تسجيل فعاليات المستخدمين في الموقع (LOG)
ان من اهم الامور التي يجب اخذها بعين الاعتبار في تصميم التطبيقات للمواقع هي تسجيل كل الفعاليات التي يقوم بها المستخدمون عبر الانترنت وذلك لعدة اعتبارات :
1- القدرة على تحديد ما اذا كانت اخطاء في عمل البرنامج, كان يعرض بيانات مستخدم معين لمستخدم اخر.
2- تتبع خروقات مقصودة من قبل مستخدمين في الموقع.
3- القدرة على تقديم بيانات للرد على دعوات من قبل مستخدمين قد يدعو تعرض حسابهم لخروقات من قبل قراصنة.
4- القدرة على جمع احصائيات عن تعامل المستخدمين مع الموقع, الصفحات الأكثر طلبا والبيانات الأكثر استهلاكا, وجمع بيانات عن "مسارات" يقوم بها المستخدمون في صفحات الموقع, في سبيل تحسين الخدمات.
سبل جمع التسجيلات :
هناك العديد من الادوات التي يمكن اسنعمالها لتسجيل زيارات المستخدمين للموقع والخدمات المستهلكة من قبلهم ومنها :
1- Google Analytics, خدمة مجانية من Google
هذه الأداة مجانية (Google Analytics) وهي تعطيك معلومات عن طبيعة المستخدمين, المصدر ( دولة, مدينة), اللغة, حجم الشاشة, عدد الزوار, نوع متصفح الانترنت, الصفحات الأكثر دخولا, مسار التصفح الاكثر شياعا.
كل هذه المعلومات جاهزة حتى الساعتين الاخيرتين, وحسب فترات زمنية يختارها صاحب الموقع.
هذا التسجيل لا يشمل تفاصيل خاصة عن المستخدمين(مستخدمين مسجلين للموقع), ومخزن في قاعدة بيانات في GOOGLE, ويمكن رؤيتها عير الأنترنت بعد دخول الحساب في GOOGLE.
هذه الاداة تعمل عن طريق javascript والذي يقوم بجمع المعلمومات عن الصفحة ومحتوياتها وعن المستخدم الذي فتح هذه الصفحة ومن ثم ارسالها الى جوجل عن طريق الانترنت من جهة المستخدم (client side).
2- IIS LOG, Appache Log / Web Server access Log
هذه الأداة مجانية وهي تعطيك معلومات عن طبيعة المستخدمين, حجم الشاشة, عدد الزوار, نوع متصفح الانترنت, الصفحات الأكثر دخولا, مسار التصفح الاكثر شياعا.
كل هذه المعلومات جاهزة مباشرة, وحسب أختيار صاحب الموقع.
هذا التسجيل لا يشمل تفاصيل خاصة عن المستخدمين, ومخزن تحت الملفات في مجلد IIS اوAPACHE, weblogic ولا يمكن رؤيتها عير الأنترنت.
هذه البيانات بحاجة الى اداة تحليل خاصة.
3- تسجيل الفعاليات عن طريق التطبيق نفسه باستخدام Log4J, Log4Net , Log4PHP, او حتى بناء LOG خاص. (Apache Logging)
هنا يمكنم ان تسجل ما تشاء عما يقوم به المستخدم من الدخول ال خدمات مختلفة ومعلومات اضافية حسب احياجاتك وحسب الاعتبارات المختلفه التي تنوي التعامل معها (حماية المعلومات, احصائيات عن جيل المستخدمين, جنسهم, التفاصيل التي ادخلت في نماذج الموقع, المعلومات التي عرضت للمستخدم و و و ).
يمكن تخزين هذه التسجيلات بعدة طرق, اما في ملفات او في قاعدة بيانات.
بعد ان قررت ما هي البيانات التي انت بحاجة اليها فعليك ان تقسمها الى انواع او ما يدعى طبقات (معلومانيه, استكشافية للاخطاء في البرنامج, اخطاء في البرنامج واخطاء مصيرية و و و و ).
