امنیت-اطلاعات-در-شبکه-اینترنت

ODBC چیست و چگونه عمل می کند؟

odbc که مخفف کلمه (Open Database Connectivity) است، فراهم کننده فضایی به عنوان رابط نرم افزاری ( API ) می باشد که از طریق آن می توان از DBMS های مختلف استفاده و بهره برداری کرد. هدف طراحان این سیستم، بوجود آوردن بستری مستقل از زبان های برنامه نویسی ، سیستم عامل ها و DBMS ها می باشد.

تاریخچه odbc :

ODBC متشکل از “رابط های همتراز فراخوان ” یا (CLI) ها است. که این رابطه ها توسط سازمانها و شرکت های SQL Access Group ، X/Open (که حالا بخشی از The Open Group می باشد) و ISO/IEC تعریف و استاندارد سازی شده اند.

شرکت مایکروسافت رابط ODBC را با اصول و رابط های SQL Access Group طراحی و پیاده سازی کرد. که در زیر نسخه های آن به ترتیب زمان ذکر شده است:

• 1.0: released in September 1992
• 2.0: ca 1994
• 3.0: ca 1995
• 3.5: ca 1997

روش کار و عملکرد odbc :

برای استفاده از سیستم ODBC می بایست سه مولفه مختلف موجود باشد که عبارتند ا ز:
ODBC driver
– ODBC client
– DBMS server

ابتدا ODBC client درخواست های مورد نظر خود را برای DBMS server ارسال می کند،سپس DBMS server بوسیله ODBC driver این تقاضا را ترجمه کرده و نتیجه را که بوسیله ODBC driver ترجمه شده برای ODBC client می فرستد.

ارتباط ODBC با دیگر روش ها :

JDBC-ODBC

این روش متشکل از یک راه انداز (Driver) رابط JDBC می باشد که از یک راه انداز (Driver) رابط ODBC برای اتصال به پایگاه داده مقصد استفاده می نماید. این راه انداز اسلوب های JDBC را به فراخوان های تابع (Function calls) ODBC ترجمه می نماید. برنامه نویسان عموماً از این پل ارتباطی برای پایگاه داده ای خاصی استفاده می کنند که از راه انداز JDBC به خوبی پشتیبانی نمی کنند. مثلاً Sun Microsystems یکی از این پل هل را در JVM خود جای داده است.

ODBC-JDBC
این روش نیز مانند روش قبلی از یک راه انداز ODBC جهت بهره مندی از سرویس های یک راه انداز (Driver) JDBC جهت اتصال به پایگاه داده ی مقصد استفاده می نماید.
OLE DB
شرکت مایکروسافت این رابطه را برطبق ODBC و برای ساده سازی و توسعه برنامه های بر طبق تکنولوژی COM پدید آورده است مانند Visual basic.
پیاده سازی ها
پیاده سازی های مختلفی از ODBC برای سیستم عامل های مختلف موجود است ، مانند: Microsoft Windows, Unix, Linux, OS/2, OS/400, IBM i5/OS, Mac OS X. همینطور درایور های مختلفی از آن برای DBMS های متفاوتی بوجود آمده است ، مانند: Oracle, DB2, Microsoft SQL Server, Sybase, Pervasive SQL, IBM Lotus Domino, MySQL, PostgreSQL ,Microsoft Access.
Microsoft ODBC
شرکت مایکروسافت نخستین پیاده سازی خود از ODBC در قالب یکسری DLL ها در سورس کدهای ویندوز بوجود آورد وآن را در نسخه های مختلف ویندوز منتشر کرد.
iODBC
Independent Open DataBase Connectivity یک ارائه متن باز (Open source) می باشد که از ODBC و X/Open گرفته شده است و بطور کلی برای محیط هایی بجز Microsoft Windows مورد استفاده قرار می گیرد. نگهداری و توسعه این پروژه بر طبق LGPL و BSD لایسنس می باشد. شرکت APPLE نیز از این پیاده سازی در سیستم عامل خود (Mac Os X) استفاده کرده است.

