بایگانی دسته‌ها: امنیت

کار با برنامه های تحت وب، از طریق صوت در Chrome

بابک فخریلو

نسخه ی بتای جدید (برای کسانی که نمی دانند باید بگویم که گوگل مدعی است همیشه Chrome را در حالت بتا عرضه خواهد کردو نسخه ی stable نخواهد داشت) از مرورگر Chrome، می تواند کنترل برنامه های تحت وب را از طریق فرمان های صوتی به اجرا در آورد، یعنی کاربران می توانند در حین بازی کردن، فایل های خود را هم از طریق فرمان های صوتی ایمیل کنند.

نسخه بتا از Chrome 25 با عرضه ی Web Speech API، به توسعه دهندگان این امکان را می دهد تا ویژگی تشیخص صوت را در برنامه های کاربردی خود قرار دهند.

«در آینده نزدیک، می توانید از  طریق صحبت کردن با برنامه ها همه ی کارهایتان را انجام دهید» این را یکی از مهندسان گوگل در یک پست وبلاگ اعلام کرده است.

نسخه ی ویندوز همچنین به طور خودکار، برخی از افزونه هایی که ممکن است بی سر و صدا روی مرورگر نصب شوند را غیرفعال خواهد کرد.

پیش از این گوگل امکان نصب افزونه ها را از طریق مکانیسم Regisrty فراهم می کرد، و کاربران می توانستند افزونه هایی که به نظرشان مفید می آمد را نصب کنند.

با این حال، این ویژگی توسط بسیاری از توسعه دهندگانی که می خواستند افزونه ها را بدون اطلاع کاربر نصب کنند، مورد سو استفاده قرار می گرفت، که درنتیجه سرعت عملکردی مرورگر کاهش می یافت.

اما حالا وقتی افزونه ها می خواهند نصب شوند، کاربران نسبت به حذف یا مجاز به نصب بودن این افزونه ها، هشداری را دریافت می کنند.

همچنین این نسخه شامل بهبودهایی امنیتی ویژه توسعه دهندگان نیز هست. برای مثال، توسعه دهندگان می توانند فهرستی از منابع محتوایی مورد اعتماد را با استفاده از  CSP HTTP Header مشخص کنند.

این بهبود امنیتی که با بهره گیری از CSP، پدید آمده، باید تهدیداتی مانند cross-site scripting و content injection را کاهش دهد.

برگرفته از :

New Chrome browser beta adds voice recognition API

یاهو در نهایت HTTPS را برای سرویس های پیام رسانی خود فعال کرد

بابک فخریلو

اعتراض های متعدد کاربران سرویس ایمیل یاهو نسبت به عدم فعال بودن پروتکل  HTTPS برای این سرویس، در نهایت به ثمر نشست، و حالا یاهو HTTPS را برای سرویس های ایمیل و پیام رسانی خود فعال کرده است. فارغ از بررسی های فنی، این تصمیم یاهو حرکت مثبتی به سمت حفظ حریم خصوصی وامنیت کاربران محسوب می شود.

در حال حاضر، HTTPS به صورت پیش فرض برای برنامه های موبایل یاهو تحت iOS، Android و Windows 8 فعال است. کاربرانی که از طریق مرورگرها به سرویس ایمیل دسترسی پیدا می کنند، برای فعال کردن HTTPS باید به بخش تنظیمات مراجعه کنند (مطالعه راهنمای کامل). با فعال کردن این ویژگی، از پیام های تبادلاتی شما در Yahoo! Messenger هم  حفاظت می شود. البته این ویژگی صرفا برای دسترسی از طریق مرورگر فعال است، و نسخه ی رومیزی Yahoo! Messenger چند وقت دیگر به این ویژگی مجهز خواهد شد.

شاید این اقدام Yahoo! در پاسخ به نامه ی سرگشاده ی اینترنتی باشد که توسط کاربران بیشماری امضا شد، که در آن از Yahoo! خواسته شده بود نسبت به فعال کردن HTTPS برای سرویس ایمیل خود، اقدام کند.

