روش هایی جهت افزایش ضریب امنیت در طراحی صفخات وب

مطمئناً اگر شما هم جزو یکی از کاربران متوسط اینترنت باشید حتماً کلمات sql injection به گوشتان خورده که به معنی تزریق کد های اس کیو ال وارد شدن بدون پسورد است .

فرض کنید شما برای گرفتن اطلاعات از پایگاه چنین کدی نوشته باشید:

select id,name from users

where name = '{0}' And pass = '{1}';

و اطلاعات را بدون هیچ کد اضافه ایی به صورت زیر در پایگاه ذخیره کرده باشید:

id     name       pass
1   | myname | 123456
2   | mynmae2| 1234

.
شما مقادیر {0}و{1}را مستقیم از یک تکست باکس دریافت و در کامند اس کیو ال جایگذاری می کنید حالا اگر کاربر یک نیم کت ' اضافه تایپ کند می تواند دستورات خود را بدون هیچ واسطه ایی رو دیتا بیس شما اعمال کند به صورت زیر

فرض کنید:

{0}=myname // user name can any thing
{1}=any' or 'a'='a  //sql injection code

حالا این مقادیر را در کامند بالا جای گذاری می کنیم تا ببینیم شکل دستورات به چه صورتی می شود

select id,name from users
where name = 'myname' And pass = 'any' or 'a'='a';

می بینیم که یک کامند ایجاد شد که عبارت
or 'a'='a'
همیشه درست است و دستور سلکت آیدی و نام تمام کاربران را بر می گرداند.

خوب این یک مثال ساده  بود.
حالا فرض کنید کاربر مورد نظر به طریقی می تواند اطلاعات بانک اطلاعاتی را روئیت کند خیلی ساده اطلاعات لازم برای ورود کاربران در اختیارش قرار می گیرد (برای نمونه ممکن است بک آپ بانک اطلاعاتی را به نحوی دانلود و مشاهده کند)
 حالا بخش  امنیت اطلاعات  و مقابله با این نوع کد ها و جلوگیری از حدس کلمه عبور
برای مقابله با این نوع حملات در php از تابع mysql_prep استفاده می شود که کارهای زیر را انجام می دهد

The code does the following:
1.Removes whitespace at the beginning and end of the string.
2.Replaces backslashes (\) with double backslash (\\).
3.Replaces single quotes (') with backslashed single quote (\').
4.Replaces percent signs (%) with backslashed percent signs (\%) to prevent wildcard errors with MySQL.

5.Removes all charactors that are not alpha-numeric, whitespace, or special charactors.

خوب این مرحله اول برای جلوگیری از حملات sql injection
مر حله دوم رمز گذاری پسورد است تا کسانی که به نحوی به پایگاه داده دسترسی دارند به طور مستقیم به پسورد دسترسی پیدا نکنند.
در مرحله رمز گذاری در php از توابعی شبیه md5 - sha1 -crc32 - hash استفاده می شود اما نکته اینجاست که این سرعت این توابع بسیار بالاست برای اینکه از کرک شدن پسورد رمز گذاری شده جلوگیری شود.
یک رشته به طول دلخواه به صورت راندم ایجاد می شود و مستقیم در پایگاه داده ذخیره می شود که به آن salt  گفته می شود و بعد این رشته هش یا رمزگذاری شده رشته پسورد از کاربر دریافت می شود و کل رشته جدید دوباره هش می شود.

می بینیم که رشته حاصل به هیچ وجه قابل کرک شدن نیست و باید حتما شخص رشته salt را بدست بیاورد تا امکان کرک کردن پسورد را پیدا کند.
شکل جدید پایگاه :

id      name       pass                                                  salt

1   | myname | 3769b1c4ba2fdb20d5ebe9849f3c48b4 | iPlodf

.
حالا وقتی کاربر بخواهد به حساب کاربری خود وارد شود ما بر اساس نام کاربری اطلاعات salt را که در هنگام ثبت نام به صورت تصادفی از کاربر گرفته بودیم را از پایگاه می خوانیم  و دوباره آنها را هش می کنیم و مقدار حاصل را دوباره مقدار هش شده قبلی مقایسه می کنیم اگر مطابقت کرد و تعداد سطر های دریافت شده از پایگاه دقیقاً برابر 1 بود
صحت کاربر تایید می شود .
مثال  اطلاعات زیر از کاربر در یافت می شود:

$name = myname;
$pass = 123456;
$salt = randomstr(6);// iPlodf
$hashed_pass = md5(md5($salt).md5($pass));//this password & name & salt save to db :=3769b1c4ba2fdb20d5ebe9849f3c48b4

  حال برای احراز هویت
select salt from users
where name = '{0}';//=$salt

 
و دوباره عمل هش نمودن پسوورد با پسوردی که الان کاربر در تکست باکس وارد کرده

و در آخر مقایسه :

select id,name from users
where name = '{$name}' and pass = '{$hashed_pass}'
.
.
.
if (mysql_num_rows($result_set) == 1) {
                // username/password authenticated
                // and only 1 match

آخرین نسخه فلش پلیر

نرم افزار Adobe Flash Player به شما کمک می کند تا تمامی فایل های فلشی را که در صفحات وب سایت ها قرار دارد مشاهده کنید. همچنین برای مشاهده کلیپ های آنلاین از سایتی مانند یوتوب باید این پلاگین بر روی مرورگرتان نصب شده باشد و حتی بدون این پلاگین امکان انجام باری های فلش در سایت های بازی های آنلاین وجود ندارد. علاوه بر پلاگین فلش پلیر برای مرورگرها، نسخه ی دیگری از آنرا جهت اجرای فایل های فلش در ویندوز را نیز برایتان آماده کرده ایم. این نسخه به صورت جامع است و بروی تمامی مرورگر ها و ویندوز ها قابل اجرا است.

• دانلود
• حجم: 8.5 مگابایت
• منبع
• رمز: www.4downloads.ir

شبکه های نسل پنجم

در حالی که شبکه های نسل چهارم تلفن همراه بسیار جوان و نوپا هستند و از راه اندازی آنها در برخی کشورها هنوز شش ماه هم نی گذرد، تحقیق و بررسی بر روی نسل جایگزین آنها از هم اکنون آغاز شده است.