مهندسین و برنامه نویسان دیگر سیستم ها نیز این پیاده سازی را در سیستم های خود اعمال کرده اند و توسعه داده اند ، مانند : Mac OS 9, Linux (x86, x86-64, IA-64, Alpha, MIPS, and ARM), Solaris (SPARC and x86), AIX, HP-UX (PA-RISC and Itanium), Compaq Tru64, Digital UNIX, Dynix, Generic UNIX 5.4, FreeBSD, DG-UX, and OpenVMS.
علت این همه گستردگی این پروژه در سیستم عامل های متفاوت ، متن باز بودن آن است که از قابلیت های آن نسبت به دیگر پروژه ها می باشد.
IBM i5/OS
IBM i5/OS یک پیاده سازی از رابط ODBC است که برای پشتیبانی از پایگاه داده DB2 بوجود آمده است.
UDBC

یک رابط چند سکویی (cross-platform) با ترکیب ODBC و SAG CLI می باشد که برای سیستم های غیر از سیستم عامل ویندوز طراحی و پیاده سازی شده است و اکنون با پروژه iODBC یکی شده است.

امیدواریم از این بخش آموزش php بهره کامل برده باشید.

شرکت طراحی وب سایت همیاران

حفره های امنیتی در بدنه بعضی سایتها

10 دلیل عمده و اصلی هک شدن سایتها به شرح ذیل می باشد:

معمولاً هکرها از حفره ها و عدم رعایت نکات امنیتی توسط طراحان سایتها و برنامه نویسان نرم افزارهای تحت وب برای نفوذ به سایتها استفاده میکنند مواردی که با کمی دقت قابل پیش بینی و رفع هستند. در این مقاله که به همت روابط عمومی شرکت طراحی سایت همیاران تهیه و تنظیم شده به نکاتی از مهمترین حفره های امنیتی و موارد رایج در هک شدن سایتها در سالهای اخیر می پردازیم.

۱) نفوذ اسکریپتهای صلیبی سایت (Cross site scripting یا XSS)
این حفره زمانی ایجاد می شود که اطلاعات ارسالی بین کاربران و سایت بدون بررسی و اعتبار سنجی لازم توسط نرم افزار سایت انجام می شود. در این زمان هکر میتوانند اسکریپتهایی را همراه اطلاعات به نرم افزار سایت تزریق کند و این اسکریپتها هنگام نمایش اطلاعات در مرورگر دیگر کاربران سایت اجرا می شود و مشکلاتی همچون سرقت اطلاعات نشست (Session) و دسترسی به اختیارات و اطلاعات دیگر کاربران و یا تغییر در صفحات سایت را ایجاد کند.

۲) حفره تزریق پارامتر(Injection flaws)
در این شیوه هکر به همراه بخشی از اطلاعات یا پارامترهای ارسالی به سایت دستورات غیر مجازی که امکان خواندن،تغییر یا حذف یا درج اطلاعات جدید را فراهم میکند نیز تزریق میکند.یکی از معمول ترین این روشها SQL Injection است که امکان تغییر در اطلاعات و جداول بانک اطلاعاتی یا تغییر در درخواستها از بانک اطلاعات (مانند تعیین اعتبار کاربر و کلمه) را امکان پذیر میکند.

۳) اجرای فایلهای مخرب (Malicious file execution)
این نوع حفره به هکر اجازه اجرای برنامه یا دستوری را میدهد که امکاناتی در تغییرات یا مشاهده اطلاعات یا حتی تحت کنترل گرفتن کامل نرم افزار وب سایت یا سیستم را میدهد. این حفره در سایتهایی که امکان ارسال فایل را به کاربران بدون بررسی ماهیت اطلاعات را می دهد رخ می‌دهد (به طور مثال ارسال یک اسکریپ PHP یا ASP به جای فایل تصویری توسط کاربران)

۴) هدف مستقیم نا امن (Insecure direct object referenc)
این حفره امنیتی عموماً در تغییر پارامترهای ارسالی به صفحات یا اطلاعات فرم‌هایی هست که بصورت مستقیم به فایل، جداول اطلاعاتی، فهرستها یا اطلاعات کلیدی رخ می‌دهد و امکان دسترسی یا تغییر فایلهای اطلاعاتی برای دیگر کاربران را مهیا میکند. (مانند ارسال کد کاربر یا نام فایل مخصوص او بصورت پارامتر در آدرس صفحه که با تغییر آن امکان دسترسی یا تغییر در اطلاعات کاربر دیگری وجود خواهد داشت)