وب سایت هایی که سرویس های خود را از طریق پروتکل HTTP ارائه می دهند، عملا آنها را در معرض دستکاری و سرقت افراد سودجو قرار می دهند. اما HTTPS ترافیک بین شما و وب سایت سرویس دهنده را به صورت رمز شده ارسال می کند.

برگرفته از :

Yahoo! bolsters privacy with global HTTPS support

استانداردی جدید در میان پروتکل های اینترنت؛ HSTS

بابک فخریلو

مکانیسیم امنیتی جدیدی مورد تایید قرار گرفته که تضمین می کند سایت های با قابلیت فعالیت روی HTTPS، مقاومت بیشتری در برابر حملات مختلف از  خود نشان دهند، و تبدیل به یک استاندارد شده، گرچه در حال حاضر حرکت به سوی استفاده از آن بسیار کند است، و صرفا سایت هایی مشهور و بزرگ از آن استفاده می کنند.

HTTP Strict Transport Security (HSTS) به وب سایت ها اجازه می دهد تا صرفا از طریق HTTPS قابل دسترس باشند، و طوری طراح شده تا مانع از حملاتی شود که در آن، فرد هکر کاربران را مجبور به استفاده از اتصال HTTP می کند یا مشکلاتی را در HTTPS به وجود می آورد تا یکپارچگی محتوای بی خطر را مورد تهدید قرار دهد.

IETF، گروهی که موظف به توسعه و ارتقای استاندارد های اینترنت هستند، مشصخه های HSTS را در قالب مستند استاندارد RFC 6797 ، منتشر کرده اند. بخش امنیت وب در IETF، از سال 2010 روی این استاندارد جدید کار می کرده، که در آن زمان پیش نویس این استاندارد، توسط Jeff Hodges از PayPal، Collin Jackson از دانشگاه Carnegie Mellon و Adam Barth از Google، ارائه شد.

HSTS مانع از حملاتی که اصطلاحا mixed content خوانده می شوند، می  گردد. این نوع از حملات زمانی رخ می دهد که script ها یا سایر منابع جای گرفته در یک وب سایت، که روی HTTPS سرویس ارائه می دهد، از یک منبع شخص ثالثی (به عنوان نمونه می توان به اسکریپت های آمار گیری اشاره کرد) و با یک اتصال غیر امن بارگذاری می شوند. بروز چنین رخنه ای می تواند عمدی یا در نتیجه ی بی توجهی در فرآیند توسعه ی آن وب سایت باشد.

وقتی مرورگر منابع را از اتصال های غیر امن بارگذاری می کند، درخواست خود را از طریق HTTP می فرستد، که در این حالت می توان حتی session cookie کاربر را هم ارسال کرد. مهاجم می تواند درخواست ارسالی را به راحتی با  sniff کردن شبکه باز کرده، cookie را از  آن استخراج کند، و حساب کاربری افراد را در وب سایت ها سرقت کند.

مکانیسم HSTS همچنین مانع از حملات نوع man-in-the-middle می شود، که در آن شخص مهاجم می تواند اتصال کاربر به یک وب سایت را مانیتور کند و مرورگر کاربر را وادار کند به جای اتصال HTTPS، از  اتصال HTTP استفاده کند. این تکنیک همچنین با نام SSL Stripping هم شناخته می شود، و ابزارهایی هم برای انجام آن وجود دارد.

وقتی مرورگر با HTTPS به وب سایتی متصل می شد که از HSTS پشتیبانی می کند، یک چیزی مانند شناسه (در متن اصلی با نام policy آمده است) ذخیره می شود که البته طول عمر مشخصی دارد. از آن به بعد، تا زمانی که شناسه منقضی نشده، مرورگر از اتصال نا امن به آن وب سایت خود داری خواهد کرد.