به گزارش خبرنگار فناوری اطلاعات فارس، این موضوع نشان می دهد که عطش علاقمندان به فناوری و متخصصان برای بهره مندی از جدیدترین دستاوردها و پیشرفت ها در این بخش تا چه حد است. از سوی دیگر فعالیت‌های انجام شده در این زمینه ظرفیت استثنایی دنیای مخابرات برای ارائه سرویس های مدرن و نوین را نشان می دهد.
نسل پنجم شبکه های تلفن همراه که به اختصار ۵G نامیده می شوند، هنوز تنها در مقالات و طرح ها قابل دسترس هستند و کاری برای اجرایی کردن ایده های موجود در این زمینه آغاز نشده است. در واقع شبکه های ۵G مرحله بعدی استانداردهای مخابراتی همراه را شامل می شوند که بعد از استاندارد نسل چهارم یا ۴G از راه می رسد.
هنوز مشخص نیست مشخصات فنی و ویژگی های این استاندارد چه زمانی نهایی می شود،اما پیش بینی می شود این امر ظرف دو سال آینده یعنی حداکثر تا سال ۲۰۱۳ انجام شود. در حال حاضر این اصطلاح به طور رسمی در اسناد رسمی شرکت های مخابراتی یا نهادهای تعیین کننده استانداردهای ارتباطی مانند ۳GPP، WiMAX Forum یا ITU-Rبه کار گرفته می شود،البته برخی صاحبنظران هم از این همه شتابزدگی در تعیین استانداردهای جدید مخابراتی اظهارنارضایتی کرده و می گویند در حالی که هنوز شبکه های نسل چهارم به درستی راه اندازی نشده اند و ظرفیت نهایی آنها مشخص نشده نمی توان از شبکه های نسل پنجم سخن به میان اورد. به هر حال هدف از راه اندازی شبکه های نسل پنجم پاسخگویی به نیازهایی عنوان شده که با ایجاد شبکه های نسل چهارم برای مشترکان به وجود آمده و امید می رود با کیفیت بهتری برآورده شوند.
کارشناسان معتقدند بعد از وضع استانداردهای نسل پنجم ایجاد و راه اندازی شبکه های مخابراتی بر این اساس تا سال ۲۰۲۰ به طول خواهد انجامید. در واقع می توان گفت هر یک دهه شاهد تغییر اساسی در شبکه های مخابراتی و از راه رسیدن نسل جدیدی از شبکه ها هستیم که از امکانات و توانمندی های خاصی برخوردارند.
نسل اول شبکه های همراه در سال ۱۹۸۱ از راه رسید و حدود ۱۰ سال طول کشید تا شبکه نسل دوم یا همان GSM در سال ۱۹۹۲ متولد شد. سپس استاندارد ۳G شامل W-CDMA/FOMA در سال ۲۰۰۱ ابداع شد. در همین سال ها کار بر روی استاندارد نسل چهارم آغاز شد که ثمره آن شکل گیری شبکه های ۴G در ماه های اخیر است.
انتظار می رود در شبکه های نسل پنجم سرعت آپلود و دانلود از مرز یک گیگابیت در ثانیه بگذرد. این رقم در شبکه های نسل چهارم معادل ۱۰۰ مگابیت در ثانیه تعریف شده است. این رقم که بسیار سریع تر از سرعت تبادل دیتا از طریق شبکه های اینترنت فعلی در بسیاری از کشورهای جهان است دسترسی به تمامی خدماتی را که فعلا تنها از طریق شبکه اینترنت در دسترس است را ممکن می کند که از جمله آنها می توان به خدمات پیشرفته ویدیویی مانند ویدیو کنفرانس، تماشای هزاران شبکه تلویزیونی ماهواره ای و اینترنتی با کیفیت عالی، بهره مندی از سرویس های چندرسانه ای آموزش الکترونیک، بارگذاری دهها گیگابایت اطلاعات در عرض چند دقیقه و … اشاره کرد.
بد نیست بدانید که سرعت تبادل دیتا در شبکه های مخابراتی با رشد بسیاری سریعی مواجه بوده است. این رقم در شبکه های نسل اول تنها ۱٫۲ کیلوبیت در ثانیه بود که در شبکه های نسل دوم به ۹٫۶ کیلوبیت در ثانیه و در شبکه های نسل سوم به ۳۸۴ کیلوبیت در ثانیه و سپس بیش از دو مگابیت در ثانیه افزایش یافت. این رقم در شبکه های نسل چهارم ۱۰۰ مگابیت در ثانیه بود و در شبکه های نسل پنجم هم به یک گیگابیت در ثانیه خواهد رسید.
باید توجه داشت که سازگاری این استاندارد با IPv6 یا پروتکل اینترنتی نسخه ۶ یکی از مهم ترین مزایای آن محسوب می شود.
در حالی که راه اندازی شبکه های نسل پنجم در اکثر نقاط جهان تنها در مرحله مطالعاتی است، کره ای ها در این زمینه وارد مراحل اجرایی هم شده اند. این کشور در سال ۲۰۰۸ حدود ۵۸ میلیون دلار را به توسعه فناوری های نسل چهارم و پنجم تلفن همراه اختصاص داد. قرار است کره در سال ۲۰۱۲ شاهد راه اندازی چنین شبکه هایی باشد

نرم افزار چهره نگاری قدرتمند GenCrowd 3D v2.0

شاید شما هم دیده باشید در اداره های پلیس وقتی میخواهند مجرم فراری را شناسایی کنند ، شاهدان را به مرکز چهره نگاری می برند تا چهره ای شبیه به مجرم را به دست آورند . شاید شما هم دوست داشته باشید چهره نگاری کنید و چهره های مختلف را طراحی کنید و برای مصارف مختلف از آن استفاده کنید . سایت P30well.com نیز قصد یک برنامه قدرتمند را در این زمینه به شما معرفی کند .
GenCrowd 3D نرم افزاری قدرتمند محصول شرکت Genemation می باشد که مخصوص طراحی چهره سه بعدی ساخته شده است . با این نرم افزار می توانید چهره های سه بعدی را با استفاده از ابزارها و پیش فرض های موجود طراحی کنید . ابزار این نرم افزار بسیار قدرتمند هستند و هر قابلیتی را برای شما به همراه دارند و هر تغییری می توانید روی صورت و اجزای صورت ماکتی که روی آن چهره نگاری را شروع کردید ایجاد کنید و این باعث می شود دست کاربر از این نظر باز باشد و حیطه کاری آن افزایش یابد . قابلیت های فراوان این نرم افزار باعث می شود که شما روی چهره مورد هر تغییری بتوانید ایجاد کنید .

