SSL چیست؟
SSL پروتکلي است که از الگوريتم هاي رمزنگاري مختلفي براي رمزکردن اطلاعات براي ارسال در شبکه عمومي استفاده مي کند. برای برقراری ارتباط SSL اين پروتکل مکانيزمي براي تشخيص تغيير، گم شدن و يا تکرار اطلاعات نيز دارد.
( 1388/03/26 )
در PostgreSQL برای رمزکردن اطلاعات از چه استفاده می شود؟
در PostgreSQL برای رمزکردن اطلاعات از ماژول pgcrypto استفاده می شود. این ماژول مجموعه ای از توابع رمزگذاری و درهم سازی اطلاعات را در اختیار کاربران قرار می دهد.
( 1388/03/26 )
در PostgreSQLاز چه توابع رمزگذاری متقارنی پشتیبانی می گردد؟
در PostgreSQL به طور ذاتی از توابع رمزگذاری متقارن AES و Blowfish پشتیبانی می گردد.
( 1388/03/26 )
توابع رمزگذاری PGP چگونه کار می کنند؟
توابع رمزگذاری PGP، پيام هاي PGP رمز شده ایجاد می کنند که شامل دو نوع بسته هستند: بسته اي براي کليد نشست (هم در رمزگذاری کليد عمومي و هم در رمزگذرای متقارن) و بسته اي براي داده هايي که به وسيله کليد نشست رمز شده اند.
( 1388/03/26 )
به منظور استفاده از توابع pgcrypto در يک پايگاه داده هاي خاص چه باید کرد؟
به منظور استفاده از توابع pgcrypto در يک پايگاه داده هاي خاص، بايد تابع مربوطه را در پايگاه داده هاي مورد نظر ثبت کرد. براي اين منظور باید در خط فرمان پوسته برای اجرای psql دستور زير را اجرا کرد:
psql -d DBNAME -f SHAREDIR/contrib/pgcrypto.sql
پس از اجراي دستور بالا مي توان از توابع pgcrypto در پايگاه داده هاي مربوطه استفاده کرد.
( 1388/03/26 )
نصب ماژول pgcrypto به چه صورت است؟
اگر پايگاه داده هاي PostgreSQL با کامپایل کردن کد منبع نصب شده باشد، ممکن است ماژول pgcrypto در آن نصب نشده باشد، لذا در سيستم عامل هاي مبتني بر یونیکس لازم است دستورات زير در مسير /contrib از محل نصب PostgreSQL در خط فرمان پوسته، اجرا گردند:
make
make install
make installcheck
اما اگر PostgreSQL از روي بسته هاي از پيش آماده شده (به صورت باينري) نصب شده باشند، ماژول pgcrypto به شکل پیش فرض نصب گردیده است.
( 1388/03/26 )
آیا می توان بیش از یک نسخه از DB2 را به طور همزمان بر روی یک کارگزار نصب کرد؟
بله می توان اما باید محدودیت های زیر را به خصوص برای سیستم عامل ویندوز در نظر گرفت.
بر روی ویندوز: DB2 UDB 8.1 و DB2 UDB 8.2 را نمی توان به طور همزمان نصب کرد. البته هر کدام از آن ها را می توان همراه با DB2 9.1 و یا DB2 9.5 بر روی یک سرور نصب کرد به شرطی که نسخه قدیمی تر ابتدا نصب گردد و دو نسخه در دو مسیر مختلف بر روی دیسک نصب شوند.
قابلیت نصب چند کپی از DB2 در نسخه 9 به بالا اضافه شد. حتی شما امکان نصب تعدادی DB2 از یک نسخه را نیز دازید.
بر روی یونیکس: در صورتی که نرم افزار را بر روی مسیرهای متفاوتی بر روی دیسک نصب کنید هیچ گونه محدودیت دیگری ندارد.