ان ذلك يمكن من :
التحكم بتوزيع البيانات في ملقات او قوائم قاعدة بيانات مختلفة للتسهيل عند الاطلاع والبحث فيها
التحكم بتشغيل التسجيل او وقفه حتى الحاجة اليه
التحكم بمبنى السطر في التسجيل والبيانات التي تسجل بطريقة اوتواتيكية مثل (التاريخ, مصدر التسجيل, الدرجة ووو)
تنزيل مثال : Log4JExample.zip
تحليل السجلات
هناك مئات الادوات القادرة على قرائة التسجيلات للخادم (IIS / APACHE ) واستخلاص الأحصائيات منها, على سبيل المثال :
ًweblog expert
فهرست WIKI
ان جمع كل من هذه البيانات يعطيك صورة متكاملة عما يجري في الموقع, ويمكن من التحقيق في خروقات بالموقع, ويعطي القدرة على اكتشاف اخطاء في عمل البرنامج وتصحيحها.
عن طريق جمع الحصائيات يمكنك التعرف على الصفحات الاكثر زيارة, المعلومات الأكثر استهلاكا ومن ثم تقديم التحسينات في الموقع للوصول الى الأكثر سهولة للمستخدمين, عرض الخدمات التي تجلب أكثر الارباح وزيادة فعالية الموقعا.
طرق لمنع القرصنة وسرقة بيانات
ان كثيرا من المواقع تتعرض للقرصنة بشكل متواصل, طبعا هنالك العديد من الطرق للتحايل على الانظمة والوصول الى بيانات قد تعرض المستخدمين لسوء الاستعمال لبياناتهم.
اضافة لجهاز حائط النار (firewall), هناك الكثير مما يجب العمل به حتى تقلل من خطر تعرض نظامك الانترنتي للخطر, واذكر منه :
1- استعمال وحدة captcha, والهدف منها ان تمنع محاولات قرصنة روبوتية :
هذه الوحدة عبارة عن صورة مشوهه لرقم او لكلمة عشوائية يتم انتاجها اثناء دخول المستخدم لمنطقة تسجيل الدخول للموقع, يتم تخزين هذه
الكلمة او الرقم في الsession قبل عرض شاشة ادخال اسم المستخدم وكلمة السر,عند عرض شاشة الدخول يطلب من المستخدم ان يتعرف على ما في الصورة وإدخاله اضافة لأسم المستخدم وكلمة السر.
لا يسمح لللمستخدم بالتقدم للتعريف عن نفسه ان لم يتمكن من ادخال ما هو مكتوب في الصورة captcha.
عادة لا تعرض الcaptcha من اول محاولة الا بعد عدة محاولات فاشلة حتى لا تتحول لعائق للمستخدمين العاديين.
يجب ان تكون الصورة مشوهة كفاية حتى تصعب على الروبوت من تمييز فحواها, هذا ممكن بسهولة لهاكر يملك جهاز تحليل الكتابة, مع ذلك ان تكون سهلة للمستخدمين العاديين.
يمكن استعمال هذه الوحدة في اكثر من مكان في الموقع مثل "اتصل بنا" حتى لا يتم ادخال spam روبوتي.
ما الهدف ؟
بامكان اي هاكر مبتدئ ان يشغل script يدخل مباشرة اسم مستخدم وكلمة سر في المربع بصورة دورية وكل مرة مع محاولة كلمة سر
جديدة حتى محاولة اخيرة يتمكن فيها من توقع كلمة السر للمستخدم والدخول الى الموقع بإسمه.
عرض مثل هذه الصورة يقلل من هذا الخطر لان الscript غير قادر على قراءة ما هو مكتوب في الصورة (لانها مشوهه) بعكس
الانسان الذي منحه الله تعالى عقلا مميزا قادر على ان يحلل مثل هذه الكلمات المشوهه والتعرف عليها.
أن تستعمل الأقفال الحساب للمستخدم بعد عدة محاولات لادخال اسم المستخدم وكلمة السر بصورة خاطئة :
يجب اقفال حساب المستخدم لفترة زمنية محدودة (نصف ساعة) في حال الإخطاء بادخال كلمة السر بعد عدة محاولات.