HSTS از طریق Http Response header منتقل می شود، و درون فیلدی به نام Strict-Transport-Security قرار می گیرد. از همان Header می تواند برای بروز رسانی یا تازه سازی شناسه ی امنیتی  ذخیره شده در مروگر استفاده کرد.

این استاندارد یکی از بهترین رخ دادها برای SSL است، چرا که مشکلاتی که 18 سال پیش هنگام طراحی SSL چشم پوشی شده بود را برطرف می کند.

HSTS کاری به هشدار های مشکوک بودن certificate ندارد. اگر مشکلی دیده  شود، مرورگر به سادگی از اتصال امتناع خواهد کرد و به کاربران این فرصت را نمی دهد که مانند خطا های SSL Certificate، آن را ignore کنند.

البته حتی اگر سایتی از HSTS پشتیبانی بکند، امکان بروز حمله، در صورتی که مرورگر برای بار اول سایت را بارگذاری می کند، وجود دارد، چرا که ممکن است مرورگر شناسه ی امنیتی را ذخیره نکرده باشد. در آن هنگام، مهاجم می تواند مانع از دسترسی مرورگر به نسخه ی  HTTPS سایت شود و آن را مجبور به استفاده از HTTP کند.

برای حل این مشکل، مرورگرهایی مانند Chrome و Firefox فهرستی پیش تهیه شده را از سایت های محبوبی که از HSTS پشتیبانی می کنند، دارند.

مطابق آنچه SSL Pulse می گوید، حدود 1700 سایت  از 180000 سایت که روی HTTPS کار می کنند، از HSTS هم پشتیبانی می کنند. SSL Pulse پروژه ای است، که مسئول مانیتور کردن پیاده سازی های HTTPS در وب سایت ها می باشد.

به نظر می رسد بزرگ ترین مشکل در برابر HSTS این است که باید در این زمینه آموزش داد، و همه باید نسبت به وجود آن اگاه باشند.

سایت های محبوبی که از HSTS پشتیبانی می کنند، در حاضر شامل سایت هایی چونPayPal ، Twitter و سرویس های مختلف Google می شود. Facebook گرچه اتصال دائم از طریق HTTPS را فعال کرده، اما هنوز از استاندارد جدید پشتیبانی نمی کند.

برگرفته از :

HTTP Strict Transport Security Becomes Internet Standard

راه هایی برای حفظ شخصیت آنلاین!

من قبلا تو حوزه ی حریم خصوصی مطلب زیادی نوشتم. اما مطلب امروز گرچه زیاد به حریم خصوصی مربوط نیست، اما محورش در همون موضوع تقریبا. یکی از اهداف من به خاطر تاکید های زیادم به حفظ حریم خصوصی، این بود که شخصیت و وجه ی آنلاین شما به خاطر بی توجهی خدشه دار نشه. مطلب امروز با دقت بخونید پس.

بابک فخریلو

اگر به دنبال پیشرفت کاری خود در حوزه ی IT هستید، مدیریت شخصیت آنلاین شما به اندازه ی توانایی ها و تجربه های شما اهمیت دارد. در اینجا سه راه کار برای حفظ شخصیت آنلاین مطرح می کنیم.

همیشه یک وجه ی آنلاین منحصر به فرد از خود داشته باشد. در دنیای کاری امروز، این یک الزام است. هویت آنلاین شما می تواند جایگاه بعدی کاری که به دنبالش هستید را تقویت یا خراب کند.

مطابق مطالعات متعددی که توسط Harvard Business Review انجام شده، بیش از 75 درصد شرکت ها، نمایه (profile) انلاین افرادی که به دنبال کار هستند را بررسی می کنند و جالب اینجاست که 70 درصد از آنها بر اساس آنچه در محیط آنلاین از افراد می یابند، تصمیمی به استخدام آنها نمی گیرند. و البته اگر هم هیچ اطلاعاتی از شما را در همین محیط آنلاین نیابند، باز هم خبری از استخدام نیست، پس بهتر است مخفی بودن را کنار بگذارید.