( 1387/05/01 )
آیا ویندوز ویستا از DB2 پشتیبانی می کند؟
می توان از DB2 9.1 به همراه FixPack 2 به بعد در ویندوز ویستا استفاده کرد. البته محدودیت های زیر وجود دارد:
از نرم افزارهای زیر می توان در ویندوز ویستا استفاده کرد:
- DB2 Personal Edition
- DB2 Express Edition
- DB2 Workgroup Server Edition
- DB2 Connect™ Personal Edition
- DB2 Clients and DB2 Runtime Clients
از نرم افزارهای زیر نیز فقط می توان برای تست و تولید سیستم در ویندوز ویستا استفاده کرد:
- DB2 Enterprise Server Edition (Data Partitioning Feature (DPF) is not supported)
- DB2 Database Enterprise Developer Edition (DPF is not supported)
- DB2 Connect Enterprise Edition
- DB2 Connect Application Server Edition
- DB2 Connect Unlimited Edition for zSeries®
- DB2 Connect Unlimited Edition for iSeries™
( 1387/05/01 )
چگونه می توان با استفاده از telnet/SSH وارد یک پایگاه داده MySQL شد؟
اگر شما از طریق SSH به کارگزار MySQL دسترسی دارید، میتوانید با استفاده از دستور زیر وارد یک پایگاه داده خاص شوید: (این دستور را باید در خط فرمان و یا پوسته سیستم عامل وارد کنید)
mysql -u username -p password database_name < /path/to/your/mysql_data.sq
( 1387/05/01 )
آیا می توان یک نمونه (Instance) از DB2 بر روی نسخه 8.2 را بر روی نسخه 9.5 نیز استفاده کرد؟
خیر، نمی توان نمونه های DB2 را بر روی نسخه های متفاوت به اشتراک گذاشت. می توان سیستم را از نسخه 8.2 به نسخه های جدیدتر ارتقاء داد اما نمی توان یک نمونه را بدون ارتقاء بین نسخه های مختلف به اشتراک گذاشت.
( 1387/05/01 )
بعد از نصب یک FIxPack امکان شروع یک نمونه وجود ندارد. این مشکل را چگونه می توان برطرف کرد؟
با اجرای دستور زیر ممکن است مشکل بر طرف شود:
"db2iupdt "
علاوه بر این به همراه هر FixPack یک فایل readme.txt ارائه می شود که در آن کلیه پیش نیازها و پس نیازهای یک FixPack وجود دارد. قبل از نصب هر FixPack آن را به دقت بخوانید. اگر فایل فوق همراه با FixPack نبود می توانید آن را از آدرس زیر دریافت کنید:
نکته: برای نسخه های 9.5 و بعد از آن مراحل فوق نیاز نیست.
( 1387/05/01 )
چگونه می توان کارگزار MySQL را ایمن ساخت؟
اگر شما از کارگزار MySQL برای ارتباط در شبکه (برای مثال اینترنت) استفاده میکنید، باید کارگزار خود را ایمن سازید. توضیحات لازم برای این هدف را میتوانید در مقاله سفید «ایمنسازی اولیه MySQL» در همین سایت بیابید.
( 1387/05/01 )
در کجا می توان به لیست آسیب پذیری ها و اشکالات DB2 که توسط شرکت IBM ارائه می شود دسترسی پیدا کرد؟
به این لیست APAR's (Authorized Program Analysis Reports) گفته می شود و شما از طریق آدرس زیر می توانید به آن دسترسی داشته باشید:
( 1387/05/01 )
آیا بعد از حذف یک نمونه در DB2 کلیه پایگاه های داده های درون آن و اطلاعات ذخیره شده در آن ها از بین می رود؟
خیر، حذف یک نمونه باعث حذف پایگاه های داده های درون آن نمی شود، در نتیجه اطلاعات قبلی از بین نمی رود. پس از حذف یک نمونه، با ایجاد دوباره آن می توان به اطلاعات قبلی دسترسی پیدا کرد. همچنین با استفاده از دستورات db2cfimp و db2cfexp می توان پروفایل یک نمونه از DB2 را وارد و یا صادر کرد.
( 1387/05/01 )
با توجه به اینکه اعطای مجازشمار SECADM فقط توسط SYSADM امکان پذیر است، آیا کاربری که دارای مجازشمار SYSADM است می تواند مجازشمار SECADM را نیز به خود اعطا کند؟
خیر. این کاربر فقط می تواند SECADM را به کاربر دیگری اعطا کند. برای دریافت مجازشمار SECADM باید از طریق یک کاربر دیگر که دارای SYSADM است این اقدام صورت گیرد.
( 1387/05/01 )
آیا کاربر db2admin که به طور پیش فرض بر روی ویندوز در همگام نصب DB2 ایجاد می شود می تواند جزء گروه Administrator در ویندوز نباشد؟
خیر. کاربر db2admin حتما باید عضو گروه راهبری محلی ویندوز باشد.