۵) درخواست جعلی در سایت (site request forgery)
در اینگونه حملات هکر کنترل مرورگر قربانی را یدست آورده و زمانی که وی وارد سایت (login) شده درخواستهای نادرستی را به سایت ارسال می کند. (نمونه آن چندی پیش دز سایت myspace اتفاق افتاده بود و هکری با استفاده از یک کرم اینترنتی پیغامی را در میلیونها صفحه کاربران این سایت نمایش داد)

۶) نشت اطلاعات و رفع خطای نامناسب (Information leakage and improper error handling)
هنگامی که خطاهای نرم افزار سایت به روش مناسبی مدیریت نشوند در صفحات خطا اطلاعات مهمی نمایش داده می‌شود که امکان سوء استفاده از آنها فراهم می شود.(به طور مثال برای یکی از سایت های فارسی همین مشکل بوجود آمد و اطلاعات کاربری و کلمه عبور اتصال به بانک اطلاعات در زمان خطا نمایش داده می شد و باعث سوء استفاده و تغییر اطلاعات کاربران این سایت شد )

۷) شکست احراز هویت و مدیریت نشست (Broken authentication and session management)
این حفره زمانی که نشست کاربر (Session) و کوکی اطلاعات مربوط به ورود کاربر به دلایلی به سرقت رود یا به دلیلی نیمه کاره رها شود، ایجاد می شود. یکی از شیوه های جلوگیری از این مشکل رمز نگاری اطلاعات و استفاده SSL است.

۸) ذخیره سازی و رمز نگاری نا امن (Insecure cryptographic storage)
همانطور که از نام این حفره مشخص است بدلیل اشتباه در رمزنگاری اطلاعات مهم (استفاده از کلید رمز ساده یا عدم رمز نگاری اطلاعات کلیدی) است.

۹) ارتباطات نا امن (Insecure communications)
ارتباط نا امن نیز مانند حفره قبلی است با این تفاوت که در لایه ارتباطات شبکه است. هکر در شرایطی میتواند اطلاعات در حال انتقال در شبکه را مشاهده کند و از این طریق به اطلاعات مهم نیز دست پیدا کند. همانند مشکل قبلی نیز استفاده از شیوه های رمزنگاری و SSL راه حل این مشکل است.

۱۰) شکست برای محدود کردن دسترسی به آدرس بار (Failure to restrict URL access)
بعضی از صفحات سایت (مانند صفحات بخش مدیریت) می‌بایست فقط در اختیار کاربرانی با دسترسی خاص باشند. اگر دسترسی به این صفحات و پارارمترهای ارسالی آنها به شکل مناسبی حفاظت نشده باشد، این امکان را برای هکرها به وجود می آورد تا آدرس این صفحات را حدس بزنند و به نحوی به آنها دسترسی پیدا کنند.

 