گاهی اوقات کمی از شخصیت واقعی خودتان را با تصویری که از خود برای  محیط های حرفه ای ارائه می کنید، ترکیب کنید. اما توجه کنید که در به اشتراک گذاشتن آن بخش از  شخصیت خود باید هوشمندانه عمل کنید. چیزهایی هستند که نیازی نیست بقیه درباره شان بدانند. می توانید از قانون 20-80 استفاده کنید: 80 درصد از تصویر حرفه ای شما در محیط های عمومی، و 20 درصد هم از شخصیت واقعی خودتان.

برای مثال، اگر کاربر Twitter باشید، 80 درصد از توئیت های شما می تواند در حوزه تکنولوژی، صنعت و موضوعات کاری باشد، در حالی که 20 درصد می تواند مربوط به حسی که به سفر، ورزش، رویداد های جاری، شهر، خانواده، دوستان و … دارید، باشد.

هرگز وجه خود را با به کار بردن زبان غیر مودبانه خراب نکنید. اگر با یک مطلبی موافق نیستید، نظر خود را به روشی مودبانه مطرح کنید.

قبل از فشردن دکمه ی Enter، فکر کنید. اگر مطمئن نیستید که چه برداشتی از پیام تان خواهد شد، در مورد ارسال آن بهتر است باز هم فکر کنید.

برگرفته از :

3 Tips to Protect Your Online Reputation

یک توصیه امنیتی

با محدودتر شدن دسترسی افراد به جریان باز اطلاعات در کشور و با توجه به فعالیت هکرهای وابسته به دولت اخیراشاهد جعل گواهینامه دیجیتالی سایت مهمی همچون سرویس ایمیل گوگل و فیس بوک و … بودیم.حتی شنونده ی گزارشهای مبنی بر جعلی بودن سایتهای ف.ی.ل.تر.شکن و فروش وی.پی .ان نیز هستیم….حال بر اطمینان خاطر پیدا کردن از امن بودن اتصال به سایتهای مربوطه ما چاره ی جزء بررسی گواهینامه سایتها نداریم که با توجه به عدم استفاده ما از اینترنت سیکیوریتی های اورجینال چاره ی جزء رجوع به سایتهای موثق بررسی گواهینامه دیجیتال نداریم…..در این مطلب برای بررسی این امر من سایت خوب و موثق digicert را به شما معرفی میکنم

هشدار:حتما در لحظه چک کردن ایمیلها و اطلاعات محرمانه خود در شبکه های اجتماعی آدرس سایت را برای بررسی صحت گواهینامه امنیتی در نوار آدرس سایت کپی نمایید و نتیجه بررسی را مورد توجه قرار دهید.

Read the rest of this entry

هك شدن iPhone 4S و Samsung Galaxy S3 در مسابقه pwn2own

هفته گذشته در مسابقه Pwn2Own تلفن همراه در یك كنفرانس امنیتی در آمستردام، هكرهای هلند و انگلیسiPhone 4S  و Samsung Galaxy S3 را هك كردند.

هفته گذشته در مسابقه Pwn2Own تلفن همراه در یك كنفرانس امنیتی در آمستردام، هكرهای هلند و انگلیسiPhone 4S  و Samsung Galaxy S3 را هك كردند.Joost Pol، مدیر اجرایی شركت تحقیقاتی هلندی و همكار او Daan Keuper در كنفرانس EuSecWest توانستند به دفترچه آدرس، عكس ها، تاریخچه مرورگر و ویدئوها بر روی یك دستگاه iPhone 4S  دسترسی یابند.Pol گفت: ما به طور خاص این دستگاه را انتخاب كردیم به این دلیل كه iOS نسخه 6 كه این هفته عرضه خواهد شد نسبت به این حمله آسیب پذیر خواهد بود. او اضافه كرد كه دستگاه های آی پد، آی فون نسخه 4 و آی پد لمسی نسبت به این حمله آسیب پذیر هستند. با این وجود، Pol معتقد است كه آی فون امن ترین دستگاه تلفن همراه در بازار است.

