بسم الله الرحمن الرحیم
با سلام و آرزوی قبولی طاعات همه دوستان
خیلی از دوستان (مخصوصا دوستان PHPکار) معتقدند که امنیت دات نت نسبت به PHP و ... پایینه؛ دلیل این امر چیه؟
و آیا این امر در مورد ASP.NET MVC هم صادقه؟
و به جز نرم افزارهای محافظت کننده چه کار اصولی میشه انجام داد؟
و اصلا این مورد قابل چشم پوشی ست یا باید فکری به حالش کرد؟
با سپاس فراوان:n16:

چندوقت پیش یه لیستی در مورد امنیت برنامه های نوشته شده با زبانهای مختلف میخوندم که برنامه های نوشته شده با .NET بیشترین امنیت رو داشتن. لیست رو پیدا کردم میزارمش اینجا.

در مورد MVC هم که یه سری از حملات تحت وب رو خیلی راحت میشه جلوشونو گرفت مثل XSS و CSRF.
بحث SQL Injection هم تا حد خیلی خیلی زیادی با EF و LINQ To SQL کم شده و یه جورایی به صفر رسیده. (به دلیل Query های پارامتری ای که ارسال میکنه)

پ.ن: اون لیست رو هرچی گشتم پیدا نکردم ولی لینک زیر اطلاعات جالبی در زمینه امنیت تو وب گذاشته:


برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

دوستان PHP کار هر چی گفتند اشتباه گفتند:n05:! مگر میشه همچنین تکنولوژی بیاد و بیش از 10 سال از توسعه و بروزرسانیش گذشته باشه اما هنوز مشکلات امنیتی حاد داشته باشه؟ درسته نمیشه گفت هیچ سیستمی ایمنه ولی مایکروسافت برای هر احتمالی فکری کرده و در نسخه های دات بعدیش بصورت اصولی اون رو حل کرده. با خیال راحت می تونم بگم دات نت امنیت لازم رو داره اگر با مفاهیم امنیتی آشنایی داشته باشی و برای محکم کاری همه چیز رو بصورت استاندارد و کامل طی کرده باشی. البته ذکر این نکته لازمه که خیلی از سپرهای امنیتی دات نت بصورت پیش فرض فعال نیستند و باید اونها رو درک و ازشون استفاده بهینه رو بکنی.

در MVC شرایط امنیتی نسبت به وب فرم ها احتمالا بهینه تره. حتی اگر از EF و LINQ هم استفاده نکرده باشی میشه در SP ها با راهکارهایی امنیت رو تضمین کرد. مهمت از همه امنیت یک مقوله منفرد نیست که در یک قسمت از برنامه ازش استفاده کنی باید بصورت کلیت واحد در تمام قسمت های برنامه راه کارهای لازم رو مد نظر قرار بدی
مشکل اصلی دات نت اینه که بیشتر مفاهیم امنیتیش رو کسی یاد نمیده یعنی منبع درست و حسابی برای اینکار وجود نداره تا بصورت مستقیم و سرراست رفت سراغش, تو کتابهای asp.net و بصورت عمومی تر دات نت فارسی هیچ فصلی بصورت اختصاصی بر روی مسائل امنیتی بحث نکرده, کاربری هم که با این کتابها وارد دات نت میشه از امنیت غافله تا سرش به سنگ بخوره :n02:.

قطعا MSDN بهترین مکان برای حل مشکلاته

سلام
اولاً امنیت مستقیماً به برنامه نویس باز میگردد نه زبان برنامه نویسی.
دوماً خیلی عضرخواهی میکنم ولی پرحرفی و بر باد هوا صحبت کردن را هرکسی میتواند انجام دهد، مقایسه و منطق و مثال و استدلال مهم است.
((شاید مثال خوبی نباشد ولی اگر کسی به شما مراجعه کند و فقط بگوید من برادر فلان مسئول بلند پایه کشوری هستم، شما بدون سند و مدرک فوراً اطمینان میکند و فرش قرمز برایش پهن میکنید؟!! عضرخواهی میکنم ولی حرف بدون سند بیشتر روش کلاه بردارهاست!))

تنها ایرادی که بعضاً به دات نت میگیرند آن است که اگر پروژه تان مثلاً بفروشید و dll هایش دست کسی برسد، میتواند با برنامه هایی سورس آن را مشاهده کند...

که این مورد هم صرفاً یک بهانه بازارگرمی است...
1) اگر قرار بود دیده شدن سورس مشکل امنیتی داشته باشد، تمام سیستم عامل ها و برنامه های OpenSource بزرگترین فجایح تاریخ برنامه نویسی هستند.

2) برنامه های محافظت کننده بسیاری وجود دارند.

3) اگر هم چنین باشد، بدون شک گفتن آن از طرف یک PHP کار که حتی سورس شان کامپایل هم نمیشود و همه چیزش در یک فایل متنی notepad ای ریخته میشود ، مضحک است(:n08:) و حق گفتن همچین حرفی ندارد!!!

موفق باشید.

سلام

به قول دوست عزیز و استاد گرانقدر _H2_ بحث امنیت بیشتراز اینکه به زبان برنامه نویسی ربط داشته باشید به خود برنامه نویس ارتباط دارد

شما بهترین نرم افزارها رو در اختیار کسی قرار بده که درست از اونها استفاده نکند نتیجه قطعا مطلوب نخواهد بود

اما برعکس ضعیف ترین نرم افزارها در اختیار افراد قرار دهید که توانایی درست استفاده کردن از انها رو داشته باشد نمیگم که قطعا نتیجه مطلوب خواهد بود اما میشه نتیجه گرفت که حداکثر استفاده درست از ابزارها و توانایی ها یی که داشته رو استفاده کرده

درضمن به نظر من امنیت یه چیز نسبی هست هیچ گاه به یقین نمیشه گفت این نرم افزار یا این زبان اخر امنیت هست

در این میان شرکت ها زبان هایی رو ارائه میکنند که نسبت به رقیبان خود دارای نقاط قدرت بیشتری هستند و دات نت جزء دسته قدرتمند محسوب میشود

درخصوص نرم افزارهایی که کد رو محافظت میکنند چون کمی باهاشون کار کردم برداشتم رو مینویسم

یکی از دوستان ما در مورد هگ و گرگ و . . . اطلاعات خوبی داره ( دوره های مختلف امنیت و هگ رو طی کرده ) روزی این دوست ما تشریف اوردن منزل و ما هم در حال کد نوشتن برای یکی از دوستان بودیم صحبت وارد مرحله امنیت و محافظت از کدها شد

خلاصه صحبت ها این بود که اغلب نرم افزارهای محافظت از کد و . . . مانع از گرگ شدن ، هگ شدن نمیشوند اما راه رو هم برای دسترسی سریع باز نمیگذارند

شرکت های مختلف نرم افزارهای مختلفی رو ارائه میکنند وقتی فردی پیدا میشود که نرم افزار رو مورد حمله قرار میدهد و بالاخره به ان نفوذ میکنه شرکت بران میشه که این فرد رو جذب کند و با استفاده از علم و دانش ایشون نرم افزار رو ترمیم کند این سیکل همین طور ادامه دارد میشه نتیجه گرفت که امنیت همیشه یک پله از هگ و گرگ و . . . ( نمیدونم اسمش رو چی بگذارم ) عقب هست کار زیادی نمیشه براش انجام داد

متاسفانه در مورد ASP.NET MVC اطلاعات دقیقی ندارم