هذه لانه في حال ان حدث فمن الممكن ان يكون مستخدما يحاول توقع كلمة السر.
مدة الإقفال المحدودة زمنيا تمنع ان تتعرض كل حسابات المستخدمين للاقفال من طرف الهاكرز.
3- التزود بنظام ذكي الذي بمقدوره ان يمنع اي طلب شاذ عن الطلبات المعتادة.
مفلس هسا اشرح عنه, عذرا بدي انام
مرسلة بواسطة بدر مواسي في 11:46 م 1 التعليقات
التسميات: هاكرز
ردود الأفعال
ان المزج بين رفع مستوى خدمة الزبون والحاجة للحفاظ على نظم الشركة من الضغط الذي قد ينجم عن اقبال كثيف من المستخدمين, وحمايتها من القرصنة, يستدعي ان تقدم الخدمة عبر عدة طبقات. طبقة 1, طبقة 2, الشبكة المحلية.
ما هي الطبقات ؟
هنالك عدة تعريفات للطبقات في هذا الخصوص, طبقات في البرنامج layers, وطبقات التوزيع الشبكي للخدم (servers tier) , ان الفصل بين مكونات التطبيق يمكًن من اضافة عناصر اخرى للحماية من الاخطار, وكذلك يضاعف من جاهزية الشركة لأضافة servers ان استدعت الحاجة لذلك.
الفصل الذي اتكلم عنه هنا هو الفصل الشبكي.
الطبقة الاولى (1):
هي الطبقة التي يكون فيها الخادم الذي يتصل به المستخدم مباشرة, عادة ما تدعى presintation (طبقة العرض)
الطبقة الثانية (2):
هي الطبقة التي تربط بين النظم الداخلية والخادم الامامي في طبقه 1. (middle tier), وتدعى في كثير من الأحيان البنية التحتية.
الشبكة الداخلية :
فيها تتواجد انظمة الشركة الاساسية (CRM, Billing, ERP, BI) واخرى.
الفاصل بين الطبقات :
ان وضع firewall يهدف لحماية الخادم والنظم من تعرضها للقرصنة بشكل اساسي. فيمكن التحكم عن طريقه بقناة اللاتصال والثغرات المفتوحة (firewall) بين الخادم وبين المسنخدم, وهو عبارة عن برنامج يمكن التحكم بمعاييره حسب الحاجه كأن يفتح port 80 فقط, لمنع الاتصال باي جهاز غير الخادم.
جهاز توزيع الضغط Load Balance والذي من وظيفته ان يستقبل الطلبات وان يوزعها على الخدم الخلفية وحسب معايير تضمن توزيع الضغط ليضمن تواصل الخدمة لكل المستخدمين, هناك عدة خوارزميات لتوزيع الضغط مثل :
1- The round-robin algorithm: واساسه ان كل خادم يتلقى الطلب القادم حسب الدور بشكل دوري فكل خادم يقدم
نفس عدد الخدمات.
2- Persistent IP : وهو توزيع الخدمة بين الخدم حسب IP المستخدم. فان ذلك يوزع الضغط بشكل عشوائي نوعا ما,
لكنه يضمن ان كل مستخدم يرجع في العمل امام نفس الخادم.
قاعدة بيانات المستخدمين:
من المفضل ان تتواجد هذه الوحدة في الطبقة الثانية حتى يقلل من امكانة تعرضها للقرصنة مباشرة عبر الانترنت وان يتركز
الاتصال بها عبر الخادم الأمامي والخلفي من خلال التطبيقات.
طرق الاتصال بين الطبقات :
هناك بروتوكولات كثيرة لربط الطبقات والإتصال بينها, من اسهلها واكثرها انتشارا webservice, rmi,com وأحدثها wcf.
طبعا هذه البروتوكولات تسهل من القدرة على توسعة التطبيقات واستغلال البنيه التحتية في عدة تطبيقات مستقبلية.
