امنیت بحث بسیار کلی است که قطعا در یک مطلب نمیشود توضیح داد و بنده با سالها تجربه در حوزه برنامه نویسی با زبان های مختلف و تحصیل در مقطع فوق لیسانس فناوری اطلاعات شبکه که مباحث امنیتی زیادی را گذرانده ام در این مطلب توضیحاتی در باره امنیت در سایت ها و اپلیکیشن ها و امنیت در اسکریپت صرافی ارز دیجیتال به صورت کلی ارائه میکنم.
تعریف امنیت
اولین تعریف امنیت این است که امنیت هیچ وقت تضمین شدنی نیست پس اگر کسی امنیت را برای شما تضمین کرد مطمئن باشید که هیچ دانشی از امنیت ندارد و صرفا فروشنده خوبی است تا یک متخصص زیرا همانطور که تکنولوژی های امنیت ارتقاء پیدا میکنند از آن طرف روش های نفوذ بیشتر میشود و بعبارتی آن ها نیز ارتقاء پیدا میکنند.
یکی از راه حل امنیت محتاطانه عمل کردن، همیشه بروز بودن و مدیریت صحیح بر روی داده ها میباشد و بطور عامیانه گفته میشود وردپرس امنیت ندارد و قبلا استفاده کرده اند و هک شده است. وردپرس محبوب ترین سیستم مدیریت محتوا(CMS) در جهان است و اگر به این بدی که گفته میشود باشد قطعا به این محبوبیت نمیرسید که حتی وبلاگ سایت های بزرگی همچون دیجیکالا و دیوار و … از وردپرس استفاده میکنند و البته بنده حرف دوستانی که میگویند وردپرس امنیت ندارد را تایید میکنم چون دانشی در این زمینه و مدیریت وبسایت ندارد و از مهمترین دلایل هک وردپرس استفاده از افزونه یا پلاگین های متعدد و نامعتبر و همچنین عدم بروزرسانی وردپرس میباشد.
امنیت در سایت و اپلیکیشن به عوامل زیادی بستگی دارد که در ادامه مهمترین آنها را بررسی میکنیم.
هاست یا سرور
هاست یک درسترسی به منابع مشخص از یک سرور مجازی را برای شما فراهم میکند که بخش مهمی از امنیت سایت ها و اپلیکشین ها به هاست یا سرور بستگی دارد که البته داشتن یک سرور مجازی دارای امنیت بیشتری نسبت به هاست است زیرا چندین سایت در یک سرور میزبانی میشوند و در صورتی که یکی از سایت ها دچار مشکلات امنیت(هک یا حملات dos) شود بقیه سایت ها هم تحت شعاع خود قرار میدهد. البته اگر هاست یا سرور شما از جایی مطمئن خریداری شده باشد تا حد زیادی ریسک های امنیت را برای شما کاهش میدهند و حتما این نکته را در نظر داشته باشید که هاستینگ ارائه دهنده سرویس به صورت روزانه و هفتگی و ماهانه از داده های شما نسخه پشتیبان یا بک آپ بگیرند و این امکان را در مشخصات سرویس های هاستینگ میتوانید مشاهده کنید.
تکنولوژی و زبان برنامه نویسی
همیشه جدال بر سر امنیت زبان های برنامه نویسی بوده است و هر کسی آن زبانی که بلد است را دارای ویژگی های امنیتی بیشتری میداند. اما واقعا کدام زبان مناسب نر است؟ به نظر من امنیت در زبان های برنامه نویسی تقریبا یکسانه و مهم سیاست های امنیتی برنامه نویس است که در هر زبانی اگر سهل انگاری شود میتواند مشکل ساز شود. فعلا محبوب ترین و پراستفاده ترین زبان برنامه نویسی سمت سرور php میباشد که سیستم های مدیریت محتواهای بزرگی مثل وردپرس و جوملا از این زبان استفاده میکنند و البته زبان های دیگری هم مانند node.js و پایتون محبوبیت های زیادی کسب کرده اند اما فعلا php در رتبه یک قرار دارد که حتی چند ماه پیش دیجی کالا زبان برنامه نویسی خود را از C# به php تغییر داد و همچنین php دارای فریمورک های برنامه نویسی میباشد که پروژه ای که با این فریمورک ها نوشته شود دارای سرعت و امنیت بیشتری میباشد که این فریمورک ها با ساختار MVC و مدیریت ورودی و خروجی ها تا حد زیادی امنیت سایت و وب سرویس های اپلیکیش ها را بهبود میبخشد. از جمله این فریمورک ها میتوان لاراول Laravel و کدیگینر CodeIgniter و… را نام برد.
