امنيت مامبو در چه سطحيه!؟
دوستان سلام
من از مدير يك شركت برنامه نويسي و طراح سايت كه خودش هم يك برنامه نويس تحت وب هست درباره امنيت سايتهايي كه با جوملا يا مامبو ساخته ميشن پرسيدم. اون در جواب من گفت اين جور سايتها از نظر امنيت سطح بالايي ندارند و و فقط تا زماني قابل استفاده هستند كه بازديد كننده و اعضاي اونا زياد نباشن!! ضمنا مي گفت سايتهايي كه از template استفاده مي كنند از امنيت بالايي برخوردار نيستن!!! و خلاصه از اين جور حرفا... >:(
حالا مي خواستم بدونم صحت اين حرفها تا چه اندازست و واقعاً امنيت مامبو در چه سطحيه؟
متشكرم
پاسخ : امنيت مامبو در چه سطحيه!؟
سلام
در مورد امنیت مامبو و جوملا بحث های فراوانی شده است و بارها و بارها هم به این موضوع پرداخته شده . امنیت نسبی است و کسی نمیتواند ۱۰۰٪ درصد تضمین کند ولی راه کارهایی وجود دارد که بتوان در بالاترین سطح آن را نگه داشت
این که به همین راحتی مامبو وجوملا را رد میکنن کاملا امری نادرست است و میدانیم که این دو سیستم از سیستم های قدیمی هستن که با توجه به تیم های آنها از بهترین ها محسوب می شوند .
چون این بحث کاملا مفصل است باید بگم بهتر است که ؛ امنیت مامبو ؛ را در سایت و انجمن جستجو کنید و مقالات و تاپیک های دیگر را مطالعه کنید تا دقیق برای شما روشن شود .
سوالی بود در خدمت شما هستیم
پاسخ : امنيت مامبو در چه سطحيه!؟
[quote author=moztarzadeh link=topic=20637.msg109476#msg109476 date=1246950275]
ضمنا مي گفت سايتهايي كه از template استفاده مي كنند از امنيت بالايي برخوردار نيستن!!!
[/quote]
از توجه شما ممنونم. ميشه در مورد خط بالا نيز توضيح بديد. آيا سايتهاي كه داراي ديزاين خاصي هستند امنيت بالاتري دارند؟
بازم ممنون
پاسخ : امنيت مامبو در چه سطحيه!؟
پاسخ : امنيت مامبو در چه سطحيه!؟
سلام
این مقاله هم بخونید، برخی موارد ذکر شده. + جستجو کنید و موارد دیگر رو شما به این صفحه اضافه کنید.
[مهمان/کاربر گرامی برای دیدن لینک ها ابتدا باید عضو سایت شوید و لاگین کنید برای ثبت نام اینجا کلیک کنید]
یا حق
پاسخ : امنيت مامبو در چه سطحيه!؟
دوست عزیز
امنیت یک مقیاس مطلق نداره، بلکه کاملا نسبی هست. بزرگترین وبسایتها با دارا بودن بهترین متخصصین امنیتی مانند ناسا، سازمان جاسوسی آمریکا (سیا)، شرکت مایکروسافت و ... هم بارها سایتشون هک شده.
ولی به طور کلی باید گفت که وبسایتهای بسیار بزرگ و مهمی با جوملا و مامبو راه اندازی شدن و دارن با بالاترین سطح امنیتی فعالیت میکنن. مثالهای زیادی از این نوع هستن که میتونید در بخش وبسایتهای استفاده کننده از مامبو/جوملا مامبولرن و همچنین وبسایت اصلی جوملا اونها رو ببینید.
یه اصل کلی در خصوص اظهار نظر های فنی وجود داره که باید همیشه بهش توجه کنید، هر کسی اظهار نظری برای یک مساله میکنه، باید دلایل فنی قابل استنادی برای اون داشته باشه. خصوصا در مساله ای مثل امنیت که به پارامتر های حساسی مثل سیستم عامل سرور، وب سرور، کنترل پنل، شبکه ای که سرور در آن قرار گرفته و در نهایت نرم افزار و پایگاه داده مورد استفاده وابسته هست.