مرسلة بواسطة بدر مواسي في 08:39 ص 0 التعليقات
التسميات: BI, CRM, ERP, firewall, IT, load balance, server, tier, خادم, هاكرز
ان من اهم الامور التي يجب اخذها بعين الاعتبار في تصميم التطبيقات للمواقع هي تسجيل كل الفعاليات التي يقوم بها المستخدمون عبر الانترنت وذلك لعدة اعتبارات :
1- القدرة على تحديد ما اذا كانت اخطاء في عمل البرنامج, كان يعرض بيانات مستخدم معين لمستخدم اخر.
2- تتبع خروقات مقصودة من قبل مستخدمين في الموقع.
3- القدرة على تقديم بيانات للرد على دعوات من قبل مستخدمين قد يدعو تعرض حسابهم لخروقات من قبل قراصنة.
4- القدرة على جمع احصائيات عن تعامل المستخدمين مع الموقع, الصفحات الأكثر طلبا والبيانات الأكثر استهلاكا, وجمع بيانات عن "مسارات" يقوم بها المستخدمون في صفحات الموقع, في سبيل تحسين الخدمات.
سبل جمع التسجيلات :
هناك العديد من الادوات التي يمكن اسنعمالها لتسجيل زيارات المستخدمين للموقع والخدمات المستهلكة من قبلهم ومنها :
1- Google Analytics, خدمة مجانية من Google
هذه الأداة مجانية (Google Analytics) وهي تعطيك معلومات عن طبيعة المستخدمين, المصدر ( دولة, مدينة), اللغة, حجم الشاشة, عدد الزوار, نوع متصفح الانترنت, الصفحات الأكثر دخولا, مسار التصفح الاكثر شياعا.
كل هذه المعلومات جاهزة حتى الساعتين الاخيرتين, وحسب فترات زمنية يختارها صاحب الموقع.
هذا التسجيل لا يشمل تفاصيل خاصة عن المستخدمين(مستخدمين مسجلين للموقع), ومخزن في قاعدة بيانات في GOOGLE, ويمكن رؤيتها عير الأنترنت بعد دخول الحساب في GOOGLE.
هذه الاداة تعمل عن طريق javascript والذي يقوم بجمع المعلمومات عن الصفحة ومحتوياتها وعن المستخدم الذي فتح هذه الصفحة ومن ثم ارسالها الى جوجل عن طريق الانترنت من جهة المستخدم (client side).
2- IIS LOG, Appache Log / Web Server access Log
هذه الأداة مجانية وهي تعطيك معلومات عن طبيعة المستخدمين, حجم الشاشة, عدد الزوار, نوع متصفح الانترنت, الصفحات الأكثر دخولا, مسار التصفح الاكثر شياعا.
كل هذه المعلومات جاهزة مباشرة, وحسب أختيار صاحب الموقع.
هذا التسجيل لا يشمل تفاصيل خاصة عن المستخدمين, ومخزن تحت الملفات في مجلد IIS اوAPACHE, weblogic ولا يمكن رؤيتها عير الأنترنت.
هذه البيانات بحاجة الى اداة تحليل خاصة.
3- تسجيل الفعاليات عن طريق التطبيق نفسه باستخدام Log4J, Log4Net , Log4PHP, او حتى بناء LOG خاص. (Apache Logging)
هنا يمكنم ان تسجل ما تشاء عما يقوم به المستخدم من الدخول ال خدمات مختلفة ومعلومات اضافية حسب احياجاتك وحسب الاعتبارات المختلفه التي تنوي التعامل معها (حماية المعلومات, احصائيات عن جيل المستخدمين, جنسهم, التفاصيل التي ادخلت في نماذج الموقع, المعلومات التي عرضت للمستخدم و و و ).
يمكن تخزين هذه التسجيلات بعدة طرق, اما في ملفات او في قاعدة بيانات.
بعد ان قررت ما هي البيانات التي انت بحاجة اليها فعليك ان تقسمها الى انواع او ما يدعى طبقات (معلومانيه, استكشافية للاخطاء في البرنامج, اخطاء في البرنامج واخطاء مصيرية و و و و ).
