saman2

نتیجه اعتماد یک دولت به جوملا

10 پست در این موضوع

چگونه 43 گیگابایت اطلاعات از وب سایت های دولت سوریه سرقت شد؟ - سایت خبری تحلیلی تابناك|اخبار ایران و جهان|TABNAK

بیش از 43 گیگابایت اطلاعات دزدیده شده.

خواهشا و خواهشا دوستان امنیتی از به کار بردن جملات زیر خودداری کنند:

- جوملاشون بروز نبوده

- خب لابد نکات امنیتی رو رعایت نکردن

- افزونه های نال نصب کردن

- و حرف های این چنینی رو نزنید لطفا.

بر طبق خبر بالا از سرور های مختلف و ... هست.من فقط میخام دوتا نتیجه بگیرم:

1-برای کارهای بزرگ و کشوری نباید از cms هایی مثل جوملا و وردپرس استفاده کرد(دروپال رو میشه استفاده کرد)

2-همیشه برای این cms باگ وجود داره حتی از نوع امنیتی سطح بالا

Share this post


Link to post
Share on other sites
آموزش ووکامرس قالب جوملا قالب وردپرس قالب رایگان وردپرس قالب رایگان جوملا هاست نامحدود هاست جوملا هاست لاراول هاست وردپرس هاست ارزان هاست ربات تلگرام خرید دامنه آموزش ساخت ربات تلگرام با php آموزش لاراول آموزش cPanel آموزش php آموزش فرم ساز RSform آموزش ساخت ربات جذب ممبر آموزش ساخت ربات دوستیابی آموزش ساخت ربات فروشگاهی برای ووکامرس آموزش طراحی سایت داینامیک با php آموزش بخش پشتیبانی با rsticket

سلام سامان جان شما تخصص ندارید صحبت نکنید

هرسایت جوملا اگه نکات امنیتی رعایت نشود و سرور مثل آب خوردن هک می شود

Share this post


Link to post
Share on other sites

اما به گفته این گزارش، موفقیت هکرها در سرقت اطلاعات، مرهون حفره های امنیتی موجود در پرتال های به روز رسانی نشده وب به ویژه نمونه هایی است که از Joomla استفاده کرده اند.

حفره های امنیتی موجود در پرتال های به روز رسانی نشده وب

معنیش کن واسه خودت!

Share this post


Link to post
Share on other sites

درود،برخی دوستان فقط با دیدن یک خبر میان اینجا میگن فعلا و فلان مدیریت محتوا خوب نیست!

یک سوال پس چرا وب سایتهایی مثل: Unric.org ، Linux.com , Thehill.com,Gsas.harvard.edu,Itwire.com,Ace.nd.edu از جوملا استفاده میکنند، ای کاشک متخصصان هم در این تاپیک شرکت کنند

Share this post


Link to post
Share on other sites

رفیق فکر کنم شما یکم جوگیر شدید.هر وقت تعداد پستهای شما بالای 500 تا شد میتونید اظهار نظر کنید در خصوص امنیت :) امنیت هیچ سایتی تضمینی نیست.امنیت ویندوز شما هم که الان اینترنت وصل شدی سایت انجمنو باز کردی تاپیک زدی هم تضمینی نیست.همون گروه هکری اگه الان بخاد سایتهای ایرانی رو هم بزنه راحت میزنه و اطلاعات سایتهای دولتی سرقت میکنه کسی هم کاری نمیتونه کنه چون هکر ها همیشه یک قدم از سرویسهای امنیتی جلوتر هستن!

Share this post


Link to post
Share on other sites

برای من چندتا سوال پیش اومده!

- چرا نوشته اید دروپال رو می شه استفاده کرد؟! ولی جوملا رو نه! جوملا که به مراتب قوی تر از دروپال هست.

- چرا لینکی به این سایت هایی که هک شده اند قرار نداند تا بررسی بشه اصلا جوملا هستند یا نه! اصلا هک شدند یا نه!

- قطع به یقین امنیت یک سیستمی که هزاران نفر از کل دنیا سال ها روی اون کار کردند قوی تر از یک سیستمی خواهد بود که یک شرکت با چندتا کدنویس خودش داره روش کار می کنه!

به نظر من دارند از آب گل آلود سوریه ماهی می گیرند تا جوملا رو ضعیف جلوه بدهند!

Share this post


Link to post
Share on other sites
برای من چندتا سوال پیش اومده!

- چرا نوشته اید دروپال رو می شه استفاده کرد؟! ولی جوملا رو نه! جوملا که به مراتب قوی تر از دروپال هست.