سیاست های امنیتی
در قسمت قبل در مورد سیاست های امنیتی در برنامه نویسی صحبت کردیم و سیاست های امنیتی به طور کل به تجربه و توانایی برنامه نویس پروژه برمیگردد. مثلا چک کردن ورودی ها و اعتبارسنجی آنها یا استفاده از ورود دو مرحله ای، خرید با کارت های تایید شده، چک کردن موجودی ارز قبل از خرید کاربر و … برای پروژه های حساس مانند سایت صرافی ارز دیجیتال که سیاست های امنیتی میتواند بسیار گسترده باشد که همه آنها به توانایی برنامه نویس پروژه بستگی دارد
امنیت در سایت یا اپلیکیشن صرافی
طراحی سایت صرافی ارزهای دیجیتال از پروژه هایی است که نسبت به بقیه پروژه ها در آن امنیت بسیار حائز اهمیت است. مثلا در پروژه های فروشگاهی فرضاً سایت دچار مشکل امنیتی شود ممکن است داده ها و اطلاعات کاربران هک شود و یا از بین برود که با برگرداندن بک آپی که هاستینگ به طور روزانه میگرد میتوان این مشکل را رفع کرد اما در ساختار پروژه صرافی هر گونه هک ممکن است به صورت آنی حساب های ارز مورد تعارض و سواستفاده قرار گیرد که قابل برگشت نیست.
برای جلوگیری از مشکلات امنیتی در صرافی باید علاوه بر توجه به مواردی که در قبل توضیح داده شد به موارد دیگری که در بخش سیاست های امنیتی قرار میگرد توجه نمایید.
یکی از موارد مهم این است که کمتر اعتماد کنید حتی به سازنده اسکریپت و به طور مداوم اطلاعات حساب یا توکن های حساب های ارزی برای استفاده از API تغییر دهید اما باید اسکریپتی که خریداری کرده اید برای هر ارز تنظیمات سِت کردن اطلاعات و تغییر اطلاعات حساب ها را داشته باشد و بدون نیاز و وابستگی به برنامه نویس بتوانید تغییر دهید و حتما IP سرور خود را در سایت های ارائه دهنده API درج نمایید تا IP های دیگر دسترسی نداشته باشند. استفاده از recaptcha google برای فرم های ورود و همچنین ورود دو مرحله ای برای ادمین و برای کاربران از طریق Google Authenticator مهمتر از ورود دومرحله ای نسبت به پیامک است زیرا هزینه کمتر و امنیت بیشتری دارد.
یکی دیگر موراد بسیار مهم که بارها در خیلی از مشاوره ها توضیح دادم این است که آینده نگری نسبت به پروژه داشته باشید و آینده نگری در امنیت پروژه های صرافی تاثیر بسزایی دارد نسبت به بقیه پروژه ها دارد. مثلا شما در آینده نیاز به ربات تلگرام و اپلیکیشن اندروید یا آی او اس داشته باشید و فرض کنید شرکتی که از آن اسکریپت را خریداری کردین امکان ارائه در این پلتفرم ها را نداشته باشد و شما مجبور هستین که برای هر پلتفرم سراغ شرکت دیگری بروید و با گروه دیگری در ارتباط باشید و تمامی اطلاعات خود را در اختیار آنها بگذارید و بدترین حالت ممکن این است که برای سایت یک شرکت و برای اندروید شرکت دیگری و ربات تلگرام و آی او اس را نیز شرکت های دیگری برای شما پیاده سازی کنند. پس هر چقدر داده های شما به دست افراد بیشتری باشد ریسک امنیتی شما بیشتر میشود.
سیاست های امنیتی بسیاری را میتوان در پروژه های مختلف و ازجمله صرافی و خرید و فروش ارز دیجیتال در نظر گرفت که رعایت همه آنها ریسک امنیتی شما را کاهش میدهد و برخی از آنها را که غیر تخصصی و دارای درک و فهم راحت تری بود اشاره کردم اما امنیت بحث بسیار پیچیده ای است و تا مدل های رمز نگاری داده ها و ارزیابی هر یک از این مدل ها میشود توضیح داد که در مطالب بعدی بیشتر در مورد امنیت صحبت خواهیم کرد.
بدون دیدگاه