بنا بر گزارش دیگری از ZDNet، یك تیم از آزمایشگاه MWR توانستند از طریق فناوری NFC و با استفاده از یك آسیب پذیری ناشناخته در سیستم عامل اندروید 4.0.4، دستگاه Samsung Galaxy S3 را هك كنند و از طریق یك حفره ناشناخته دیگر، دسترسی كامل داده ها را بدست آورند. هم چنین این حمله می تواند به جای استفاده از فناوری NFC، بوسیله ارسال پیوست های مخرب هدفمند همراه پست الكترونیكی یا URL های مخرب انجام گیرد.

همچنین متن مصاحبه این دو نفر را با سایت threatpost را در این پیوند دنبال کنید.

الگوی نوشتاری شما، مانند اثر انگشت تان می تواند منحصر به فرد باشد

بابک فخریلو

دانشمندانی که ابزار کارشان داده هاست، و به عبارتی حرفه ای تر، به کار data mining (داده کاوی) مشغول هستند، در پژوهش های اخیر خود توانسته اند با رمز گشایی از داده های بدون ساختار، به طور دقیق محل رخ داد خشونت در افغانستان را پیدا کنند. و حالا همین دانشمندان، می توانند با بررسی داده های بی ساختار، هویت نویسنده ی یک مطلب را مشخص کنند. آن طور که پیداست، علاوه بر اثر انگشت، همه ی ما یک الگوی نوشتاری منحصر به فردی برای خودمان داریم.

مطابق آنچه متخصصان زبان شناسی در حوزه ی قانون می گویند، افراد خبره ای که به دنبال نویسنده ی یک متن هستند، در صورت داشتن نوشته های معروف شخص، می توانند با دقت 95 درصد، سایر نوشته های آن شخص را هم تشخیص دهند. افراد متخصص در این زمینه به عنوان شاهد در دادگاهی که به درخواست Paul Ceglia، بر علیه Mark Zuckerberg و با ادعای مالکیت نیمی از Facebook تشکیل داده شده بود، شرکت داشتند.

میزان داده هایی که در اینترنت تولید می شود، فرصت های کاری جدیدی را برای خودکاری سازی تحلیل به وجود آورده است. یک شرکت که این فرصت ها را دنبال می کند، مدعی است می تواند نویسنده ی یک مستند را شناسایی کند و می تواند حتی جنسیت، سن، میزان تحصیلات و او را از محتوای نوشته هایش بدست آورد.

اما برخی تحلیل گران حتی بدون نیاز به داشتن نوشته های معروف یک شخص هم می توانند هویت نویسنده ی آن را مشخص کنند. با استفاده از صدها هزار ایمیل موجود از کارمندان شرکت Enron، گروهی از دانشمندان حوزه ی کامپیوتر از دانشگاه Concordia،  رویکرد خود در زمینه ی خوشه بندی مستندات را برای شناسایی نویسنده ی های این مستندات، به کار گرفتند. گرچه آنها معتقدند نیاز به تحقیقات بیشتری است، ولی می گویند که تکنیک خوشه بندی شان می تواند توسط بازپرس های پرونده های جنایی مورد استفاده قرار بگیرد.

داده های بزرگ به عنوان ابزاری برای ارتقای کار متخصصان زبان شنایسی در حوزه ی قانون هستند، که می توانند در بررسی های جنایی به کار گرفته شوند تا عدالت به شکل بهتری بر قرار شود. شاید هم راهی باشد برای ارتقای زندگی مدرن.

