرده که سرورها، داده ها، پست الکترونیکی و دیگر منابع، همگی اموال ایالات متحده محسوب می شوند ...
آیا معاملات اینترنتی امن، واقعا امن هستند؟
... comامروزه مرورگرها از تکنیکی به نام SSL (Secure Socket Layer) استفاده می کنند تا اطلاعاتی را که بین مرورگر شما و وب سرور مبادله می شود، رمزنگاری کنند ... اما آیا واقعا این سیستم امن است و می توان از این طریق با اطمینان تراکنشهای حساس مالی را رد و بدل کرد؟ پاسخ این است که SSL فقط ارتباط بین مرورگر شما و وب سرور را امن می کند و برای محافظت از اطلاعات شما در آن سرور کاری انجام نمی دهد ... در شرکت های بزرگ که می توانند سرورها و خطوط ارتباطی با ظرفیت های بالا را اختصاصی و برای ارتباط مستقیم تهیه کنند، تا جایی که شما بتوانید به شرکت اعتماد کنید، مشکلی ایجاد نخواهد شد ... اما بسیاری از شرکت های کوچک تر توانایی تهیه سرور اختصاصی را ندارند ... شما مجبورید به میزبانی که هیچ شناختی از آن ندارید، اطمینان کنید و به ایمن بودن نحوه دریافت اطلاعاتتان از آن میزبان توسط شرکت مورد نظرتان اعتماد کنید ... اما تضمینی برای ایمن بودن این ارتباط نیست!بیشتر میزبان های وب برای کلاینت های خود یک برنامه (cgi (Common gateway interface ارائه می دهند که FormMail نام دارد ... بسیار هستند شرکت های کوچکی که سایتشان توسط شرکت های شخص ثالثی میزبانی می شود که ابدا سرویس های امن SSL ارائه نمی کنند ... با خود فکر کنید که اگر ایمیل کردن اطلاعات کارت اعتباریتان به شرکت بدون استفاده از رمزنگاری، امنیت کافی را دارد، چرا خودتان این کار را نکنید؟ آیا احساس امنیت خواهید کرد اگر بدانید که این شرکت (یا سایر شرکت های مشابه) سهوا شما را فریب می دهند که معاملات به این شکل امن است، در حالیکه نیست؟ هنوز، این شرکت ها مشتریانی دارند که به آنها پول می دهند تا به آنها این حس کاذب را بدهند ...
لینوکس قدم به محدوده مایکروسافت گذاشت
... امروزه لینوکس در محیط های تجاری، سرورهای وب، سیستم های dns، ftp، ایمیل، دیواره های آتش، میزبان های وب، نظارت بر شبکه و برنامه های دسکتاپ بطور گسترده ای استفاده می شود ... برخی از قالب های لینوکس در 80درصد شرکت ها استفاده می شود که اکثرا آنها را به عنوان سرور بکار می گیرند، اما استفاده از آنها به عنوان دسکتاپ هم رو به افزایش است ... زمانی که شما به مقایسه برنامه های لینوکس با برنامه های ویندوز می پردازید درمی یابید که اگر موردی در ویندوز وجود داشته باشد که لینوکس آن را در سطح عالی ندارد، آن بسیار ناچیز خواهد بود ... مایکروسافت مسئول ارائه سهوی بخشی از کد اصلی خود است همانطور که آسیب پذیری های موجود در IE، افراد بسیاری را مجبور به تعویض مرورگر وب خود نمود ... در عوض مایکروسافت تلاش به افزایش امنیت تمامی برنامه های خود نمود تا از فجایع بعدی جلوگیری کند ... با این وجود نباید تصور کرد که سیستم های مایکروسافت ناامن هستند ... در ضمن این روش امکان تحول سریع برنامه ها و فناوری های پیشرفته را برای تغییرات مورد نیاز کسب و کار فراهم می سازد ... با بروز رسانی های مکرر برنامه ها، سیستم های لینوکس پیوسته بصورت کارا و موثر کار می کنند ... چه سیستم عامل sun و چه OpenBSD، همه آنها یک وجه مشترک دارند: آنها دارای برنامه کاربردی POSIX هستند یعنی اینکه برنامه های تجاری را می توان از یک محیط به محیطی دیگر بدون هیچ تغییری منتقل کرد ...
|
صفحه 1
|
|