حجم فایل: 61.9 مگابایت
دانلود فایل
پسورد فایل: www.p30well.com
منبع

درباره jsp

آیا قصد دارید محیط ASP را ترک کنید و از مزایای قدرتمند JSP بهره مند شوید. این مقاله شما را راهنمای می کند.

Jsp و Asp تکنولوژیهایی هستند که می توانند با روشی بسیار ساده و سریع ، صفحات وب پویا را ایجاد کنند . Aspو Jsp تکنولوژیهایی شبیه به هم می باشند ولی تفاوت های قابل توجهی نیز دارند .هر دو تکنولوژی ، به کمک کامپوننت هایی که در صفحه فراخونی می شوند ، مدل یکسانی برای جدا سازی منطق برنامه از طراحی صفحه دارند.بزرگترین تفاوت Asp و Jsp در طراحی نرم افزار می باشد.
Asp مبتنی بر ISAPI می باشد در صورتی که Jsp به عنوان بخشی ازJ2EE پیاده سازی شده است.Asp شامل یک DLL واحد (asp.dll) می باشد که وقتی صفحه Asp همراه با ،اسکریپت سمت سرور ترکیب شده با HTML ، تجزیه می شود ، محتویات پویا را تولید می کند .

به طور مشابه موتور فعال سازی Jsp در وب سرور ، صفحه Jsp ایی را که شامل تگ های مشخص شده خاص این تکنولوژی ، توضیحات و تگ های HTML و XML می باشد را پردازش می کند.

اصلی ترین قدرت Jsp در مقایسه با Asp به صورت زیر می باشد:

قابلیت حمل :

یک محیط Application ای قابل حمل ، به سازمان ها قابلیت انعطاف برای انتقال دادن سرور ها و جابجایی ابزار ها می دهد، که این امر نیاز تجارت می باشد.

صفحات Jsp چنین خصوصیتی دارند:" یک بار نوشته می شوند و در هر جا اجرا می شوند." . صفحات Jsp قابلیت استفاده مجدد بر روی هر Platform و سروری دارند.

Jsp از یک ابتکار عمل صنعت گسترده مربوط به میکروسیستم های شرکت SUN ایجاد شد و طوری طراحی شده است که مستقل از Platform و سرور می باشد.

َAsp یک تکنولوژی خالص مایکرو سافت می باشد که ابتدا در ویندوز NT سرور به کار گرفته شده است. تکنولوزی Jsp طراحی شده است تا سرور ها ، مرورگرها و ابزارهای زیادی را پشتیبانی کند. وب سرور Appache که میزبانی بیش از 70% وب سایت های کل دنیا را به عهده دارد ،کاملا تکنولوژی Jsp را تحت پروژه Jakarta Tomcat ، پشتیبانی می کند . بنابر این میزبانی یک وب Application در سیستم عامل Unixبا استفاده از Jsp دور از ذهن نیست. Jsp بر روی NT Platform با استفاده از کامپوننت های دسته سوم پشتیبانی می شود .

کارایی:

صفحاتی که با استفاده از Jsp ساخته می شوند ،با استفاده فاز ترجمه که فقط یکبار ( در اولین باری که صفحه فراخوانی می شود ) انجام می پذیرد ، پیاده سازی می شوند .