- چرا لینکی به این سایت هایی که هک شده اند قرار نداند تا بررسی بشه اصلا جوملا هستند یا نه! اصلا هک شدند یا نه!

- قطع به یقین امنیت یک سیستمی که هزاران نفر از کل دنیا سال ها روی اون کار کردند قوی تر از یک سیستمی خواهد بود که یک شرکت با چندتا کدنویس خودش داره روش کار می کنه!

به نظر من دارند از آب گل آلود سوریه ماهی می گیرند تا جوملا رو ضعیف جلوه بدهند!

سلام دوست عزیز.

- پاسخ مورد 1 و 3 شما دوست بسیار خوبم :

این یک موردی هست که تقریبا همه روی اون اجتماع نظر دارند که امنیت جوملا (گذشته از این که یک مساله نسبی هست و به هزار تا چیز مختلف مثل سرور و بروز رسانی و ... و ... و باز هم تاکید میکنم غیره ه ه ه ه ربط داره) به نسبت دروپال در شرایط مساوی از همه جهات، لونگی بیش نیست.یعنی امنیت جوملا نسبت به دروپال پایین تره (البته من همچنان دروپال رو فقط از نظر امنیتی قبول دارم و از جهات دیگه مثل منحنی سخت یادگیری یا مسائل دیگه به نسبت جوملا پایین تر میتونه باشه)(اهل فن میدونن که دروپال دیگه تو ورژن 8 رفته رو سیمفونی و از لحاظ یه سری امکانات داره حکومت میکنه و....). میتونید برای اثبات این ماجرا که امنیت جوملا تا مدت ها مشکل داشت فقط کافیه برید ببینید همین اخیرا که یک باگ امنیتی سطح بالا تو هسته و باز تکرار میکنم تو هسته یعنی پکیج رسمی که خود جوملا ارائه میده از ورژن 1.5 تا ورژن 3.4 وجود داشت و همه دنیا هم میدونن و الان کاملا هم پابلیک شده مراجعه کنید.دقت کنید بازه زمانی ارائه ورژن 1.5 جوملا تا 3.4 چه مدت هست و به قول شما هزاران نفر دارن روی این سیستم هم کار میکنن اما این باگ وجود داشته که سطح بالایی هم داشت.ضمن اینکه این موضوع ربط مستقیم به جوملا نداره برای ورد پرس هم مشکل دقیقا مشابه وجود داشت که همین 4 ماه قبل بروز رسانی کرد.

پاسخ مورد 2:

اولا که این یک نقل از یک خبرگزاری رسمی هست که اون هم نقل کرده از یک موسسه رسمی معتبر و اینکه اولین توصیه هایی که بعد از هک میکنن (از توصیه های استاد عزیزم جناب افضلی (از مردان مرد منطقی این انجمن (نه مثل بعضیا با بی منطقی بگن هر وقت شما تعداد پست هات رسید به 500 تا بیا و نظر بده)) اینه که لینک سایتی که هک شده رو اعلام نکنید و نیاید جار بزنید که سایتمون هک شده.دوما برای بررسی صحت ادعا های هک ممکنه بتونید با مراجعه به زون اچ و امثال اون تاییدیه رو دریافت کنید.

Share this post


Link to post
Share on other sites

دوست عزیز کلا بحث امنیت بسیار نصبی است سایت های بانک های بزرگ دنیا با مراقبت متخصصان و مانیتورنیگ هک شده حالا شما بحث سر cms متداول میکنید.از دروپال جوملا وردپرس و .....

بهتره اگر راه کار علمی دارید را بیان کنید.

البته روی سخنم به همه دوستان میباشد.

در غیر این صورت ادامه این تایپیک بی معناست

Share this post


Link to post
Share on other sites

این بحث قبلا بارها در انجمن مطرح شده و به نتیجه ای هم نرسیده بدلیل اینکه اکثرا میخوان با تعصب در خصوص cms مورد علاقشون نظر بدن و از طرفی دیگه بدون در اختیار داشتن دانش در این خصوص ممکنه سایر کاربران رو گمراه کنن . هک و امنیت بحث بسیار پیچیده و تخصصی است که هیچ کس نمی تونه بگه من دانشش رو بطور کامل در اختیار دارم همونجور که سایت های بزرگ مثل سایت یاهو - گوگل و بانک های بزرگ دنیا هک شدن با قوی ترین تجهیزات سخت افزاری و نرم افزاری و تیم های کاربلد امنیت . من به شخصه تفاوتی توی امنیت سی ام اس ها ندیدم . حالا دوستان میگن دروپال امن تره چشم ما هم میگیم امن تره . جوملا و وردپرس بدلیل کاربر بیشتر مطمئنا بیشتر توی چشم هستند و زوم روی اونا بیشتره وگرنه اگه هکر ها روی سایر سی ام اس ها هم وقت بذارن خیلی باگ ها رو پیدا میکنن . این بحث مطمئنا به جایی نخواهد رسید . ..:: تاپیک بسته شد ::..