( 1387/05/01 )
آیا CLR امنیت SQL Server را به مخاطره می اندازد؟
اگر برنامه نویس کد CLR در SQL Server برخی مباحث پایه امنیت را رعایت کند، پاسخ این سؤال خیر است. با مؤلفه های CLR همانند فایل های اجرایی در ویندوز رفتار کنید. اگر یک شخص و یا یک پایگاه اطلاع رسانی نامعتبر این فایل را برای شما فرستاده است، آن را اجرا نکنید. اما اگر این فایل از طریق منبعی معتبر به شما رسیده، می توانید آن را اجرا نمایید..
( 1387/04/31 )
جدیدترین بسته های ترمیمی (FixPack) برای DB2 را از کجا می توان به دست آورد؟
برای دریافت بسته های ترمیمی DB2 UDB نسخه 8 می توانید به آدرس زیر مراجه کنید
http://www.ibm.com/support/docview.wss?rs=71&uid=swg21256235
و برای دریافت بسته های ترمیمی DB2 9 باید به ادرس زیر مراجه کنید
http://www.ibm.com/support/docview.wss?rs=71&uid=swg21255572
( 1387/04/25 )
آیا بسته خدمات (Service Pack) تنها ویژگی های SQL Server را به روز می کند؟ چرا در مسائل مربوط به امنیت نیز نقش دارد؟
بسته های خدمات، به طور معمول، ویژگی ها و مقاصد امنیتی سیستم را به روز می کنند. بنابراین، لازم است که همواره آخرین بسته خدمات SQL Server را نصب کرده، و مطمئن باشیم آخرین و به روز ترین وصله های امنیتی و بسته های خدماتی را در اختیار داریم.
( 1387/04/24 )
برای اجرای ابزار Surface Area Configuration در SQL Server نسخه 2005 به چه حقوقی نیاز است؟
برای اجرای این ابزار به حقوق مدیریتی (Admin) نیاز است.
( 1387/04/24 )
روش های مختلف احراز هویت در SQL Server کدام است، و کدام یک توصیه می شود؟
دو حالت (روش) احراز هویت در SQL Server وجود دارد: حالت مرکب (mixed) و حالت ویندوزی. در حالت مرکب، کاربران SQL Server و سیستم عامل (Windows) مجاز شناخته می شوند، در حالی که در حالت ویندوزی، تنها کاربران مجاز سیستم عامل مجاز به ورود هستند.
در صورت عدم نیاز به کارکرد حالت مرکب، حالت ویندوزی توصیه می شود.
( 1387/04/24 )
استفاده از نقش های برنامه (application role) به جای حساب های SQL Server، در هنگام ورود برنامه های کاربردی چیست؟
در صورت عدم استفاده از حساب های SQL Server و استفاده از نقش های برنامه، می توان عملکرد SQL Server را از حالت احراز هویت مرکب به ویندوزی تغییر داد. این امر، سطح امنیتی بیشتری را برای SQL Server فراهم می آورد.
( 1387/04/24 )
آیا تفاوتی (از لحاظ سطح امنیتی) میان رد (deny) و عدم اعطا و یا رد حق (خالی گذاشتن جعبه علامت مربوطه) وجود دارد؟
بله. اگر مجوزهای روی یک شیئ را لغو کنیم، این امر منجر به لغو دیگر مجوزهایی می شود که ممکن است توسط نقش های دیگر منتسب شود. اگر جعبه علامت مربوط به Grant را خالی بگذارید، امکان اعطای این حق توسط نقش دیگری روی شیئ جاری وجود دارد.
( 1387/04/24 )
چگونه می توان به مشخصات نسخه DB2 نصب شده و همچنین آخرین بسته ترمیمی (FixPack) آن دسترسی پیدا کرد؟
با اجرای دستورات زیر شما می توانید به اطلاعات فوق دسترسی پیدا کنید
SELECT * FROM TABLE(sysproc.env_get_inst_info())
( 1387/04/24 )
آیا می توان از ابزار Surface Area Configuration به همراه امنیت یکپارچه (integrated security) استفاده کرد؟
بله. این ابزار به همراه امنیت یکپارچه و امنیت SQL Server قابل استفاده است، به شرط آنکه کارگزار از احراز هویت ویندوزی و مرکب پشتیبانی کند.
