سوال: امنیت کلی cmsها

[cnn]

یه سوال داشتم که تو تالار به طور کامل و جامع بهش پاسخ داده نشده بود، بنابراین تاپیک جدا زدم
سوال اینه که اساساً cmsهای موجود در بازار با چه برنامه نویسی باشن که از حداکثر امنیت برخوردار باشند؟
منظور اینه که مثلاً برای یک اداره دولتی که هر روز امکان هک شدنش از طرف گروههای هکر با گرایشات مختلف(مثلاً سیاسی) هست علاوه بر انتخاب هاستی قوی و مطمئن چه نوع cms باید گرفت؟
طبق بررسی هایی که تا الان از افراد مختلف و اینترنت داشتم این طور استنباط کردم که بهترین نوع cms ، با asp و .net هست.
آیا این استنباط درسته یا نه؟
مثلاً دو شرکتی که برای بسیاری از وزارتخانه ها cms و پورتال کار کردن (سیگما و درسا) سایتهاشون به ترتیب با php و asp هست
نظرات اساتید و اهل فن راهگشا خواهد بود

[sastwhc]

پدر جان امنیت بیشتر وابسته به تنظیمات و . . .وبالاخره باگ زدایی از CMS است که باید خودتان زحمتش را بکشید.تفاوت دان نت و php بیشتر در جزییات است.و هر دو می توانند امن باشند در حالیکه دات نت پولی و سورس بسته است و PHP باز و مجانی

[cnn]

ممنون از جوابتون
مسلماً چیزی که من دنبالشم بابتش پول هم خرج می کنم، اما مشکل اینه که خودم که اساساً مال این حرفها نیستم که بخوام تنظیماتی که گفتید رو انجام بدم و می خوام از یه شرکت بخرم. در مورد اطمینان به شرکت فروشنده که بحثی مجزا هست، ولی می خوام بدونم این cmsهایی که الان تو بازار ایران می فروشن چطور باید از امنیتشون مطمئن بود
مثلاً من سه تا سایت جوملا برای چند جا خریدم و از چند نفر خواستم هکش کنن (البته باز می دونم که بستگی به مهارت شرکت فروشنده جوملا در رفع نقص ها و باگ ها داره)، تمام بچه ها تونستن به هر سه سایت نفوذ کنن، اما یه cms که با asp نوشته شده بود رو ازشون خواستم که خیلی هاشون اصلاً aspکار نبودن و بقیه هم نتونستن نفوذی داشته باشن (البته سایتش هم همچین چیز درست و درمونی نبود)
منظور اینه که یه سری از برنامه نویسی ها رو دیگه تقریباً همه اینکاره ها بلدن ولی یه سری شون کار هر کسی نیست هک کردن و تخصص بالا می خواد
نمی دونم منظورم رو رسوندم یا نه؟
در هر حال از شما و راهنمایی کنندگان بعدی هم متشکرم

[sastwhc]

راستش من خیلی با این عقیده که دات نت امنتره زیاد موافق نیستم میتونه علتش عدم آشنایی با دات نت برای اودیتور هایی باشه که خواستی امنیت رو چک کنند واینکه بهرحال امنیت یه مسیله نسبی است.
در مورد جوملا و هکش توسط اودیتورات باید بگم معلومه شما نسخه اولیه جوملا را تهیه کردی و اگر آپدیت شده باشه به این راحتی ها قابل هک نیست(دقت کن اگر واقعا اودیتورت یه حفره امنیتی جدید پیدا کرده باشه و یه هکر وایت هت باشه حتما به اسم خودش ریپروت میکنه)اما اگر با استفاده از حفره های قدیمی و شناخته شده این کار انجام شده باشه نشونه عدم بروز بودنه جوملایه نصب شده است وبهتره برای خرید از یه شرکت معتبر که زمینه مشاوره امنیتی هم میده خرید کنید یا اطمینان پیدا کنید تمام پچ های امنیتی نصب شده است.

در مورد عدم هک CMS دات نت باید بگم امیدوارم مقایسه درستی کرده باشید.جوملا کاملا دینامیکه (بخاطر امکاناتش) و چون باید سرویس بره اجازه دسترسی را برای ویزیتورهای مختلف تغییر میده.و نباید با کارای دیگه ای که ممکنه کاملا استاتیک باشند مقایسه بشه.دقت کن مثلا اگر شما یه صفحه ایجاد کنی بدون لینک امنیت سایتت معادله امنیت سرورت خواهد بود.اما اگر ساز و کاری ایجاد کنی که مثلا بشکل آنلاین امکان ثبت کاربری با دسترسی بالا ایجاد بشه احتمالا امنیتت به حداقل ممکنه کاهش پیدا میکنهوامیدوارم منظورمو رسوند ه باشم.
بطور خلاصه:
آپدیت بودن CMS در صورت امکان.
سرور امن
در صورت نیاز دیباگ و اودیت