در واقع وقتی از ضعف امنیتی حرف میزنیم باید به طور مشخص و دقیق یک مصداق روشن از اون داشته باشیم.
نکته قابل توجه دیگه اینه که به طور کلی نرم افزارهایی که در سطح وسیع مورد استفاده قرار میگیرد از امنیت بالاتری برخوردارن، چون ایرادات امنیتی اونها به سرعت کشف شده و برای رفعشون تلاش میشه. ولی نرم افزارهای تجاری که در تعداد کمی محیط حرفه ای مورد استفاده قرار میگیرد به همون نسبت کمتر در دید هکرها قرار میگیرن و ایرادات امنیتیشون کمتر کشف و رفع میشه. به همین دلیل هم هست که خیلی از وبسایتهای بزرگ و پر بازدید تمایل دارن از نرم افزارهای اپن سرس و پر مصرف بهره ببرن تا امنیتیشون بهتر برقرار بشه.
در مورد اون جمله که در مورد تمپلیت گفتید، فکر نمیکنم هیچ جوابی لازم باشه! قطعا چنین اظهار نظری اینقدر ناشیانه و سطحی هست که پاسخ گویی بهش مسخره به نظر میرسه ;)
پاسخ : امنيت مامبو در چه سطحيه!؟
نظرات مختلفی ممکنه در ذهن دوستان شکل بگیره که همه قابل احترام هست، اما من شخصا به این جمله معتقد ترم :
[quote author=سیامک link=topic=20637.msg109486#msg109486 date=1246954036]
در مورد اون جمله که در مورد تمپلیت گفتید، فکر نمیکنم هیچ جوابی لازم باشه! قطعا چنین اظهار نظری اینقدر ناشیانه و سطحی هست که پاسخ گویی بهش مسخره به نظر میرسه ;)
[/quote]
البته نه تنها در مورد اون یک جمله ! به نقل قول دقت کنید:
[quote author=moztarzadeh link=topic=20637.msg109476#msg109476 date=1246950275]
من از مدير يك شركت برنامه نويسي و طراح سايت كه خودش هم يك برنامه نويس تحت وب هست ...
[/quote]
بنابراین حرفی برای گفتن باقی نمی مونه !
اما به این نکته باید توجه داشت :
[quote author=سیامک link=topic=20637.msg109486#msg109486 date=1246954036]
یه اصل کلی در خصوص اظهار نظر های فنی وجود داره که باید همیشه بهش توجه کنید، هر کسی اظهار نظری برای یک مساله میکنه، باید دلایل فنی قابل استنادی برای اون داشته باشه
[/quote]
این موضوع رو من هم قبلا راجع بهش نظر داده بودم که نقل قول می کنم :
[quote author=سعید link=topic=16293.msg86391#msg86391 date=1221080981]
در خصوص امنيت در متن باز يك توضيح بدم كه متأسفانه برخي از همكاران كه بار علمي شون رو كمتر از بار تجاري و بار وبگردي تقويت كردند ( و معمولا استفاده از متن باز منافعشون رو به خطر ميندازه) ايجاد شبهه مي كنند و مي گن سيستم مجاني از اسمش پيداست كه هك ميشه
در جواب اين موارد بايد گفت كه اولا امنيت نرم افزارهاي غير متن باز در گرو عدم اطلاع سايرين از متن اونها و حفره هاي امنيتي هست
اگر روزي كسي از اونها باخبر بشه ...
