امنیت وب بهتر به معنای راحتی کمتر – در حال حاضر

امنیت وب بهتر به معنای راحتی کمتر - در حال حاضر

وب زندگی ما را راحت تر می کند. می توانیم با چند کلیک تیشرت یا پیتزا سفارش دهیم. ما می توانیم تحقیقات جهانی را بدون ترک صندلی خود انجام دهیم. این روش ما را در مورد همه چیز تغییر داده است.

به عنوان طراحان وب، ما به دنبال ایجاد راحتی بیشتر هستیم. ما از سیستم هایی برای “به خاطر سپردن” کاربران استفاده می کنیم. ما اطلاعات مشتری را در فضای ابری ذخیره می کنیم. این ویژگی ها انجام کارها را برای افراد آسان تر می کند.

یک تجربه کاربری یکپارچه هدف است. هم با نیت خوب است و هم به طور بالقوه سودآور. هر چند وقتی صحبت از امنیت به میان می آید، اغلب هزینه هایی وجود دارد.

بازیگران بدخواه از این راحتی استفاده می کنند. روش‌هایی مانند سرقت کوکی‌های جلسه رایج هستند. بنابراین، ماندن در وب سایت شما یک خطر است.

این فقط نوک کوه یخ است. در واقع، امن تر کردن وب به معنای راحتی کمتر است. در اینجا چند نمونه از آنچه به نظر می رسد آورده شده است. علاوه بر این، در مورد اینکه چرا این اقدامات ممکن است موقتی باشند صحبت خواهیم کرد.

استفاده از احراز هویت دو مرحله ای در همه جا

اجتناب از احراز هویت دو مرحله ای (2FA) سخت تر می شود. این روش تقریباً در همه جا وجود دارد – از جمله سایت وردپرس شما.

ایده کاملاً منطقی است. لایه اضافی احراز هویت به این معنی است که یک هکر بیش از یک نام کاربری و رمز عبور نیاز دارد. آنها نمی توانند بدون کد 2FA به حساب شما دسترسی داشته باشند.

با این حال، 2FA بسیار عالی است. کوکی‌های جلسه دزدیده شده فوق‌الذکر اثبات هستند. یک هکر با یک کوکی معتبر می تواند سایر الزامات ورود به سیستم را دور بزند.

به علاوه، 2FA برای کاربران دردسرساز است. به تمام زمان اضافی که برای ورود به هر وب سایت استفاده می کنید فکر کنید. این باعث می‌شود افراد بخواهند وارد سیستم نشوند – و در معرض خطر یک کوکی جلسه به سرقت رفته باشند.

کمک ممکن است در افق باشد. کلیدهای عبور آماده هستند تا فرآیند ورود را ساده کنند – در حالی که امنیت بالایی را حفظ می کنند.

کلیدهای عبور برای جایگزینی نام کاربری و رمز عبور به دستگاه کاربر متکی هستند. کاربران با استفاده از همان روشی که برای باز کردن قفل دستگاه خود استفاده می کنند، احراز هویت می کنند. پین ها و بیومتریک نمونه هایی هستند.

که ممکن است بار را کاهش دهد. اما احتمالاً برای مدتی دیگر به روش‌های فعلی گیر خواهیم داد.

احراز هویت دو مرحله ای به یک روش امنیتی محبوب، اگر محدود باشد، تبدیل شده است.

فایل های وردپرس قفل شده است

قالب و اکوسیستم افزونه بخش بزرگی از وردپرس است. می توانید موارد جدید اضافه کنید یا موارد موجود را به روز کنید. همه اینها در یک داشبورد انجام می شود. یک بار دیگر، این یک ویژگی بسیار راحت است.

مشکلات زمانی شروع می شوند که یک حساب کاربری در معرض خطر قرار می گیرد. یک بازیگر مخرب می تواند همه نوع بدافزار را اضافه کند. و لازم نیست آنها مدیر باشند. برخی از آسیب‌پذیری‌ها به کاربر کمتر اجازه می‌دهد تا مجوزهای وردپرس را دور بزند.

به نظر می رسد پاسخ این است که نصب وردپرس شما را قفل می کند. به عنوان مثال، یک سایت ممکن است اجازه دهد محیط صحنه سازی برای نوشتن روی فایل ها این به شما امکان می دهد نرم افزار را اضافه یا به روز کنید. اما همچنین با ورود به سیستم HTTP محافظت می شود.

