کمک جلوگیری از لیست شدن پوشه ها در سایت

[amir.d]

بازم سلام

بهمن جان ، این انجمن (به نظر من که الان n سال هست که توی اینترنت چرخ می زنم ) یکی از بهترین ساپورت ها رو داره ...

به نکات امنیتی توجه کن . پرمیشن ها ، پسورد ها ، هاست امن و ... ( همون هایی که دوست خوبم علی گفت) با دقت بخون و انجام بده . اگه انجام دادی ، واقعا خیالت راحت باشه

توی این مدت که توی این انجمن هستم دیدم که 99% هک های اتفاق افتاده ، به علت امن نبودن سرور ها و انجام ندادن ساده ترین قواعد بوده . و به اینکه مامبو یکی از امن ترین برنامه های موجود هست هم ایمان کامل دارم . از اینکه این حرف رو میزنم هیچ ( تاکید میکنم ) هیچ سودی به من و امثال من نمی رسه ، فقط یه نظر فنی و التبه تجربی هست ...

حالا که پاش افتاد و منم فرصت دارم ، بذار نظر خودم رو در مورد امنیت و مامبو بگم :

همه دوستان من در این انجمن از من استادتر و با تجربه تر هستند و می دونید که امنیت یه مسئله کاملا نسبی است . پس باید باهاش نسبی هم برخورد کرد .
* - امنیت رو اگه از نظر نرم افزارهای سایت نگاه کنید ، مامبو از به چند دلیل امن و قدرت مند هست :

1. متن باز بودن .
کلا من به نرم افزار های متن باز بیشتر از برنامه های سفارشی (بعضا از برنامه هایی که خودم هم می نویسم ) اطمینان دارم . چون علاوه بر تست هایی که معمولا برای ارائه برنامه استفاده میشه ، سورس برنامه هم در اختیار همه هست که خودش داستان ها داره . شاید اینطور به نظر بیاد که خوب اینکه بده ، چون همه می دونند در برنامه داره چه اتفاقی می افته . اما به نظر من این یه حسن واقعی هست . چون برنامه از نظر منطقی و حتی امکان وجود باگ های مختلف از دید هزاران برنامه نویس در سرتاسر دنیا می گذره و .... پس اگه باگی کشف میشه من اولین نفری هستم که هورا میکشم .

2. پایداری :
مامبو نسبت به رقبا ( و در واقع نسبت به رقیب اصلی خودش ، یعنی جوملا ) استراتژی خاصی رو اتخاذ کرده . مامبو با سرعت پایین تر و پایداری بیشتری در حال حرکت هست .
این مسئله باعث میشه که برنامه با ثبات و به طبع امن تری باشه . تعداد باگ های گزارش شده رو بررسی کنید دیگه جایی برای توضیح نمی ذاره .

3. طراحان قوی و با سابقه خوب . ( بدون شرح )
4. ساپورت خوب .
خوب همه می دونند که اگه خدایی نکرده باگی در نرم افزار پیدا شد ، اگه برنامه نقصی داشت ، اگه ... باید چه کار کرد . معمولا ما ساپورت خوب رو به یه انجمن فعال می بینیم و ... اما به تجربه به من ثابت شده که ساپورت خوب یعنی تیم متعهد ، دائم و مسئول . انجمن ها هر چقدر که فعال هم باشند اگه باگی باشه و تیم پچ مورد نیاز رو دیر بده یا اصلا نده ...!!؟؟ . در این مورد هم در سایت اصلی و هم در مامبولرن از بهترین ساپورت برخورداریم .

5. انعطاف پذیری .
این ویژگی در تمام بخش های مامبو وجود داره . اما الان که صحبت در مورد امنیت هست ، آیا با قواعد محکم امنیت باز این گفته درسته ؟؟!!
بذارید از دوتا تجربه بگم . فرض کنید که شما برای بخشی می خواهد از مامبو استفاده کنید که مخاطب آزار داره . یعنی جرات نمی کنی که برنامه ای رو تست نشده قرار بدی . در این مورد من با اطمینان کامل از مامبو استفاده می کنم . اما برای اینکه نذارم کسی دست از پا خطا کنه با یه تغییر کوچیک در ورودی های برنامه ، کاری می کنم که هر کسی در اون مجموعه حرکت ناشایستی ( چه موفق ، چه غیر موفق ) ازش سر زد به مدیر مجموعه گزارش بده . ;D
تجربه تلخ : من با برنامه ای مواجه شدم که انقدر به امنیت رسیده بود که حتی اجازه نمی داد کار عادی در برنامه انجام بشه ( به خاطر شهرتش ، اسمش رو نیاوردم ) .