Share this post


Link to post
Share on other sites

درود

میدونم تاپیک بسته شده و با اجازه ابوالفضل عزیز چند نکته رو میگم صرفا جهت اطلاع

۱- وقتی در یک سایت و در سطح ملی از cms اوپن سورس استفاده میشه دیگه چیزی بنام امنیت معنا نداره ... امنیت هسته cms معنا نداره...... بلکه تیم امنیت معنا داره و نظارت 24 ساعته از وب سایت

۲- درسته که برای جوملا متوسط هر ۶۰ روز یک باگ میاد اما سوال؟ نحوه تشخیص این باگ ها به عهده کی هست؟ آیا همون روز که باگ منتشر میشه که اگر خوشبین باشیم کلاه سفید ها

اونو کشف کنن تا زمانی که پچ بشه چقدر طول میکشه؟ آیا بلافاصله است؟ آیا تیم بادی اسوات جوملا موظف هست سریعا هر باگی رو پچ کنه همون لحظه؟ اصلا آیا همون موقع که باگ کشف

میشه تیم جوملا آپدیت واش میده؟

۳- در تمامی cms های آماده اعم از وردپرس جوملا دروپال و.... وقتی پچ یک باگ میاد به این معنی هست که اون باگ خ وقته منتشر شده و تا اون لحظه بسیاری مورد نفوذ و هک قرار گرفتند

حالا یکسریش علنی میشه یکسریش اعلام نمیشه برای استفاده های بعدی و مخفیانه....

۴- شما از یک cms آماده که سورسش براحتی قابل دانلود هست چه انتظاری دارید؟ آیا به فرض امن بودن هسته امنیت برقرار هست؟ جهت اطلاع امنیت یک حلقه حداقل ۷ لایه ای داره و امنیت هسته cms فقط یکی از اون لایه محسوب میشه و در حالت پیشرفته تر میتونه شامل چند حلقه جند لایه ای باشه

۵- خنده دار اینه توی ایران همه میگن دروپال امن تره... این واقعا بی فکری و بی سوادی ما هست چرا؟ کلا هکر ها همیشه سمت چیزی میرن که مقبولیت و طرفدار بیشتری داره و رایج هست

توی ایران دروپال علی رغم قابلیت های بسیار خوب اقبال خوبی نداشت و کمتر کسی سراغش رفت حالا بهر دلیلی و جوملا و وردورس بیشتی استفاده رو داشتن بنابرین تعداد سایت هاشون بسیار بیشتر از دروپال هست معنیش چیه؟ اینه که هکرها بیشتر سمت این دو سیستم میرن و دنبال تشخیص باگ میرن و باگ پیدا و نفوذ میشه. بنابرین دلیل کمتر هک شدن دروپال امنیتش نیست بلکه مقبولیت کمتر و استفاده کمتر در ایران هست حتی در خارج هم همینطوره تقریبا

۶- اینکه یک سازمان ملی میاد از cms آماده استفاده می کنه اصلا مهم نیست!!! اینکه برای تشکیل حلقه امنیت چه کارهایی انجام میده و از همه مهم تر سامانه*های تشخیص نفوذ (Intrusion Detection System) و سیستم*های پیشگیری از نفوذ ( Intrusion prevention system) هست که هر کدوم یتونن یک لایه باشن و در کنار اینا استفاده از هانی پات ها بسیار موثر هست

۷- من متعجبم از سایت تابناک که بدون تحقیق نقل قول کرده از سایت های انگلیسی و تحلیل نکردن خبر رو صرفا ترجمه سلیس بدون تحلیل ارایه دادن

۸-نهایاتا امنیت مطلق نیست و باید منتظر گزارش تکمیلی بود که مشخص بشه این سایت ها دقیقا جه نوع سیستم امنیتی ای رو پیاده کرده بودند که منجر به شکست شد و آخر اینکه

هک شدن یک امر عادی هست و بسیاری بزرگتر از این سایت های دولتی سوریه مورد نفوذ قرار گرفتند که خودشون مدعی ارتقای امنیت بودن

۷-

ویرایش شده در توسط Pooyan Afzali

Share this post


Link to post
Share on other sites

برای ارسال نظر یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید نظر ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در انجمن ما ثبت نام کنید. عضویت خیلی ساده است !


ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید


ورود به حساب کاربری