امنیت در شبکه های ارتباطی و اینترنت

اکنون که بسیاری از افراد فناوری اطلاعات و ارتباطات را باعث سهولت در امر تبادل داده ها می دانند موضوع امنیت در تبادل اطلاعات همچنان به عنوان یکی از اصول عقب مانده به شکل یک معضل پنهان باقی می ماند. امنیت اطلاعات برای بخش مهمی از فعالان بخش فناوری اطلاعات تنها زمانی به عنوان یک موضوع حاد مطرح می شود که مشکلی در سیستم به وجود آید. اغلب مواقع این مشکلات باعث ضربه ای مهلک بر سیستم و یا به اطلاعات موجود در آن می شود. اینترنت نیز از جهت های گوناگون مورد نقد و برسی و ارزیابی توسط کارشناسان قرار می گیرد اما واقعیت این است که این شبکه عظیم مثل هر اجتماع عادی انسانی دیگر در معرض خطرات و تهدیدها قرار گرفته است. از نفوذ داده های مخرب گرفته تا تخریب داده های سالم و برهم زدن نظم شبکه همه و همه تنها به یک مورد بستگی دارد و آن بحث امنیت اطلاعات در محیط اینترنت است. ما امروزه شاهد این هستیم که امنیت اطلاعات در زمینه اینترنت از یک بحث حاشیه ای به یک بحث ضروری تغییر جهت داده است. هرگونه تراکنش مالی و خرید و فروش در این شبکه (اینترنت) و یا انتقال داده ها باید تحت یک کنترل امنیتی مناسب انجام شود. اگر امنیت شبکه برقرار نشود، مزیت های فراوان آن نیز به خوبی حاصل نخواهد شد و پول و تجارت الکترونیک، خدمات به کاربران خاص، اطلاعات شخصی، اطلاعاتی عمومی و نشریات الکترونیک همه و همه در معرض دستکاری و سوءاستفاده های مادی و معنوی قرار خواهد گرفت. همچنین دستکاری ویا تغییر اطلاعات به عنوان زیربنای فکری جوامع مختلف بشری – توسط گروه های سازماندهی شده بین المللی، به نوعی مختل ساختن امنیت ملی و تهاجم علیه سازمانها و دولت ها و تهدیدی ملی و فرا ملی محسوب می شود. در کشور ایران که بسیاری از نرم افزارهای پایه از قبیل سیستم عامل و نرم افزارهای کاربردی و اینترنتی، از طریق واسطه ها و شرکت های خارجی تهیه می شود، ترس از نفوذ هکر ها از طریق راه های مخفی وجود دارد. هم اکنون نیز بانک ها و بسیاری از نهادها و دستگاه های دیگر از طریق شبکه به فعالیت های خود می پردازند و به همین دلیل جلوگیری از نفوذ عوامل مخرب در شبکه به صورت مسئله ای استراتژیک تبدیل شده که نادیده گرفتن آن باعث ایجاد خساراتی خواهد شد. تجربیاتی نیز در همین زمینه وجود دارد که این موضوع را کاملاً ثابت کرده است.

● هویت مجازی در شبکه اینترنت
با وجود معرفی سرویس های متعدد روی شبکه های ارتباطی، تاکنون مهمترین سرویس از میان سرویس های گوناگون اینترنت، سیستم پست الکترونیکی (Email) بوده که بسیاری از کاربران اینترنت از این بخش بیشتر از سایر امکانات فراهم آمده توسط این شبکه جهانی استفاده می کنند. اما امروزه می توان به وضوح دید که اقتصاد جهانی به پست الکترونیکی متکی شده است، بسیاری از پیام های رد و بدل شده بین کاربران حاوی یادداشت های شخصی است. گرچه اغلب پیام ها از متن ساده تشکیل شده اند اما امکان ارسال پست الکترونیکی تمام انواع داده ها، از جمله تصاویر، برنامه های کامپیوتری، سندها و غیره نیز وجود دارد. با توجه به این سرویس، اینترنت اجازه می دهد که افرادی که دور از هم هستند با یکدیگر در تعامل و کار باشند و در واقع، فردی با فرد دیگری که هزاران کیلومتر از او دور است و هیچ وقت او را ندیده است، می تواند ارتباط داشته باشد. پست الکترونیکی امروزه در تجارت و بانکداری الکترونیکی هم کاربرد فراوانی دارد و بسیاری از تعیین هویت های مجازی امروزه توسط پست الکترونیک انجام می شود. در همین رابطه برای استفاده امن از پست الکترونیکی نکاتی وجود دارد. درک مفاهیم تفاوت های پست الکترونیکی با پست عادی و یا گفت وگوی تلفنی ساده است و به کار بستن بعضی از نکات ساده می تواند در بالا بردن امنیت هنگام به کارگیری این سرویس مؤثر واقع شود از جمله این موارد می توان به موارد زیر اشاره نمود:بایستی همواره تصور شود که هیچ گونه اختفایی وجود ندارد. پیام هایی که به دلایلی نباید همه ببینند نباید از این طریق ارسال شود، بنابراین از ارسال نامه های بسیار خصوصی، سخنرانی های تند، بی احترامی های منظوردار و… باید احتراز شود. نباید فرض شود که پیام های حذف شده قابل بازیابی نیستند. چنانچه پیامی روز سه شنبه حذف شود، احتمالاً در نسخه های پشتیبان که شب یا روز قبل تهیه شده است موجود است، در سیستم پستی ابزار مشابه کاغذ خردکن وجود ندارد. در متن های ارسالی باید محتاط بود. این طبیعت پست الکترونیکی است که مردم پیام های دریافتی خود را بیشتر از پیام های ارسالی جدی می گیرند. ضمن اینکه ارسال یادداشت سریع به هر جایی از جهان بسیار ساده است .