در برنامه هايي مثل سيستم مديريت محتواي مامبو، امنيت در گرو عدم اطلاع از سورس نيست، بلكه برعكس با باز بودن سورس با نوعي تحدي طرف هستيم (به بيان عاميانه اين سورس ، اگه مردي هك كن! )
ثانيا با وجود باز بودن سورس و رايگان بودن متن باز ها دامنه استفاده و در معرض هك قرار گرفتن به مراتب بيشتره و در صورتي كه حفره اي وجود داشته باشه، در كمترين مدت گزارش شده و رفع ميشه. نمونش سيستم برادر مامبو يعني جوملا هست كه در آخرين نسخش در مدت كوتاهي چندين ريليز جديد داشت
البته در مورد مامبو اين طور نبوده و بارز ترين مزيت مامبو نسبت به سيستم هاي مشابه همين امنيت بالاست كه تا حالا موردي مبني بر هك شدن از طرف هسته گزارش نشده
و ثالثا كساني كه مدعي امنيت پايين مامبو هستند اگر واقعا خودشون به اين موضوع اعتقاد دارند، يا هك كنند يا به كسي بگن هك كنه يا يك گزارش مبني بر هك شدن مامبو از طرف هسته پيدا كنند (تأكيد مي كنم فقط خود مامبو نه سيستم هاي مشابه و ضمنا از طرف هسته نه اكستنشن ها)
[/quote]
در پایان این رو اضافه کنم که این همکار عزیز که اتفاقا خودشون طراح و برنامه نویس هم هستند، فکر کنم به این نکته توجه نکردند که تیم هایی که روی متن باز کار می کنند هم طراح و برنامه نویس هستند! ;)
مامبو تونسته به قدری از نظر امنیتی جلب اطمینان کنه که سایت های بزرگی که کم هم نیستند مثل [مهمان/کاربر گرامی برای دیدن لینک ها ابتدا باید عضو سایت شوید و لاگین کنید برای ثبت نام اینجا کلیک کنید] از مامبو استفاده می کنند.
پاسخ : امنيت مامبو در چه سطحيه!؟
نقل قول:
ضمنا مي گفت سايتهايي كه از template استفاده مي كنند از امنيت بالايي برخوردار نيستن!!! و خلاصه از اين جور حرفا...
سلام
به نظر مياد ايشون اصلا با سايت هاي دايناميك ميانه خوبي ندارند و فكر مي كنند سايت هاي استاتيك امنيت بهتري دارند
پاسخ : امنيت مامبو در چه سطحيه!؟
من یه بار به یه شخصی که طراحی سایت میکرد پیشنهاد دادم یه cms برام درست کنه ، بعد حرف جوملا و مامبو پیش اومد . اون هم میگفت امنیتش کم هست و البته میگفت که میتونه روش کار کنه و نقاط امنیتیش رو بر طرف کنه . بعد ها بیشتر تحقیق کردم و بیشتر بهش فکر کردم . ... پیش خودم به این نتیجه هم رسیدم که شاید برای اینکه بازار کار بهتری داشته باشه ، باید این موارد رو هم بگه ! چون به نظرم نرم افزاری که متن باز به حساب میاد ، خیلی ها روش اصلاحیه دادن . ولی از طرفی برای پیدا کردن راه های نفوذ به اون سایت هم افراد زیادی تلاش میکنند ...
پاسخ : امنيت مامبو در چه سطحيه!؟
[quote author=mnad link=topic=20637.msg109576#msg109576 date=1247072561]
من یه بار به یه شخصی که طراحی سایت میکرد پیشنهاد دادم یه cms برام درست کنه ، بعد حرف جوملا و مامبو پیش اومد . اون هم میگفت امنیتش کم هست و البته میگفت که میتونه روش کار کنه و نقاط امنیتیش رو بر طرف کنه . بعد ها بیشتر تحقیق کردم و بیشتر بهش فکر کردم . ... پیش خودم به این نتیجه هم رسیدم که شاید برای اینکه بازار کار بهتری داشته باشه ، باید این موارد رو هم بگه ! چون به نظرم نرم افزاری که متن باز به حساب میاد ، خیلی ها روش اصلاحیه دادن . ولی از طرفی برای پیدا کردن راه های نفوذ به اون سایت هم افراد زیادی تلاش میکنند ...
[/quote]
شما به [مهمان/کاربر گرامی برای دیدن لینک ها ابتدا باید عضو سایت شوید و لاگین کنید برای ثبت نام اینجا کلیک کنید] توجه کنید. گویای همه چیز هست ...