ان ذلك يمكن من :
التحكم بتوزيع البيانات في ملقات او قوائم قاعدة بيانات مختلفة للتسهيل عند الاطلاع والبحث فيها
التحكم بتشغيل التسجيل او وقفه حتى الحاجة اليه
التحكم بمبنى السطر في التسجيل والبيانات التي تسجل بطريقة اوتواتيكية مثل (التاريخ, مصدر التسجيل, الدرجة ووو)
تنزيل مثال : Log4JExample.zip
تحليل السجلات
هناك مئات الادوات القادرة على قرائة التسجيلات للخادم (IIS / APACHE ) واستخلاص الأحصائيات منها, على سبيل المثال :
ًweblog expert
فهرست WIKI
ان جمع كل من هذه البيانات يعطيك صورة متكاملة عما يجري في الموقع, ويمكن من التحقيق في خروقات بالموقع, ويعطي القدرة على اكتشاف اخطاء في عمل البرنامج وتصحيحها.
عن طريق جمع الحصائيات يمكنك التعرف على الصفحات الاكثر زيارة, المعلومات الأكثر استهلاكا ومن ثم تقديم التحسينات في الموقع للوصول الى الأكثر سهولة للمستخدمين, عرض الخدمات التي تجلب أكثر الارباح وزيادة فعالية الموقعا.
طرق لمنع القرصنة وسرقة بيانات
ان كثيرا من المواقع تتعرض للقرصنة بشكل متواصل, طبعا هنالك العديد من الطرق للتحايل على الانظمة والوصول الى بيانات قد تعرض المستخدمين لسوء الاستعمال لبياناتهم.
اضافة لجهاز حائط النار (firewall), هناك الكثير مما يجب العمل به حتى تقلل من خطر تعرض نظامك الانترنتي للخطر, واذكر منه :
1- استعمال وحدة captcha, والهدف منها ان تمنع محاولات قرصنة روبوتية :
هذه الوحدة عبارة عن صورة مشوهه لرقم او لكلمة عشوائية يتم انتاجها اثناء دخول المستخدم لمنطقة تسجيل الدخول للموقع, يتم تخزين هذه
الكلمة او الرقم في الsession قبل عرض شاشة ادخال اسم المستخدم وكلمة السر,عند عرض شاشة الدخول يطلب من المستخدم ان يتعرف على ما في الصورة وإدخاله اضافة لأسم المستخدم وكلمة السر.
لا يسمح لللمستخدم بالتقدم للتعريف عن نفسه ان لم يتمكن من ادخال ما هو مكتوب في الصورة captcha.
عادة لا تعرض الcaptcha من اول محاولة الا بعد عدة محاولات فاشلة حتى لا تتحول لعائق للمستخدمين العاديين.
يجب ان تكون الصورة مشوهة كفاية حتى تصعب على الروبوت من تمييز فحواها, هذا ممكن بسهولة لهاكر يملك جهاز تحليل الكتابة, مع ذلك ان تكون سهلة للمستخدمين العاديين.
يمكن استعمال هذه الوحدة في اكثر من مكان في الموقع مثل "اتصل بنا" حتى لا يتم ادخال spam روبوتي.
ما الهدف ؟
بامكان اي هاكر مبتدئ ان يشغل script يدخل مباشرة اسم مستخدم وكلمة سر في المربع بصورة دورية وكل مرة مع محاولة كلمة سر
جديدة حتى محاولة اخيرة يتمكن فيها من توقع كلمة السر للمستخدم والدخول الى الموقع بإسمه.
عرض مثل هذه الصورة يقلل من هذا الخطر لان الscript غير قادر على قراءة ما هو مكتوب في الصورة (لانها مشوهه) بعكس
الانسان الذي منحه الله تعالى عقلا مميزا قادر على ان يحلل مثل هذه الكلمات المشوهه والتعرف عليها.
أن تستعمل الأقفال الحساب للمستخدم بعد عدة محاولات لادخال اسم المستخدم وكلمة السر بصورة خاطئة :
يجب اقفال حساب المستخدم لفترة زمنية محدودة (نصف ساعة) في حال الإخطاء بادخال كلمة السر بعد عدة محاولات.