برگرفته از:

You Can Write, But You Can’t Hide: Big Data Knows Your Writing Quirks 

 

 

 

آیا مرورگرها از گذرواژه های شما به درستی حفاظت می کنند؟

نوشتن این روزا برام خیلی سخت شده….خیلی… متاسفانه در بازه ی زمانی کوتاهی خیلی ها بی معرفتی خودشون رو نشون دادن…

راستی این نسخه جدید دادن های Firefox هم شده مثل داستان اصحاب کهف و گرونی مملکت ما…صبح از خواب پا میشی می بینی یه نسخه جدید اومده

بابک فخریلو

این که مرورگر وب گذرواژه ها یا اطلاعات کارت اعتباری شما را به خاطر بسپارد، باعث راحت تر شدن گشت و گذار در وب می شود، اما می تواند ریسک های امنیتی را هم  در بر داشته باشد. مقدار ریسک بسته به این دارد که از چه مرورگری استفاده می کنید، آیا اطلاعات آن را با ابزارهای دیگر، مثل موبایل sync  می کنید، و این که از ویژگی های اضافی مرورگر برای حفظ امنیت استفاده می کنید یا نه. در این مقاله آسیب پذیری های اساسی در محبوب ترین مرورگرها را بررسی می کنیم و راه های حفاظت از نقاط ضعف آنها را هم یاد می گیریم.

ریسک های امنیتی متدوال

بزرگ ترین مشکلی که با ذخیره کردن گذرواژه ها می تواند رخ دهد، نگاه های کنجکاو دیگران است. نه تنها کسانی که به کامپیوتر شما دسترسی دارند می توانند گذرواژه ها یا اطلاعات بانکی را ببیند، بلکه سارق کامپیوتر، تلفن هوشمند یا Tablet شما هم می تواند به این داده های ارزشمند دسترسی داشته باشد. و اگر تصمیم به فروختن کامپیوتر تان دارید، همین ریسک لو رفتن گذرواژه ها وجود دارد، البته به شرطی که قبلا به پاک کردن تمام و کمال آنها اقدام نکرده باشید. با این وجود حتی اگر از چشمان کنجکاو هم بتوانید آنها را در امان نگه دارید، ویروس ها و بد افزارهایی هستند که می توانند این اطلاعات را به سرقت ببرنند.

همان طور که می دانید خیلی از سایت های بانکداری الکترونیک اجازه ذخیره گذرواژه را در مرورگر نمی دهند. با این حال، اگر از گذرواژه های همسان یا مشابهی که در سایت های معمولی استفاده می کنید، برای سایت های مهمی چون بانک ها استفاده کنید، افراد سودجو به راحتی می توانند گذرواژه ی شما را حدس بزنند.

برخی مرورگر ها به شما اجازه می دهند که فهرستی از اطلاعات مربوط به ورود به سایت ها ، شامل گذرواژه و نام کاربری را ببینید. برای مرورگرهایی که چنین امکانی ندارد، ابزارهایی مانند WebBrowserPassView  هستند که به شما چنین امکانی را می دهند. خوب، چنین ابزارهای وقتی شما گذرواژه ای را فراموش کرده اید، یا تصمیم دارید گذرواژه های خود را ارزیابی کنید، مفید هستند، اما مشکل اینجاست که این نرم افزار می تواند توسط بدخواهان شما هم استفاده شود. راه دیگر برای بازیابی گذرواژه های ذخیره شده در مرورگر، استفاده از BulletsPassView  است، که می تواند گذرواژه های ذخیره شده در صفحات وب یا پنجر های Windows را به شما نشان دهد.

در بخش های بعدی این مقاله، نگاهی به سه مرورگر محبوب، IE 9، Chrome و Firefox داریم و ویژگی ها و قابلیت های آنها را در ذخیره سازی اطلاعات ورود (منظور ترکیب نام کاربری و گذرواژه ی است که کاربران برای ورود به سایت ها استفاده می کنند) کاربران را بررسی می کنیم.