( 1387/04/24 )
چرا باید Microsoft Baseline Security Analyzer را هر ماه اجرا کرد؟
شرکت مایکروسافت وصله های امنیتی و بسته های خدماتی مختلفی را، برای SQL Server و ویندوز، منتشر می کند. اجرای این ابزار (به صورت ماهیانه) به شما امکان اطلاع از بسته های خدماتی و وصله های امنیتی جدید را داده، و اطلاعاتی راجع به آسیب پذیری هایی، که از اجرای قبلی این ابزار، روی سیستم شده واقع شده است را در اختیار قرار می دهد.
( 1387/04/24 )
دلیل توصیه به عدم استفاده از احراز هویت حالت مرکب در SQL Server چیست؟
حالت مرکب احراز هویت به این معنی است که گذرواژه های کاربران SQL Server می بایست در خود SQL Server نگهداری شود. حال حالتی را در نظر بگیرید که یک کاربر (به عنوان مثال) شرکت شما را ترک کند. اگر حساب ویندوزی مربوط به این کاربر غیرفعال شود، حساب این شخص دیگر فاقد اعتبار بوده، و هیچ عملی با آن قابل انجام نیست. حال اگر این کاربر گذرواژه مدیر سیستم (sa) را داشته باشد، نه تنها باید حساب ویندوزی مربوطه را مسدود نمود، بلکه گذرواژه sa را نیز باید تغییر داد. این امر منجر به احتمال بروز رخنه در سیستم و استفاده کاربر غیرمجاز، از اطلاعاتی که نباید به آن دسترسی داشته باشد، می گردد.
( 1387/04/24 )
آیا دیگر کارگزاران پایگاه داده ها (Oracle، MySQL، یا Sybase) در معرض آسیب پذیری تزریق SQL قرار دارند؟
بله، اما در درجات متفاوت. در ادامه سایت هایی که می توانند اطلاعات بیشتری راجع به تزریق SQL، و همچنین اطلاعاتی در مورد تزریق SQL در دیگر سکوها فراهم آورند، دیده می شود:http://www.owasp.org
http://www.spidynamics.com/whitepapers/WhitepaperSQLInjection.pdf
http://www.nextgenss.com/papers/advanced_sql_injection.pdf
( 1387/03/28 )
چگونه از تزریق SQL در برنامه های کاربردی جلوگیری نماییم؟
راه های زیادی برای جلوگیری از تزریق SQL وجود دارد (کنترل داده های عددی، اصلاح نشان های نقل قول تنها، و غیره)، اما بهترین راه برای انجام این کار، استفاده از پرس و جوهای پارامتر پذیر به همراه بررسی دقیق پرس و جوهای پویا در رویه های ذخیره شده (EXEC و sp_excutesql) است. اگر برای اِعمال دسترسی از پرس و جوهای پارامتر پذیر استفاده نکنید، قطعاً با مشکل روبرو خواهید شد. حتی اگر از این گونه پرس و جوها استفاده شود، باید مراقب استفاده از EXEC و یا sp_execute در رویه های ذخیره شده بود. در زیر راه کاری امن برای دستیابی به داده ها (بدون استفاده از رویه های ذخیره شده) مشاهده می شود:
SqlDataReader rdr = null;
SqlConnection con = null;
SqlCommand cmd = null;
string ConnectionString = "server=yourserver;Integrated Security=SSPI; database=northwind";
con = new SqlConnection(ConnectionString);
con.Open();
// Set up a command with the given query and associate
// this with the current connection.
string CommandText = "SELECT FirstName, LastName" +
" FROM Employees" +
" WHERE (LastName LIKE @Find)";
cmd = new SqlCommand(CommandText);
cmd.Connection = con;
// Add LastName to the above defined paramter @Find
cmd.Parameters.Add(
new SqlParameter(
"@Find", // The name of the parameter to map
System.Data.SqlDbType.NVarChar, // SqlDbType values
20, // The width of the parameter
"LastName")); // The name of the source column
// Fill the parameter with the value retrieved
// from the text field
cmd.Parameters["@Find"].Value = txtFind.Text;
// Execute the query
rdr = cmd.ExecuteReader
برای اطلاعات بیشتر به آدرس زیر مراجعه نمایید.
http://msdn2.microsoft.com/en-us/library/ms161953.aspx
( 1387/03/28 )
|