ابزار سایت

افزونه_موارد_امنیتی_ضروری

فصل 15- افزونه «موارد امنیتی ضروری»

15-1- مقدمه

هدف از ایجاد این افزونه، به وجود آمدن امکانی برای کنترل موارد امنیتی و تعیین مقادیر پیش‌فرض حق دسترسی محتوای کاربران توسط مدیر در بخش مدیریت است.

15-2- شرح افزونه

افزونه «موارد امنیتی ضروری»، با هدف به وجود آمدن امکانی برای کنترل موارد امنیتی و تعیین مقادیر پیش‌فرض حق دسترسی محتوای کاربران ایجاد شده است. با استفاده از این افزونه از چهار آسیب مهم در حوزه امنیت وبگاه‌ها پیشگیری شده است که شامل موارد زیر است:

  • اخراج کاربران بدون فعالیت
  • جلوگیری از حمله تثبیت نشست 1
  • تعیین مقادیر پیش‌فرض در خصوص حق دسترسی محتوای کاربران
  • جلوگیری از نمایش ابزارک نظر در نمایه (به دلیل وجود چالش‌های حریم خصوصی در تنظیمات پیش‌فرض این بخش)

15-2-1- حذف نشست کاربران بدون فعالیت

بر اساس این قابلیت مدیر می‏تواند مشخص کند، کاربرانی که در شبکه اجتماعی بدون فعالیت هستند، بعد از چند دقیقه به‌صورت خودکار نشست آن‌ها پاک شده و برای ادامه کار، دوباره وارد شوند. این موضوع برای کاربرانی که در هنگام ورود، گزینه «من را به خاطر داشته باش» را انتخاب می‏‌کنند، صدق نکرده و آن‏ها تا زمانی که گزینه «خروج» را انتخاب نکنند، از شبکه اجتماعی به‌صورت خودکار اخراج نمی‌گردند.

مدیر در تنظیمات بخش مدیریت این افزونه که در شکل 1 نمایش داده شده است، توانایی تعیین مدت‌زمانی که کاربر با عدم فعالیت از شبکه اجتماعی، اخراج شود را دارد.

شکل 1: تنظیمات تعیین مدت‌زمانی که کاربران با عدم فعالیت از شبکه اجتماعی بیرون بیفتند

15-2-2- تعیین مقادیر پیش‌فرض موارد حق دسترسی محتوای کاربران

در این افزونه، مدیر می‌تواند مقادیر پیش‌فرض تمامی مواردی که در بخش «حریم خصوصی» کاربران قرار دارد را تنظیم کند. شایان ذکر است که این قابلیت در صورت نصب افزونه «حریم خصوصی» فعال خواهد بود. کاربران از طریق صفحه «حریم خصوصی» می‌توانند مجوزهای حق دسترسی محتوای خود را تنظیم کنند. با استفاده از این افزونه، مدیر می‌تواند مقادیر پیش‌فرض این مجوز‌ها را تعیین کند. شکل 2 نمایی از تنظیمات بخش مدیریت را نشان می‌دهد. کاربران با وارد شدن به صفحه «حریم خصوصی» خود، مقادیر پیش‌فرضی که مدیر برای آن‌ها تعیین کرده را مشاهده کرده و می‌توانند این مقادیر را برای محتوای خود به‌ صورت مجزا از دیگر کاربران تغییر دهند.

شکل 2: نمایی از تنظیمات حریم خصوصی در بخش مدیریت افزونه موارد ضروری

همچنین در صورتی که برای یک تنظیم حریم خصوصی مقدار پیش‌فرضی تعیین نشده باشد، هشداری به مدیر جهت تعیین مقدار برای تنظیم مذکور مطابق شکل 2 داده می‌شود. مقادیر تعیین‌شده توسط مدیر سامانه به صورت پیش‌فرض برای کاربران اعمال می‌شود. کاربران می‌توانند بر اساس نیاز خود در بخش «حریم خصوصی» این مقادیر را تغییر دهند.

15-2-3- جلوگیری از نمایش ابزارک «نظر» در نمایه

شبکه اجتماعی اکسوال که موتوشاب بر روی پایه آن توسعه داده شده است، امکانی برای ایجاد نظر در نمایه کاربران توسط دیگر کاربران فراهم‌ ساخته است که به دلیل به چالش کشیدن مسائل حریم خصوصی و وجود همین امکان در افزونه تازه‌ها، کاربر مدیر می‌تواند این ابزارک را از نمایه کاربران حذف کند. شایان ذکر است که ابزارک «تازه‌ها» تمامی قابلیت‌های ابزارک مذکور را دارا بوده و در نتیجه با حذف ابزارک «نظر»، هیچ چالش کارکردی، سامانه را تهدید نخواهد کرد.

15-2-4- انتخاب نمایش فعالیت‌های تازه‌ها در صفحه اصلی

در بخش تنظیمات نمایش فعالیت در صفحه اصلی، امکان انتخاب اینکه چه نوع فعالیت‌هایی در صفحه اصلی نمایش داده شوند شکل 3 وجود دارد

شکل 3: تنظیمات انتخاب فعالیت‌های قابل نمایش تازه‌ها در صفحه اصلی

15-2-5- تغییر رمز عبور کاربران به صورت دستی

در بخش تنظیمات تغییر رمز عبور، امکان تغییر رمز عبور کاربران توسط مدیریت سامانه شکل 4 وجود دارد. دو فیلد مورد نیاز به ترتیب رایانامه کاربر مورد نظر و رمزعبور جدید است

شکل 4: تغییر رمز عبور کاربر

15-2-6- تعیین IPهای مجاز برای ورود به بخش مدیریت سامانه

در بخش تنظیمات IPهای مجاز، امکان تعیین IPهایی که بخش مدیریت سامانه دسترسی داشته باشند شکل 5 وجود دارد. نکته مهم اینکه در تنظیم این قسمت می‌بایست بسیار دقت شود چرا که در صورت مقداردهی این بخش، هیچ IP دیگری قادر به دسترسی به بخش مدیریت نخواهد بود. برای حذف و غیرفعالسازی این بخش، کافیست IPهای وارد شده را پاک کرده و دکمه ثبت فشرده شود.

شکل 5: وارد سازی آی‌پی‌های مجاز

1) Session fixation
افزونه_موارد_امنیتی_ضروری.txt · آخرین ویرایش: 2019/01/15 12:45