Read the rest of this entry

رویکردی ساختاریافته در حفظ امنیت برنامه های تحت وب

بابک فخریلو

سازمان ها هزینه های زیادی را برای برطرف کردن تهدید هایی که در سطح شبکه رخ می  دهند، صرف می کنند، اما بیش از 75 درصد حمله ها در لایه ی application رخ می دهد. این تغییر رویه در بین جامعه ی هکرها، نتایج بزرگی را منجر شده و سازمان ها همچنان نسبت به اهمیت امنیت web application ها بی تفاوت هستند.

ریسک های که متوجه برنامه های تحت وب هستند، به خوبی شناخته شده اند، برای مثال می توانید فهرست ده تایی OWASP را ببینید، و یک ارزیابی مناسب از امنیت برنامه ی تحت وب می تواند تصویری مناسب از سطح آسیب پذیری آن برنامه را بدهد و راهگشایی برای برطرف کردن آسیب های آن باشد.

با این حال، تامین امنیت برنامه ی تحت وب دشوار است، نه تنها به خاطر این که بسیاری از سازمان ها نمی دانند با چه تعداد برنامه درگیر هستند و چه کسی مالک آنهاست، بلکه به خاطر این که توسعه دهندگان هم در کل نسبت به توانایی های امنیتی خود مطمئن نیستند، و فشار زمانی تحویل برنامه ها هم غالبا روی توسعه دهندگان زیاد است.

گرچه تیم های امنیتی تمرکز خود را روی برنامه های تحت وب زیاد کرده اند، اما رویکردی ساختار یافته نیازی ضروری است. یک قالب کاری امنیتی قوی، مستندی را برای اولویت بندی صرف زمان و هزینه روی کنترل های امنیتی فراهم می سازد. این اولویت ها هزینه ها را کاهش داده و معتدل می کنند تا بتوان تهدید ها را تخفیف داد.

نقطه ی شروع کار، می تواند شناسایی برنامه ها، درک فرآیند های تجاری و ایجاد مدل تهدیدهای امنیتی است. این کار چشم انداز برنامه شما را نگاشت می کند و می توانید سطح تهدیدی که وجود دارد  را حس کنید.

قدم بعدی، فرآیندی ساخت یافته برای مقوله بندی برنامه است تا بدین ترتیب برنامه هایی با ریسک بالا و تاثیر گذاری بالا از برنامه هایی با ریسک های پایین جدا شوند. در این قدم سادگی خیلی اهمیت دارد و یک رده بندی خیلی ساده مانند تهدید سطح بالا، متوسط و پایین می تواند کارساز باشد.

وقتی این مراحل را طی کردید، تصمیم گیری در مورد کنترل های امنیتی صحیح انجام می شود. هر سازمانی متفاوت است و باید فراموش نکرد که مراحل طی شده در اینجا مبتنی بر ریسک انجام می شوند. ساختاری متداول برای به کار بستن کنترل های امنیتی به شرح زیر است:

ریسک سطح بالا

ریسک سطح متوسط

ریسک سطح پایین

 

اتخاذ رویکردی ساخت یافته برای امنیت برنامه های تحت وب، شما را مطمئن می کند که تهدید ها را شناسایی می کنید و کنترل های لازم را بر اساس تهدید ها پیاده سازی می کنید. این رویکرد هزینه را کاهش می دهد و از طرفی با ارائه یک مدل، انعطاف پذیری و توسعه پذیری را به نرم افزار شما می آورد.

برگرفته از:

Be structured about protecting web applications…and do it now!

سازندگان بدافزار «فلیم» به آن دستور ‹خودکشی› داده‌اند!