پاسخ : امنيت مامبو در چه سطحيه!؟
دوستان سلام
از راهنمایی هاتون خیلی ممنون
[quote author=سعید link=topic=20637.msg109493#msg109493 date=1246967385]
نظرات مختلفی ممکنه در ذهن دوستان شکل بگیره که همه قابل احترام هست، اما من شخصا به این جمله معتقد ترم :
[quote author=سیامک link=topic=20637.msg109486#msg109486 date=1246954036]
در مورد اون جمله که در مورد تمپلیت گفتید، فکر نمیکنم هیچ جوابی لازم باشه! قطعا چنین اظهار نظری اینقدر ناشیانه و سطحی هست که پاسخ گویی بهش مسخره به نظر میرسه ;)
[/quote]
البته نه تنها در مورد اون یک جمله ! به نقل قول دقت کنید:
[quote author=moztarzadeh link=topic=20637.msg109476#msg109476 date=1246950275]
من از مدير يك شركت برنامه نويسي و طراح سايت كه خودش هم يك برنامه نويس تحت وب هست ...
[/quote]
بنابراین حرفی برای گفتن باقی نمی مونه !
[/quote]
من این شخص رو به خوبی میشناسم ، تو کارش هم وارده ولی حالا که نظرات دوستان رو خوندم متوجه شدم که به احتمال زیاد با سوء نیت این حرفها رو زده. چیزی که مشخصه اینه که همین طور که مامبو و جوملا طرفداران زیادی دارن ، دشمنان و مخالفان زیادی هم دارن چون با وجود چنین سیستم هایی کارشون کمتر شده!
پاسخ : امنيت مامبو در چه سطحيه!؟
[quote author=moztarzadeh link=topic=20637.msg109613#msg109613 date=1247129053]
من این شخص رو به خوبی میشناسم ، تو کارش هم وارده ولی حالا که نظرات دوستان رو خوندم متوجه شدم که به احتمال زیاد با سوء نیت این حرفها رو زده. چیزی که مشخصه اینه که همین طور که مامبو و جوملا طرفداران زیادی دارن ، دشمنان و مخالفان زیادی هم دارن چون با وجود چنین سیستم هایی کارشون کمتر شده!
[/quote]
از نیت افراد کسی خبر نداره و نیت افراد بر همه جز سازندشون پوشیده هست و در صلاحیت ما نیست که راجع به نیت افراد صحبت کنیم.
منتها بنده خودم هم برنامه نویس هستم، هم پروژه هایی در حد یک سیستم مدیریت محتوا رو نوشتم یا مدیریت کردم، روی مامبو/جوملا هم کار کردم.
با ایمانی که به کارم دارم و صد البته مورد تایید اساتیدم و مشتری هم بوده، اما باز هم سعی می کنم برای کاربردهای متداول از سیستم های مدیریت محتوای متن باز استفاده کنم. به دو دلیل :
1- اگر بخوام راهی رو برم که توسعه دهندگان مامبو رفتند، بعد از 9 سال تازه به جیی می رسم که الآن مامبو رسیده!
2- قطعا کسانی هم که روی مدیریت محتوای مامبو و جوملا کار می کنند که در دو سال پیاپی بهترین سیستم های مدیریت محتوای جهان شناخته شدند (با وجود این همه سیستم غیر رایگان)، اونها هم برنامه نویس هستند و شکی نیست که هم از نظر اشراف به برنامه نویسی هم نکات امنیتی و هم تجربه ساخت و توسعه سیستم های مدیریت محتوا در سطح بسیار بالاتری قرار دارند.