صفحه در یک کلاس java servlet کامپایل می شود و در حافظه سرور باقی می ماند ، بنابر این سایر فراخوانی های صفحه ، زمان پاسخگویی بسیار کمی خواهند داشت ، در حالیکه در Asp در هر فراخوانی ، صفحه دوباره کامپایل می شود .پیاده سازی Jsp ، زبان برنامه نویسی اسکریپتی جاوا ، که عملیات پیچیده را تامین می کند را پشتیبانی می کند . اکثر صفحات Jsp در عوض اینکه مبتنی بر اسکریپت های داخل صفحه باشند ، مبتنی بر کامپوننت های قابل استفاده مجدد و مستقل از Platform کامپوننت های JavaBeans یا کامپوننت تجاری JavaBeans TM می باشند ،
تا پیچیده ترین پردازش های مورد نیاز Application را انجام دهد .توسعه دهندگان می توانند ، کامپوننت هایی را که عملیات رایج مشترکی را انجام می دهند را به اشتراک بگذارند ، یا آنها را تعویض کنند و یا آنهارا در دسترس جوامع دیگر قرار دهند . ایده های مبتنی بر کامپوننت توسعه کلی را تسریع می سازند و این امکان را فراهم می سازند تا سازمان ها، تخصص ها و تلاششان را برای نتایج بهینه به کار گیرند.


توسعه و بکارگیری:

همانطور که گفته شد Jsp مدل جداسازی منطق برنامه از طراحی صفحه را ، به کمک کامپوننت هایی مانند JavaBeans ، Enterprise JavaBean(EJB) و تگ های رایج Jsp به کار می بندد. فرض کنید توسعه دهندگان وب با زبانهای اسکریپتی آشنا نیستند ،تکنولوژی Jsp بسیاری از توابع مورد نیاز برای ایجاد محتوای پویا را در مولفه هایی مانند Java Bean کپسوله می کند. توسعه دهندگان وب می توانند خصوصیات Bean را تنظیم کنند یا از آن خصوصیات برای ایجاد توابع دیگری که کد نویسی آن سخت تر و وقت گیرتر است استفاده کنند.

معماری کامپوننت های مایکرو سافت بر اساس COM/DCOM می باشد .پیچیدگی توسعه COM در VC++ یا VB قابل مقایسه با آسانی توسعه Java Bean در Java نمی باشد .

کتابخانه های تگ سفارشی :

تکنولوژی Jsp از طریق کتابخانه های تگ ، قابل توسعه می باشد ، این امر به توسعه دهندگان وب این امکان را می دهد تا از ابزارها و ساختار هایآشنا مانند تگ ها، برای انجام عملیات پیچیده استفاده کنند .

Asp نمی تواند مانند Jsp ، تگ های رایج را به طور مستقیم پشتیبانی کند ولی XML را پشتیبانی می کند .

MVC یا Model 2 Architecture

جداسازی منطق تجاری و نمایشی هیچ وقت در Asp و Jsp آسان نبوده است .با افزایش پیچیدگی ، صفحات با کد های پردازشی و Scriplet ترکیب می شوند ، که این امر اشکال زدایی و تغییر آن را سخت تر می سازد .

برای مقابله با این مشکلJSP/Servlet's Model 2 architecture معرفی شد . این مدل ایده بسیار بهتری برای مدیریت کد دارد .

این مدل یک ایده ترکیبی از Jspو Servlet برای مدیریت صفحات پویا می باشد و از مزایای قدرت هر دو تکنولوژی استفاده می کند . Jsp برای ایجاد لایه نمایش و Servlet برای انجام وطایف پردازشی به کار می رود .Servlet به عنوان کنترل کننده پردازش درخواست ها ، ایجاد Bean ها و اشیای مورد نیاز Jsp عمل می کند و بسته به عملیات کاربر ، صفحه Jsp مناسب را به سمت کاربر ارسال می کند . صفحه Jsp (نمایش) شامل هیچ منطق پردازشی نمی باشد و مسئول خارج کردن و وارد کردن محتویات پویا از Servlet به قالب های استاتیک می باشد .

نتیجه گیری :



تکنولوژی Jsp قوی تر از تکنولوژی Asp می باشد . تکنولوژی Jsp به کمک J2EE بسیار قدرتمند می باشد و با افزایش پشتیبانی تکنولوژی جاوا ، Jsp از طرف توسعه دهندگان وب بسیار مورد توجه قرار گرفته است .حالا زمان آن فرا رسیده تا تکنولوژی های مایکروسافت را رها کرده به سمت تکنولوژی های دنیای کد باز حرکت نمایید. نو یسنده : مهندس آزیتا رزمجو