سازندگان بدافزار «فلیم» (Flame)، که با حمله به کامپیوترهایی در چند کشور، از جمله ایران و چندین کشور دیگر به جمع‌آوری اطلاعات می‌پرداخت، با فرستادن دستور «خودکشی»، آن را از برخی کامپیوترهای آلوده پاک کرده‌اند.شرکت امنیت کامپیوتری «سیمانتک» (Symantec) با طعمه قرار دادن بعضی از کامپیوترهای آلوده، موفق به تحت نظر گرفتن فعالیت‌های این بدافزار و ردیابی فرمان خودکشی شده است.کارشناسان می‌گویند ساختار و نحوه عملکرد «فلیم» به حدی پیشرفته است که ساختش نمی‌تواند کار هکرهای مستقل باشد و احتمالا با حمایت دولتی خلق شده است.شرکت سیمانتک اعلام کرده است که در بعضی از کامپیوترهایی که به «فلیم» آلوده شده بودند، رد فرمانی فوری از طرف سازندگانش را پیدا کرده اند که «برای پاک کردن کامل بدافزار «فلیم» از روی کامپیوترها طراحی شده بود.این دستور ضمن پاک کردن بدافزار، جای آن را با اطلاعات مخدوش پر می‌کرده است تا تحقیقات احتمالی را خنثی کند.سیمانتک در وبلاگش نوشته است: «این دستور می‌خواهد هیچ ردی از آلودگی پشت سرش باقی نماند.»کارشناسان رمزنگاری می‌گویند «فلیم» اولین بدافزاری است که بر اساس یک تکنیک رمزگذاری غیر قابل تشخیص که نخستین بار در سال ۲۰۰۸ معرفی شده بود به جعل گواهی‌نامه‌های دیجیتال و گسترش خود می‌پردازد.مارک استیونس، از موسسه تحقیقاتی سی‌دبلیو‌آی نوشته است: «طراحی این بدافزار از به کارگیری رمزنگاران بسیار خبره و تراز اول جهانی حکایت می کند.»ااین یافته‌ها گمانه‌زنی‌هایی را که ساخت «فلیم» را به یک دولت منتسب می‌کرد تقویت می‌کند.

راه های ساده و سریع برای کنترل حریم خصوصی در Facebook

بازهم دارم در مورد حریم خصوصی تو فیس بوک مطلب ترجمه می کنم و تو وبلاگ منتشر می کنم، اما بعد از مدت ها. و البته این نشون میده که هنوز هم این مساله دغدغه ی من هستش.

بابک فخریلو

تنظیمات حریم خصوصی در Facebook به خاطر چیدمانی که دارند، گیج کننده هستند، و همیشه تنظیمات مشابه در منوهایی کاملا متفاوت قرار می گیرند و پیش فرض شان هم این است که همه  ی اطلاعات شما به صورت عمومی به اشتراک گذاشته شود. اطمینان از این که اطلاعات را فقط با افرادی که واقعا مد نظرتان هست، به اشتراک می گذارید، می تواند سخت باشد، و اگر مراقب نباشید، Facebook حتی خودش یک سری تنظیمات ویژه ای دارد که می تواند تنظیمات حریم خصوصی شما را نادیده بگیرد. خوشبختانه می توانید حریم خصوصی خود را خیلی سریع و ساده به کنترل بگیرید، به شرطی که بدانید دنبال چه هستید.

برای این که شما را کمک کنیم تا ساده و سریع بتوانید با هر صفحه از تنظیمات حریم خصوصی در Facebook کار کنید، این مقاله را آماده کرده ایم. برای هر بخش از تنظیمات حریم خصوصی، شرحی مختصر از این که به دنبال چه باید باشید، همراه با تنظیمات قابل توجهی که احتمالا باید تغییر دهید را آورده ایم. در کنار هر توضیح هم تصویری قرار داده شده که با کلیک کردن روی آن، می توانید تنظیمات متفاوت حریم خصوصی را ببینید.

Read the rest of this entry

هشدار امنیتی به کاربران اینترنت بخش سوم

مرکز ماهر(مرکز امنیت سایبری ایران) اقدام به تولید نرم افزاری کرده است که می تواند ویروس Flame را پاک کند این نرم افزار را می توانید از پیوند دانلود کنید.البته دوستان توجه دارند که حتما از آنتی ویروس های معروف و بروز نیز بجهت تست کامپیوتر خود بعد از اجرای این برنامه استفاده کنند.