● ضرورت حفاظت اطلاعات در شبکه های ارتباطی
برای افزایش امنیت تبادل اطلاعات از تکنیک ها و روشهای متعددی استفاده می شود که یکی از آنها رمزنگاری می باشد. رمزنگاری از دیر باز به عنوان یک امر اجتناب ناپذیر برای حفاظت از اطلاعات خصوصی در مقابل دسترسی های غیرمجاز در تجارت و سیاست و مسائل نظامی وجود داشته که به طور مثال تلاش برای ارسال یک پیام سری بین دو هم پیمان به گونه ای که حتی اگر توسط دشمن دریافت شود قابل درک نباشد، در رم باستان نیز به کار گرفته می شد. در سالیان اخیر رمزنگاری و تحلیل رمز از یک هنر پا را فراتر گذاشته و یک علم مستقل شده است و در واقع به عنوان یک وسیله عملی برای ارسال اطلاعات محرمانه روی کانال های غیرامن همانند تلفن، ماکروویو و ماهواره ها شناخته می شود. پیشرفت علم رمزنگاری موجب به وجود آمدن روش های تحلیل مختلفی شده است به گونه ای که به طور متناوب سیستم های رمز مختلف شکسته شده اند. معروف ترین نمونه این نوع سیستم ها ماشین «انیگما » بوده است. انیگما ماشین رمزگذار و کدگذار و کدکننده ای بوده است که حزب نازی در زمان جنگ جهانی دوم برای ارسال پیام هایشان از طریق رادیو به سایر نقاط استفاده می کردند.رمزنگاری که به طور عمده به دو بخش رمزنگاری متقارن یا رمزنگاری با کلید خصوصی و رمزنگاری نامتقارن یا رمزنگاری با کلید عمومی صورت می گیرد، تلاش می کند برای ایجاد یک ارتباط سریاز طریق سیستم های مخابراتی و شبکه های کامپیوتری مباحث مربوط به محرمانگی و احراز هویت را تحت فرض های مشخص به درستی اثبات کند.نرم افزارها از جمله مهمترین اصول ارتقا و یا کاهش سطح امنیت در یک شبکه به حساب می آیند بر این اساس باید برای نظارت فنی در آنها قوانین و اجبارهایی را در نظر گرفت و باید به منظور پشتیبانی از سیستم کنترل دستیابی ابزارهای لازم را در اختیار داشت . سیستم های نرم افزاری بایستی دارای کنترل های داخلی برای شناسایی کاربران، نمایش استفاده های غیرمجاز و محدود نمودن حدود اختیار کاربران باشند. چنانچه فردی چند بار سعی کند به سیستم وارد شود و رمز نادرستی را وارد کند بایستی سیستم به طور خودکار غیرفعال و در موارد پیچیده تر برنامه ها به منظور عدم دستیابی به اطلاعات به صورت خود مخرب طراحی شوند. چنانچه از سیستمی در یک مدت زمان مشخص و تعیین شده استفاده نشود، پایانه ها یا رایانه های مربوطه باید از حالت فعال خارج شده و سیستم، برای استفاده مجدد نیاز به واردشدن مجدد و دادن رمز ورود داشته باشد. رمزنگاری روش مناسبی برای حفاظت داده های مهم از دید همگان است. گنجانیدن دستورات کنترلی داخلی می تواند کمک موثری در اعمال رویه های شناسایی، دسترسی، استفاده و انتقال داده ها به حساب آید و رد و اثر عملیات انجام شده را در اختیار مسئولان بگذارد. اعمال برخی روتین های ویرایشی از بروز اشتباهات و خرابی داده ها تا حد بسیاری جلوگیری می کند و در مواقعی، گرفتن گزارش هایی که نشانگر داده هایی است که خارج از محدوده معمول هستند، می تواند کمک بسیاری در یافتن خطاها یا افراد باشد که قصد خرابکاری یا اعمال خلاف را دارند، این گونه کنترل ها میزان اطمینان به داده ها و اطلاعات جمع آوری شده را نیز بالا می برد. تدوین برنامه های لازم برای تهیه نسخه های پشتیبانی از داده ها بسیار ضروری است . تعیین برنامه زمانبندی برای اجرای این برنامه ها نیز از اهمیت بالایی برخوردار است. کنترل کیفیت نرم افزار می تواند از بسیاری از خطاهای نرم افزاری که موجب فقدان داده یا خرابی آنها می شود، جلوگیری کند.
گنجانیدن پیام های خطای مناسب جهت ردیابی اشکالات نرم افزاری سبب تسریع در امر اشکال یابی و رفع اشکالات احتمالی می شود. نرم افزارها در مقابل ویروس های رایانه ای و برنامه های مخرب بایستی محافظت شوند.

