مرجع رسمی مقالات طراحی نرم افزار موبایل

 

در سال 2018 بسط‌دهندگان بسیار مقداری از بابت امنیت نرم افزار‌های موبایلی نگران بودند. تا جایی که WannaCry و Petya تحت عنوان  طراحی اپلیکیشن دو بد افزار بسیار مخرب وارد عرصه گردیده و میلیون‌ها دلار ضرر به توشه آوردند. با فهمیدن این زمینه دیگر پرسش مهم نباید این باشد که «آیا پیاده‌سازی لایه‌های امنیت را می خواهیم یا این که خیر؟» بلکه می بایست بگوییم «آیا به اندازه کافی امنیت خیر و خوبی داریم یا این که نه؟».

 

سوای آنکه چه اپلیکیشنی را در چه حیطهای ساخت و ساز می کنید، در هر صورتی می بایست المان‌های مهم امنیت را در برنامه پیاده‌سازی کرده و در زمینه ی آن نگران باشید. حتی هنگامی که قصد معدود کردن هزینه‌ها را دارید، حذف کردن لایه‌های امنیت نباید بخشی از رویکردتان باشد.

 

در‌این مقاله از سایت راکت، قصد داریم تا در رابطه با رویکردهایی کلام کنیم که با پیروی از آنها میشود لایه‌ای از امنیت را به برنامه‌ها آورد. مطمئنا این مورد ها کافی نخواهند بود به دلیل آنکه امنیت هیچ کمپانی و وبسایتی صد در صد وجود ندارد.

 

محاسبه بیشترین زخم‌پذیری‌های مرتبط با برنامه

شایسته ترین رویکردها برای بالا بردن امنیت اپ

 

مطمئنا با پیشرفت‌ تکنولوژی‌های متعدد، معیار زخم‌پذیری‌ها نیز ارتقا پیدا می‌نماید. با این حالا بعضا از این زخم‌پذیری‌ها را می‌قدرت در جاهای بسیار متعددی روءیت کرد و از این رو نخست می بایست فکری به درحال حاضر این مورد ها بکنیم. به دنبال این مقاله قصد داریم تا به بعضی از این مورد ها نگاهی داشته باشیم.

 

احرازهویت و اعتبارسنجی

احرازهویت روند‌ای میباشد که در آن «چه کسی بودن» یک استفاده کننده ارزیابی می‌گردد. به عنوان مثال در صورتی‌که کاربری داعیه می‌نماید که ادمین سایت میباشد، بایستی براساس تعدادی مورد ها این داعیه اثبات گردد. از طرفی دیگر اعتبارسنجی، قابلیت و امکان‌های انجام یک عمل بوسیله یک مخاطب را نظارت می‌نماید. از جمله چنانچه استفاده کننده تالیف کننده سایت میباشد، نمی‌تواند تنظیمات مهم سایت را تغییر‌و تحول دهد، این غربال بایستی به وسیله اعتبارسنجی پیاده‌سازی خواهد شد.

 

یک کدام از حملاتی که بیشتر این نصیب را آیتم غرض قرار می دهد brute force میباشد. در‌این عملیات، فرد نفوذگر سعی می‌نماید تا با دادن اسم کاربری و سر عبور وارد اکانت کاربری خواهد شد. این عمل از روش یک لیست طولانی از راز عبورهای ممکن انجام می‌گردد.

 

توسعه و گسترش‌دهندگان می توانند با انجام شغل های پایین از بروز چنین اتفاقی پرهیز نمایند:

 

محدود کردن تعداد کارایی‌های ناموفق: یک کدام از رویکردهای عادی این میباشد که ما صرفا در میان 3 تا 5 توشه به یک IP اذن ورود را بدهیم. در حالتی‌که بیشترین از مقدار سعی انجام شد و بی فایده ماند، بایستی در یک محدوده هنگامی IP را بلاک کرد. 

پرهیز از آی‌دی‌های قابل پیش‌بینی: همت نمائید برای آی‌دی‌های کاربری از قالب‌های متنی معناداری استعمال نکنید. مثلا آی‌دی که در آن ارقام مرتبط با تاریخ و بازه زمانی نام نویسی استفاده کننده وجود دارااست، قابلیت و امکان بالایی برای شناسایی به وسیله نفوذگر دارااست.

از یک پیغام برای مجموع عملیات‌های ورود استعمال نمایید: وقتی که استفاده کننده وارد وب سایت می‌گردد خواه سر عبور را غلط وارد کرد‌ه باشد و یا این که اسم کاربری، در هر شکل همت نمایید یک پیغام را نشان دهید. وقتی که پیغامی مانند «راز عبور را نادرست وارد کرده‌اید» را اکران دهید به‌این معناست که اسم کاربری را صحیح وارد کرده و هم اکنون صرفا ورودی نادرست راز عبور میباشد. 

آنالیز اقتدار راز عبور: در اپلیکیشنی که ساخت کرده‌اید، مسلما یک آنالیز کننده سر عبور را تولید فرمائید. مطمئن گردید رمزهای عبوری که در اپ شما وارد میشود از توان کافی برخوردار می‌باشند. بیشتر بودن از 8 کاراکتر، به کار گیری از اعداد، حروف و کاراکترهای خاص و… فاکتورهای قابل قبولی برای چک راز عبور می باشند.

احرازهویت چندگانه:‌ برای آنکه مراحل ورود به اپ را بهتر نمایید میتوانید از احرازهویت چندگانه استعمال فرمائید. در این صورت جدای از وارد کردن سر، استفاده کننده بدون چاره خواهد بود تا یک‌سری دیوار امنیتی دیگر را نیز پشت رمز بگذارد. به کارگیری از شماره تماس،‌ ارسال پیام یکبار مصرف برای ورود، نسخه برداری بیومتریک و… راهکارهایی برای پیاده‌سازی احرازهویت چندگانه می باشند.