مامبو 9 سال تجربه با خودش داره. کسی که مدعی میشه که حفره های امنیتی در این سیستم ها کشف کرده و البته قادر هم هست که اینها رو رفع کنه الزما وجوبی نیست که 9 سال تجربه برنامه نویسی اون هم در زمینه بخصوصی مثل توسعه سیستم مدیریت محتوا داشته باشه. بالاخره چیزهایی هست که ممکنه به ذهن افراد برسه . اما باید در حدی باشه که اگر تغییری در این سیستم ایجاد کرد تضمین امنیتی رو بکنه که در 9 سال بدست اومده و سیستمی رو تحویل بده که 9 سال هست آب بندی شده!
بنابراین اگر مورد خاصی در خصوص امنیت مامبو مدنظر ایشون باشه، خوب می تونن استناد کنند و اگر هم مورد خاصی وجود نداره اینطور نیست که بشینند و به این راحتی حفره تراشی کنند و هرطوری که شده به هر جهت تغییراتی رو ایجاد کنند تا توجیهی باشه برای دریافت هزینه.
من به دغدغه این دوست احترام می گذارم، چون خودم یک برنامه نویس هستم و دقیقا ایشون رو درک می کنم.
اما راهش این نیست. ایشون می تونن روی توسعه و خدمات همین سیستمی کار کنند که از این گسترگی کاربرد برخوداره. جوملا و مامبو هرچقدر هم که دسته کم گرفته بشه انصافا باز هم ارزش این رو دارند که از اون به عنوان یک framework استفاده بشه. خصوصا اینکه هر دو API خوبی رو در اختیار توسعه دهنده قرار دادند.
سیستم های نرم افزاری خصوصا سیستم های مدیریت محتوای متن باز و بالاخص با این همه گستردگی کاربرد و استفاده، مطمئنا زیر ذره بین هزاران نفر از زبده ترین کارشناسان امنیت و هکرها هستند و به محض اینکه حفره ای در اونها مشاهده بشه در کوتاهترین زمان ممکن در پروژه گزارش میشه و رفع عیب میشه.
امنیت هم نسبی هست و به فاکتورهای مختلفی بستگی داره. اون قسمت از امنیت که مربوط به سیستم مدیریت محتواست بنابر اصل تحدی تضمین شده هست. یعنی اینکه اگر مامبو اینطور نا امن بود تا الآن سایت های بزرگ و مهمی مثل سایت وزارت دفاع یک کشور دوام نمی آورد!
پاسخ : امنيت مامبو در چه سطحيه!؟
ممکنه یه چند تانمونه کار از این بنده خدایی که امنیت مامبو و جوملا رو زیر سوال بردن و به اصطلاح خودشون امنیت این سیستم ها رو رد کردن بدونم . بهشون بگید چند تا از سایت هاتون رو بدید تا یه چک امنیتی کنیم براتون ;) ;)
پاسخ : امنيت مامبو در چه سطحيه!؟
[quote author=کاسپرسکی link=topic=20637.msg110978#msg110978 date=1248771620]
ممکنه یه چند تانمونه کار از این بنده خدایی که امنیت مامبو و جوملا رو زیر سوال بردن و به اصطلاح خودشون امنیت این سیستم ها رو رد کردن بدونم . بهشون بگید چند تا از سایت هاتون رو بدید تا یه چک امنیتی کنیم براتون ;) ;)
[/quote]
اگه اجازه بدید این کارو نکنم!
چون تو سایتهایی که ایشون طراحی کردن هویتشون کاملا مشخصه. ضمنا من از ایجاد این تاپیک هیچگونه نیت بدی نداشتم و فقط می خواستم اطلاعات خودم و دوستان بیشتر بشه.
یاعلی
پاسخ : امنيت مامبو در چه سطحيه!؟
مشکلی نیست ! برادر منم قصد بدی نداشتم خدای نکرده !