هذه لانه في حال ان حدث فمن الممكن ان يكون مستخدما يحاول توقع كلمة السر.
مدة الإقفال المحدودة زمنيا تمنع ان تتعرض كل حسابات المستخدمين للاقفال من طرف الهاكرز.
3- التزود بنظام ذكي الذي بمقدوره ان يمنع اي طلب شاذ عن الطلبات المعتادة.
مفلس هسا اشرح عنه, عذرا بدي انام
مرسلة بواسطة بدر مواسي في 11:46 م 1 التعليقات
التسميات: هاكرز
ردود الأفعال
ان المزج بين رفع مستوى خدمة الزبون والحاجة للحفاظ على نظم الشركة من الضغط الذي قد ينجم عن اقبال كثيف من المستخدمين, وحمايتها من القرصنة, يستدعي ان تقدم الخدمة عبر عدة طبقات. طبقة 1, طبقة 2, الشبكة المحلية.
ما هي الطبقات ؟
هنالك عدة تعريفات للطبقات في هذا الخصوص, طبقات في البرنامج layers, وطبقات التوزيع الشبكي للخدم (servers tier) , ان الفصل بين مكونات التطبيق يمكًن من اضافة عناصر اخرى للحماية من الاخطار, وكذلك يضاعف من جاهزية الشركة لأضافة servers ان استدعت الحاجة لذلك.
الفصل الذي اتكلم عنه هنا هو الفصل الشبكي.
الطبقة الاولى (1):
هي الطبقة التي يكون فيها الخادم الذي يتصل به المستخدم مباشرة, عادة ما تدعى presintation (طبقة العرض)
الطبقة الثانية (2):
هي الطبقة التي تربط بين النظم الداخلية والخادم الامامي في طبقه 1. (middle tier), وتدعى في كثير من الأحيان البنية التحتية.
الشبكة الداخلية :
فيها تتواجد انظمة الشركة الاساسية (CRM, Billing, ERP, BI) واخرى.
الفاصل بين الطبقات :
ان وضع firewall يهدف لحماية الخادم والنظم من تعرضها للقرصنة بشكل اساسي. فيمكن التحكم عن طريقه بقناة اللاتصال والثغرات المفتوحة (firewall) بين الخادم وبين المسنخدم, وهو عبارة عن برنامج يمكن التحكم بمعاييره حسب الحاجه كأن يفتح port 80 فقط, لمنع الاتصال باي جهاز غير الخادم.
جهاز توزيع الضغط Load Balance والذي من وظيفته ان يستقبل الطلبات وان يوزعها على الخدم الخلفية وحسب معايير تضمن توزيع الضغط ليضمن تواصل الخدمة لكل المستخدمين, هناك عدة خوارزميات لتوزيع الضغط مثل :
1- The round-robin algorithm: واساسه ان كل خادم يتلقى الطلب القادم حسب الدور بشكل دوري فكل خادم يقدم
نفس عدد الخدمات.
2- Persistent IP : وهو توزيع الخدمة بين الخدم حسب IP المستخدم. فان ذلك يوزع الضغط بشكل عشوائي نوعا ما,
لكنه يضمن ان كل مستخدم يرجع في العمل امام نفس الخادم.
قاعدة بيانات المستخدمين:
من المفضل ان تتواجد هذه الوحدة في الطبقة الثانية حتى يقلل من امكانة تعرضها للقرصنة مباشرة عبر الانترنت وان يتركز
الاتصال بها عبر الخادم الأمامي والخلفي من خلال التطبيقات.
طرق الاتصال بين الطبقات :
هناك بروتوكولات كثيرة لربط الطبقات والإتصال بينها, من اسهلها واكثرها انتشارا webservice, rmi,com وأحدثها wcf.
طبعا هذه البروتوكولات تسهل من القدرة على توسعة التطبيقات واستغلال البنيه التحتية في عدة تطبيقات مستقبلية.
مرسلة بواسطة بدر مواسي في 08:39 ص 0 التعليقات
التسميات: BI, CRM, ERP, firewall, IT, load balance, server, tier, خادم, هاكرز