روزانه راهکارهای مختلف امنیتی در سطوح مختلف برای کاربری و استفاده از اینترنت برای انتقال داده ها ارائه می شود با وجود این همواره شاهد بروز ضعف ها و نقاط آسیب پذیر متعددی در سایت ها و بانک های اطلاعاتی هستیم. در واقع به نظر می رسد در هر دو سطح کاربری و استفاده های حرفه ای از این شبکه دچار مشکلات فراوان امنیتی هستیم. یکی از مهمترین راهکارهایی که در این زمینه همواره گوشزد می شود استقرار نظام جامعی برای افزایش سطح امنیت چه در سطوح کاربری و چه در سطوح تجاری و دولتی است.
در سطوح کاربری استفاده از نرم افزارهای دیوار آتش یا فایروال و همچنین آشنا کردن کاربران با خطرات کاهش امنیت اینترنتی از جمله راهکارها است. یک سیستم ناامن باعث سرقت هویت و اطلاعات مهم افراد از روی کامپیوترها می شود و این سیستم ناامن اگر در یک شرکت و یا سازمان وجود داشته باشد می تواند امنیت اطلاعات هزاران نفر را با خطر مواجه کند. در سطح کلان استفاده از طرح های ارتقای امنیت شامل خریداری و نصب سیستم های پیشرفته کنترل امنیت، تبادل اطلاعات و همچنین بهره گیری از مشاوره های امنیتی یک امر ناگزیر است. فقدان استاندارد امنیتی برای شبکه های رایانه ای یکی از مهمترین دلایل نفوذ به این سیستم و حذف اطلاعات ضروری است. این موضوع به خصوص در سال های گذشته در بخش های خصوصی و دولتی ما به شکل گسترده ای دیده شده است. به عنوان مثال کاربران ایرانی بارها با خبر حمله و دستکاری گسترده به ده ها و صدها سایت دولتی و خصوصی ایران به طور یک جا روبه رو شده اند. در واقع نگهداری یک جای هزاران سایت دولتی و خصوصی روی یک سرور امنیت آنان را به گونه ای به خطر انداخته که با یک حمله اینترنتی عملاً همه این سایت ها در معرض خطر قرار می گیرد. عدم استفاده از نرم افزارهای به روز شده امنیتی نیز مشکل دیگر امنیتی در دو عرصه کاربری عادی و کلان اینترنت در ایران است. کاربران ایرانی عادت به خرید یک نرم افزار ۴۰۰ دلاری ضد ویروس و یا فایروال ندارند و عموماً آن را با هزار تومان از بازارهای نرم افزار تهیه می کنند. به همین دلیل در بسیاری اوقات این نرم افزارها به جای آنکه به افزایش امنیت سیستم کمکی کنند باعث بروز مشکلات متعدد امنیتی و فنی دیگر در سیستم می شوند. با وجود آنکه مشکلاتی از این دست امنیت اطلاعات در کشور ما را به شکل قابل ملاحظه ای کاهش داده اما معضل امنیت صرفاً مربوط به کشور ما نیست. چند سال قبل در حمله ای به چندین سرور اصلی اینترنت عملاً ترافیک اینترنت به شکل بسیار زیادی افزایش پیدا کرد و حتی احتمال قطع اینترنت نیز پیش آمد. این در حالی است که کشور آمریکا و بسیاری از کشورهای دیگر سالانه میلیاردها دلار برای ارتقای امنیت سیستم های کامپیوتری هزینه می کنند اما به هر حال این جنگ ادامه دارد.
امیدواریم از مقاله فوق که توسط شرکت طراحی سایت همیاران تهیه و تنظیم شده است بهره کافی برده باشید.

درج مقاله با ذکر منبع بلامانع است.