پاسخ : امنيت مامبو در چه سطحيه!؟
[quote author=moztarzadeh link=topic=20637.msg110979#msg110979 date=1248772198]
هویتشون کاملا مشخصه
[/quote]
مگه اگر هویتشون مشخص بشه، کسی میره ترورشون کنه؟! حالا سایتاشون رو ببینیم بد نیست که! شاید خدا خواست و رفتیم ... . ;D
خوب پیشنهادی دادی رسول جان. ;) >:D
یا حق
پاسخ : امنيت مامبو در چه سطحيه!؟
رو سرور اختصاصی Secure شده یه مامبو نصب کن(آخرین ورژن) بعدش Htaccess رو هم طوری تنظیم کن که خیلی از حملات و اینجکشن ها رو دفع کنه بعد یه قرآن بیار من دست میزارم روش و قسم میخورم عمرا کسی نمیتونه این سایت رو انگولک کنه!!!مگه اعجوبه ای نابغه ای چیزی پیدا بشه که اونم سراغ ساین من و شما و ... نمیاد
پاسخ : امنيت مامبو در چه سطحيه!؟
شاید جالب باشه بدونید که دوست خوبمون یاشار (dj_ahmad)، در هک و امنیت دستی در کار دارند و برای خودشون یه جورایی استاد شدن. اما یک نکته رو فراموش کردن و اون هم اینه که هیچ اکستنشن غیر استاندارد و یا مشکوکی و یا با امنیت کم نصب نشده باشه. اونموقع هست که دیگه نمیشه ... .
یا حق
پاسخ : امنيت مامبو در چه سطحيه!؟
من تکذیب میکنم.
مال این حرفا نیستم داش مهدی.ضمنا اگه سایت zone-h رو دوستان دیده باشن که مخصوص ثبت رکودهای هک در دنیا هست با هسته جوملا ساخته شده و یکی از امن ترینهاست.
پاسخ : امنيت مامبو در چه سطحيه!؟
[quote author=پـــســـر مــهـربــــــــون link=topic=20637.msg110996#msg110996 date=1248778701]
اما یک نکته رو فراموش کردن و اون هم اینه که هیچ اکستنشن غیر استاندارد و یا مشکوکی و یا با امنیت کم نصب نشده باشه. اونموقع هست که دیگه نمیشه ... .
[/quote]
شما هم فراموش کردید !
هنوز خیلی راه های بیشتری هستند که میشه ... ;)
البته نه در مورد مامبو، بلکه در مورد هر سیستمی می تونه مطرح باشه.
حتی اگر این راه هم که مدنظر من هست نبود، باز هم نمی شه امنیت رو 100% تضمین کرد.
ولی بطور نسبی امنیت سیستم مدیریت محتوای مامبو در سطح بسیار مناسبی هست.
پاسخ : امنيت مامبو در چه سطحيه!؟
[quote author=dj_ahmad link=topic=20637.msg110999#msg110999 date=1248780028]
ضمنا اگه سایت zone-h رو دوستان دیده باشن که مخصوص ثبت رکودهای هک در دنیا هست با هسته جوملا ساخته شده و یکی از امن ترینهاست.
[/quote]
سلام
بهتره بگیم ساخته شده بود ;)
چون چند وقتی است که باز سیستم سایت رو تغییر دادند
یا علی
پاسخ : امنيت مامبو در چه سطحيه!؟
اون که بله سعید جان ! :دی
تا فردا هم در رابطه با امنیت صحبت کنیم، میشه ارسال داشت.
بطور کلی تاپیک خیلی بار فنیش رفت بالا، و بهتره ایجاد کننده تاپیک این تاپیک رو خلاصه کنن و به فرد مورد بحث ارسال کنن. شاید اومدن و یه خورده با همدیگه صحبت کردیم :دی - گفتگوی تمدنها که میدونید چیه >:D O0
یاشار جان چیزایی میگی که آدم رو مجبور میکنی یه خورده در رابطت توضیح بدم ؟! اما کور خوندی. نمیگم که ملت نترسن ;) :-X
پاسخ : امنيت مامبو در چه سطحيه!؟
نقل قول:
سلام
بهتره بگیم ساخته شده بود
چون چند وقتی است که باز سیستم سایت رو تغییر دادند
یا علی
کاملا درسته
به اندازه آقای فیروزمندان آپگرید نبودم
داش مهدی اینقدر هندونه بار ما نکن ما جنبه نداریماااااااااااااااا ;D
