لدي مشروع موقع ويب
ولكن ينتابني خوف كبير من ناحية الاختراق والتوافق وامور اخرى كثيرة
كتبت المشروع بلغة php sql js ولكني متوتر ومتردد كثيراً
هل لديك نصائح؟
متى يمكنني معرفة ان مشروعي جاهز للاطلاق؟
حاول الابتعاد عن الاحتفاظ ببيانات المستخدمين. كما يمكنك استاجار من يفحص حماية موقعك
إستفسارك مفتوح للغاية..
لذلك هذه دورة قد تفيدك عن الحماية (لم أتابعها، لكن كعناوين -فديوهات- فهي مناسبة)
حول التوافق: هل تقصد التوافق مع جميع الأجهزة!؟
حول التوافق: هل تقصد التوافق مع جميع الأجهزة!؟
لا
بل بشكل عام مع الحماية والاخطاء, وامور كثيرة
إن كانت أول عملية إطلاق لك:
في الحماية، الأهم الذي يحظرني الأن:
-لا تقم بحفظ كلمات المرور إلا وهي مشفرة على قاعدة البيانات.. ومن الأفضل ألا تقوم بحفظ كلمة السر في الكوكيز بل بدل ذلك إستعن ب token خاص ومميز بكل مستخدم على حدا.. يتجدد أحيانا (مثلا عند تسجيل الخروج) وهو مايمكنك أن تقوم بحفظه في الكوكيز للتأكد المستمر عند كل تحديث...
-قم بالتأكد من تجريد ال _POST و ال _GET من: إستخدامات HTML غير المرغوب بها، أو إستخدامات جلب معلومات معينة أو عرض ملفات عبر ال_GET سواءَ API أو غيرها..
-إحرص على حماية الsql من الحقن..
-راجع عمليات رفع الملفات (كي لاتخرج عن المرغوب فيه) إن كانت...
في التوافق والأخطاء العامة:
إن كان يعمل معك الموقع بدون أخطاء في السرفر المحلي لديك (...) فسيعمل بالتأكيد عند الرفع كما أيضا... فقط قد يلزمك القليل من تغيير في بعض الإعدادات وهذا نادر....
((+يمكنك الإطلاق؛ كإطلاق تجريبي ويختبر من يريد "الأخطاء"))
تحديد النصائح المناسبة لك . تعتمد على نوع المشروع.
هل سيحتاج زوار الموقع للتسجيل حتى يستفيدو من الخدمة؟
هل الخدمة التي ستقدمها بالموقع يجب ان تكون اونلاين ١٠٠% من الوقت؟
كهاوي بادارة المواقع ( منذ ١٠ اعوام ). تعرضت مواقعي للاختراق ٣ مرات.
في الحالة الاولى. توقف الموقع ٦ ساعات بشكل كامل حتى تواصلت مع المبرمج للاصلاح. وكان الضرر على البيانات صفر.
الحالة الثانية: تعرضت احد الاضافات في الموقع للاختراق. من سوء الحظ ان المسؤول التقني كان مسافر ... الحل كان بايقاف الاضافة لمدة ٦ اسابيع.
الحالة الثالثة : طبعا اصبحت اكثر اطلاعا و اشترط امتلاكي لكامل مفاتيح الموقع و اعمل نظام نسخ احتياطي اسبوعي. و الموقع عبارة عن منتدى وعدد زياراته اليومية ١٠٠ ضعف المواقع السابقة.
كان الاختراق عبارة عن اسبام ( تسجيل عدد كبير من العضويات الوهمية ونشر اعلانات في الموقع ).
بعد اصلاح الخلل . كان امامنا حلان الاول استرجاع النسخة الاحتياطية و خسارة مشاركات الاعضاء ل٥ ايام . او الحذف اليدوي ( وهو ما اجمع عليه المشرفيين).
قريبا سوف اطلق مشروع. وانا افكر في استئجار خدمة من موقع خمسات لاجراء اختبار.
على الاقل يكون الاختبار الاولي للبحث عن ثغرات بالموقع من طرف ثالث يعمل لحسابنا.
كبداية لا يمكنني دفع تكاليف مختبر الاختراق , راسلت احدهم وطلب 500 دولار, مع انه شخص محترف, ولكن هذا المبلغ كبيراً جداً لان المشروع مازال في حيز اتنفيذ والتجربة
وشكراً على النصائح
قريبا سوف اطلق مشروع. وانا افكر في استئجار خدمة من موقع خمسات لاجراء اختبار.
سنكون في الانتظار
بالنسبة للحماية أنصحك بقراءة Owasp top 10 2017 ففي ذلك الإصدار يشرحون أشهر 10 أنواع من الثغرات وكيفية الحماية منها.
قد يمكنني مساعدتك من خلال فحص موقعك من الثغرات ومن ناحية الاخطاء العادية يمكنك جعل مجموعة من الناس تجرب موقعك وتبلغك عن الاخطاء فيها
التعليقات