با استفاده از متد get و پروتکل ssl
سایت 1 یک در خواست به سایت 2 میفرستد و سایت 2 بعد از پردازش جوابی رو به سایت 1 اعلام میکند.
آیا هکر ها میتوانند به این در خواستها دسترسی داشته باشند؟؟؟
مثلا فکر کنید از سایت 1 یک رشته به سایت 2 ارسال میشه و سایت 2 در جواب یک رشته به سایت 1 اعلام میکنه.
آیا هکرها میتونن به اون رشته دسترسی داشته باشند؟؟؟
سلام
برای تامین امنیت علاوه بر دسترسی هکر ها باید نگران مواردی غیر از دسترسی هم باشید برای نمونه حمله در لایه هفتم. پس با این شرایط دایره تامین امنیت رو باید افزایش داد.یعنی موارد آسیب پذیری رو خارج از محدوده رعایت موارد امنیتی متد get و پروتکل ssl در نظر گرفت.
رعایت هر مورد امنیتی بخشی از ایمنی رو تامین میکنه مثلا قراردادن توکن میتونه از درگیر شدن سرور 2 نسبت به درخواست های جعلی تا حدود زیادی جلوگیری کنه. یا مثلا محدود کردن درخواست به آی پی های مشخص می تونه از ارتباط غیر مرتبط جلوگیری کنه.
@hekmati با تشکر از پاسخ شما، خوب آی پی ک قابل جعل شدن هست
حتی توکن ک فرمودین هم لحاظ شده
تنها نگرانیم فقط اینه ک آیا میتونن ssl رو هک کنن و یا اینکه مسیر درخواست رو تغییر بدن.
مثلا وقتی از سرور 1 درخواستی برای سرور 2 ارسال میشه، آیا نفوذ گر میتونه اطلاعاتی ک داره رد و بدل میشه رو ببینه یا جایی اونا رو ذخیره کنه؟؟؟
الان دو هفته هست ک درگیر این قضیه هستم.
خواهش میکنم @ehsanbala65
تنظیمات و تدابیر امنیتی باید در لایه های مختلفی انجام بشه بخشی از اون مربوط به سرور هست که باید توسط سیس ادمین یا متخصصش صورت بگیره اما در مورد لایه مربوط به کدنویسی، کاستومایز کردن تدابیر امنیتی شرایط بهتری رو ایجاد میکنه مثلا:
قاعده مقابله با شنود سوم در ssl وجود داره یعنی اطلاعات تبادل شده در سیستم رمزنگاری شده تا در برابر نفوذ و دسترسی به اطلاعات توسط هک استحکام پیدا کنه پس لازمه در فایل htaccess. تمام درخواست ها رو ریدایرکت کنید به https تا از این لایه گذر کنند.
در مورد توکن هم اگر بکند رو با لاراول نوشتید بهتره از sanctum استفاده کنید که بومی خود لاراول هست و بسیار ایمن و قدرتمند هست حتی برای جلوگیری از جعل هویت در موارد حساس مثل تغییر پسورد یا توکن های تایید درخواست برداشت یا تنظیمات g2fa می تونید از ابزار abilities سنکتوم استفاده کنید که فوق العاده است.
موارد دیگری مثل استخراج رمزنگاری مربوط به اطلاعات حساس در عمق بک اند باز به ایمنی سیستم کمک میکنه.
حتما در استفاده مناسب از متدها در جایگاه لازمش دقت کنید.
داده های حساس نباید در url قرار بگیرند حتما از Authorization استفاده بشه.
هیچ endpoint ی خارج از فرایند احراز هویت قرار نگرفته باشد.
تمام درخواست ها اعتبار سنجی شود.
تمام پاسخ ها با کمک ریسورسها کاستومایز شود و به هیچ عنوان اطلاعات امنیتی و اعتبار سنجی، توکن و پسورد و ... نباید برگشت داده شوند.
محدودیت تعداد درخواست ها لحاظ شود.
بخشی از موارد خارج از پرسش شما بود اما چون به بهبود امنیت کلی سیستم کمک می کرد جهت یادآوری عنوان کردم امیدوارم مفید واقع بشه.
بر اساس حساسیت پروژه می تونید موارد دیگری رو هم اضافه کنید.
آیا مایل به ارسال نوتیفیکیشن و اخبار از طرف راکت هستید ؟