این سایت تولید اجازه آپلود فایل های رسانه ای را می دهد – اما هیچ چیز دیگری. این بدان معناست که هر تم یا پلاگین نصب شده باید ابتدا از مرحله مرحله بندی باشد. در مورد آپدیت ها هم همینطور.

بله، این یک مرحله اضافی است. اما ارزش برداشتن دارد. این روش نه تنها امنیت را افزایش می دهد. همچنین بهترین تمرین برای آزمایش است. این می تواند از مشکلات سایت های حیاتی برای ماموریت جلوگیری کند.

اگرچه هر میزبان وب مرحله بندی را ارائه نمی دهد. یا یک راه آسان برای قفل کردن نصب. اما این ممکن است بهترین گزینه باشد تا زمانی که چیز بهتری از راه برسد.

با صحبت از آن، ارائه دهندگان امنیت در حال ابداع استراتژی های جدید هستند. این می تواند تعادلی بین امنیت و سهولت استفاده ایجاد کند.

هکرها از سیستم های فایل قابل نوشتن استفاده می کنند.

محدود کردن اجرای کد در محتوای سایت

گاهی اوقات، ما نیاز به اجرای کد در محتوای یک سایت داریم. به عنوان مثال، ممکن است جاوا اسکریپت را از یک شبکه تبلیغاتی در یک پست وبلاگ جاسازی کنیم.

وردپرس این کار را از طریق بلوک HTML سفارشی خود تسهیل می کند. برخی از افزونه ها اضافه کردن قطعه کد را نیز امکان پذیر می کنند.

این یک ویژگی مفید است. می‌توانید انواع ویجت‌های شخص ثالث را که کاربران را درگیر می‌کند، اضافه کنید. آنها همچنین ممکن است درآمد ایجاد کنند.

همچنین یک راه آسان برای معرفی کدهای مخرب است. وردپرس سعی می کند ورودی را پاکسازی کند. با این حال، همه تم ها و افزونه ها از بهترین شیوه ها پیروی نمی کنند. کدهای غیر بهداشتی می تواند سایت شما را آلوده کند – و بر کاربران تأثیر بگذارد.

محدود کردن اجرای کد یکی از راه‌های جلوگیری از مشکلات امنیتی است. به عنوان مثال، ممکن است بلوک HTML سفارشی را غیرفعال کنید. همچنین می توانید هدرهای امنیتی HTTP را در سطح سرور ایجاد کنید.

هوش مصنوعی (AI) به زودی می تواند یک عامل باشد. ابزاری که می تواند کدهای مخرب را در زمان واقعی شناسایی کند ممکن است از یک حمله موفقیت آمیز جلوگیری کند. این بدون ایجاد نگرانی های امنیتی بسیاری، کاربران را قدرتمند می کند.

اجازه دادن به کاربران برای جاسازی کد در محتوا خطرناک است.

یک وب سایت امن نیاز به فداکاری دارد

امنیت طراحان وب را در موقعیت دشواری قرار می دهد. ما در تلاش هستیم تا تجربیات کاربری عالی ایجاد کنیم. ما می خواهیم به مشتریان خود کمک کنیم تا کارهای خود را به راحتی انجام دهند.

اما ما همچنین می خواهیم که وب سایت هایمان ایمن باشند. این امر مستلزم اتخاذ تصمیمات دشوار است. آیا ما راحتی را فدای ایمنی می کنیم؟

به نظر می رسد در حال حاضر پاسخ “بله” است. روش های ورود ناامن و پوشه های قابل نوشتن خطرناک هستند. همینطور به کاربران اجازه می‌دهد تا کد را در محتوای خود اجرا کنند. و به نظر می رسد بدافزار در این محیط ها به رشد خود ادامه می دهد.

به این ترتیب، بستن این راه های حمله منطقی است. حتی اگر موانع اضافی برای کاربران ایجاد کند.

با این حال، هنوز هم می توانیم به آینده ای بهتر امیدوار باشیم. ظهور کلیدهای عبور و امنیت مبتنی بر هوش مصنوعی ممکن است همان چیزی باشد که ما به آن نیاز داریم. زمان آنها نمی تواند به این زودی برسد.


بالا

]
منبع: https://speckyboy.com/better-web-security-means-less-convenience-for-now/