بلاگفا هک میشویم
داستان هک بلاگفا ساده است و هر روز بیشتر میشود در حالیکه با انجام چند تغییر کوچک در بلاگفا که یک سرویس پربازدید ایرانی است قابل حل است
و اینکه گفته میشود هک بلاگفا شایعه است تا واقعیت را اینگونه اصلاح میکنم که بله شایعه است و هک بلاگفا ناشی از سهل انگاری مدیران وبلاگ های قرار گرفته در بلاگفا است تا ایراد در سیستم و شخصا اعتقاد دارم که بلاگفا غیر قابل هک است
قبل از ادامه مطلب ذکر این نکته ضروری است که اینجانب شخصا با وجود مخالفت شدید با رفتار سرد بلاگفا در بر خورد با کاربران از نظر فنی این سرویس را می ستایم
چون از نظر سئو کاملا دست سئو کاران را باز گذاشته و از نظر هک هم بعد از این همه سال امتحان خود را پش داده است
درست است که گفتم از نظر هک واقعا نفوذ ناپذیر است اما ایراد کوچکی وارد بر آن را که موجب هک از طرف جوجه هکر ها شده را بر می شمارم
1- در این سرویس کاربر می تواند ایمیل خصوصی و مخفی خود را یکی انتخاب نمایید و با همین ایراد و خبردارشدن هکر ها از ایمیل کاربری با یک ایمل جعلی به راحتی رمز کاربر را درخواست و
1000
ا بدست آوردن آن وبلاگ را هک می کنند
برای اصلاح این مورد تنها کافیست این اجازه به کاربر داده نشود که از ایمیل یکسان برای ایمیل خصوصی و عمومی استفاده کند(ضمن اینکه خود کاربران اگر این مورد را رعایت کنند مشکل برطرف میشود)
2- گاها دیده میشود کاربران این سیستم در بلاگفا داری یک ایمیل خصوصی و یک ایمیل عموحمی هستند که با یکدیگر هم متفاوت است (بعبارتی خطای بند 1 را مرتکب نشده اند) اما در فرومها و انجمن هایی که شرکتت می کنند در پروفایل خود ایمیلی را قرار می دهند که در بلاگفا به صورت خصوصی ثبت شده در اینجا نیز راه هک برجوجه هکر ها باز است پس میبینیم که در هرحال در هک های انجام شده در بلاگفا بیشتر خطای کاربر دیده میشود تا نقص در بلاگفا (هرچند سیستم بلاگفا نیز نباید اینکه ایمیل خصوصی با عمومی یکی باشد را مجاز بشمارد)
این مورد نیز باید در سیستم حل شود
ولی اگر شما ودیر وبلاگ ی هستید(حال فرق نمی کند چه بلاگفا چه پرشین بلاگ و چه سرویس های دگیر وبلاگ) توصیه اکید می کنم در زمانیکه به قسمت مدیریت (پنل کاربری) وارد شده اید هرگز و هرگز نظرات را باز نکنید همچنین صفحات وبلاگ را و اگر اصرار بر این کار دارید حتما جاواسکریپت خود را برای جلوگیری از اطلاعات سیسن و کوکی ببندید تا هک نشوید
جالب است که در سایت google-analysts.com این مسئله به این صورت است که وقتی شما سایتتان را رفرش می کنید از کنترل پنل google-analysts.com خارج میشوید
دلیل آن هم واضح است(این مورد عمدا قرار داده شده است) چون کد جاواسکریپت مربوط به google-analysts.com در سرور خارج از google-analysts.com اجرا میشودو طبیعی است که
امنیت و ممانتعت از script injection اقتضا میکند که با فراخوانی اسکریپتی که بر روی A قرار دارد اما در سایت B پردازش میشود لاگ اوت انجام شود که بدلیل پیچیدگی بحث به آن بیشتر از این نمی پردازیم
به دلایل امنیتی و جلوگیری از سوئ استفاده مسئله را ریزتر نمی کنم
در پست های بعدی روش های افزايش ترافيک سايت يا وبلاگ با هدف بالا بردن امار بازديد وبلاگ یا سایت و پارامترهای مربوط به افزایش آمار بازدید می پردازیم
ارسال نظر برای این مطلب
اطلاعات کاربری
SMSنویسندگان
آرشیو
آمار سایت