روزنوشت های آراد حقی

کنترل دسترسی به منابع یکی از مهمترین و در عین حال کلیدی ترین مفاهیم امنیت است. کنترل دسترسی مفهومی فراتر از این است که چه کاربری به چه فایل ها و یا سرویس هایی دسترسی داشته باشد. قبل از ارائه یک تعریف کلی در مورد کنترل دسترسی نیاز است با دو مفهموم “فاعل” و “مفعول” آشنا شویم:

فاعل : یک “فاعل” را می توان به عنوان یک کامپیوتر، برنامه، فرآیند، فایل، کامپیوتر، بانک اطلاعاتی و مواردی از این دست در نظر گرفت.
مفعول : یک “مفعول” را می توان به عنوان فایل، بانک اطلاعاتی، کامپیوتر، برنامه، فرآیند، پرینتر و یا فضای ذخیره سازی در نظر گرفت.

با در نظر داشتن موارد فوق، به طور کلی، فاعل همیشه به عنوان موجودیتی در نظر گرفته می شود که اطلاعاتی درباره مفعول و یا داده هایی از مفعول دریافت می نماید. همچنین فاعل موجودیتی به شمار می آید که توانایی ویرایش و دستکاری اطلاعات مرتبط ارائه شده و یا ذخیره شده در مفعول را دارد. مفعول نیز همیشه به عنوان موجودیتی در نظر گرفته می شود که اطلاعات و داده ها را میزبانی و یا ارائه می نماید. در ادامه توضیحات فوق، فاعل همیشه یک موجودیت فعال (Active) است که تلاش دارد از طریق برقراری دسترسی، از مفعول که یک موجودیت غیرفعال و کنش پذیر (Passive) است اطلاعات استخراج نمایید و یا در اطلاعات آن تغییر ایجاد نماید.

بنابراین کنترل دسترسی را می توان به عنوان رابطه بین فاعل و مفعول درنظر گرفت.با توجه به توضیحات ارائه شده، انتقال اطلاعات از مفعول به فاعل دسترسی نام دارد. در همین رابطه طبق اصل بنیادی کنترل دسترسی، اگر اجازه دسترسی فاعل به مفعول صراحتاً تعریف نشده باشد، عدم دسترسی (Deny Access) به عنوان دسترسی پیش فرض در نظر گرفته می شود.

متداول ترین تکنیک اعتبارسنجی استفاده از کلمه عبور (Password)  است. با این حال، استفاده از کلمه عبور برای اعتبارسنجی به عنوان ضعیف ترین شیوه اعتبارسنجی درنظر گرفته می شود. کلمات عبور بدلایلی که در ادامه مطرح خواهند شد، مکانیزم امنیتی ضعیفی به شمار می آیند:

• کاربران عموماً از کلمات عبور ساده ای استفاده می کنند که به حافظه سپردن آنها راحت باشد، و به همین دلیل نیز برای شکسته شدن و یا حدس زده شدن نیز راحت خواهند بود.
• کلمه های عبوری که به صورت تصادفی ساخته می شوند برای به خاطر سپردن و یادآوری بسیار سخت هستند، در نتیجه، بسیاری از کاربران آنها را در جایی یادداشت می نمایند.
• کلمات عبور براحتی به اشتراک گذاشته می شوند، در جایی یادداشت می شوند و یا فراموش می شوند.
• کلمات عبور براحتی قابل سرقت هستند، بدین معنا که کلمات عبور براحتی قابل مشاهده، ضبط و بازآوری هستند و پایگاه داده های آنها نیز از سرقت در امان نیستند.
• کلمات عبور غالبا به صورت متنی ساده (Clear Text) منتقل می شوند و یا الگورتیم های رمزنگاری آنها براحتی قابل شکسته شدن هستند.
• پایگاه داده های کلمات عبور غالباً در محیط های آنلاین با قابلیت دسترسی همگانی نگهداری می شوند.
• کلمه عبورهای کوتاه از طریق حملات brute-force به سرعت کشف می شوند.

اگر سری مقالات “منوی ویژه : کیک شکلاتی ASP.NET با نسکافه داغ” را دنبال کرده باشید، در مقاله پیشین به ماهیت Razor اشاره کردیم و مقرر شد در این قسمت از مقاله نگاهی بر برنامه نویسی Razor داشته باشیم. همانگونه که در مقالات پیشین اشاره شد کدهای مطرح شده در این سری از مقالات بر اساس زبان #C نگارش می شوند با این حال می توانید در صورت تسلط، کدهای خود را به زبان Visual Basic نگارش نمایید. باتوجه به اینکه هدف این سری از مقالات مطرح کردن و آموزش موازی و همزمان تمامی تکنولوژی های لازم است، در ابتدا قصد داریم تا نگاهی مختصر به Razor داشته باشیم و نکاتی ضروری و اولیه را در مورد آن مطرح نماییم تا بتوانیم روند آموزشی خود را پیش ببریم.

هشت نکته اولیه که باید در مورد Razor بدانید

یک . کدهای خود را با استفاده از کاراکتر @ به صفحه اضافه نمایید
اگر مقاله قبلی را دنبال کرده باشید، اشاره شد که Razor ساختار زبانی درون خطی را دنبال می کند. این بدین معناست که با استفاده از Razor می توانید کدهای خود را در میان خطوط صفحه بگنجانید. View Engine ها را به خاطر دارید؟ برای قرار دادن کدهای خود در بین صفحه می توانید از علامت @ استفاده نمایید. مترجم با رسیدن به علامت @ متوجه می شود که به قسمت کد رسیده است. به طور کلی کدهایی که از طریق علامت @ می توانید در صفحه قرار دهید به سه دسته تقسیم می شوند:

[مشاهده ادامه مطلب]