6. ... (چشاتون خسته میشه : . اینا اصلی ها بود ، مابقی باشه برای یه فرصت دیگه )

* - اما امنیت از نظر سرور :

سرور خوب این روزها کیمیاست . بله دوستان من با چندین شرکت مختلف و معروف ایرانی کار کردم . سرور اختصاصی رو دیدم که (ببخشید) سوراخ سوراخ بود > .
سرور هایی هستند که توانمندهای خودشون رو قربانی امنیت می کنند . من هاستی دارم که فرمودند به خاطر امنیت Cron Job رو غیر فعال کردن . با شنیدن این جمله 20 دقیقه خندیدم و بعد 10 دقیق سرگیجه داشتم ....

اما باید چه کرد :

همون طور که گفتم و شما هم میدونید امنیت ( با تمام این تفاسیر ) نسبی هست و باید باهاش نسبی بر خورد کرد . طوری کارهای خودتون رو انجام بدید که نسبت هک رو در حداقل خودش قرار بده . یعنی هاست خوب ، برنامه خوب ، رعایت نکات ایمنی ( که بیشترش مثل پرمیشن ها و ... عمومی هستند و به برنامه خاصی مثل مامبو اختصاص ندارند ) و ... .

اما این موضوع رو باید در ذهن خودتون داشته باشید که باز هم این نسبت هک هنوز وجود داره ( از هر راه و شکلی ) . پس در انتخاب استراتژی و تاکتیک های خودتون این دیدگاه رو اعمال کنید . این اولین گام و مهمترین گام هست . با داشتن این دیدگاه شما از تاکتیک هایی مثل :

الف - تهیه و نگه داری بک آپ های منظم از تغییرات سایت خود . تا در صورت وقوع هر حادثه ای ( حتی انفجار دیتاسنتر و سرور )بتونید در اسرع وقت و کم ترین هزینه و خسارت به حال اول باز گردید.
ب - آگاهی کامل نسبت به برنامه و شرایط سایت . بعضا کم توجهی و عدم شناخت باعث وقوع حوادث میشه . و نبود آگاهی می تونه هزینه ها و خسارات شما رو در بازیابی بالا ببره ....
ج - برطرف کردن ارور های سایت . نکته مهمی هست که با زدن یه مثال بخشی از این موضوع رو باز میکنم . فرض کنید که هکی اتفاق افتاده ، منطق به شما حکم میکنه که علت رو بررسی کنید . در اولین حرکت به سراغ گزارشات خطا می روید ، به تعداد دقایق روز ارور 404 می بینید خوب با دیدن این موضوع شما شوکه میشید و مفهمید که زودتر از اینها باید اینجا می آمدید و این مسئله رو بررسی می کردید ، چون فقط اشتباه اضافه شدن یه فایل ( که حتی با اضافه شدن یه نقطه "." هم به سادگی اتفاق می افته ) در قالب سایت شما در هر بازدید در سرور یه ارور ثبت کردیدو .......
این فقط یه مثال بود که زدم . از این بدتر هم میشه که در این مقال نمی گنجد ??? .

د - بروز رسانی مداوم .
....

و ده ها مورد دیگه خودتون بر اساس تجربه و مطالعه بهش میرسید و انجام میدید . اینکه شما بر یک موضع متمرکز بشید خیلی میتونه بد باشه . می تونه شما رو گمراه کنه و حتی می تونه دست و پا گیر باشه ( مثل هاستینگی که مثال زدم ) . بهتره امنیت رو یه گزینه اصلی و در دیدگاه خود قرار بدید و بعد به سراغ بررسی ، انتخاب ، راه های اجرا و جلوگیری بروید . اینطوری به بهترین بازدهی می رسید و امنیت رو یه قول یا دیوار برای کار نمی کنید . امنیت یه بخش از کار هست. هدف خودتون رو فراموش نکنید!

ببخشید که انقدر طولانی شد . من (فکر میکنم ) تنها کسی هستم توی این فروم پست هایی به این طولانی میده ;D . اما فقط امیدوارم که برای دوستانم کاربردی باشه .
اینها فقط نظرات من بود و نه بیشتر .

سربلند باشید
امیر