تدابیر امنیتی در طراحی سایت با نرم افزار مانا در نظر گرفته شده است. کاربران در بدو ورود به سامانه ها و ماژول ها اعتبارسنجی(Authentication) میشوند و پس از ورود به آنها جهت دسترسی به بخشهای مختلف با توجه به سطح دسترسی که دارند اختیارسنجی(Authorization) میگردند.
تدابیر اتخاذ شده برای جلوگیری از هرگونه دسترسی غیرمجاز که ممکن است منجر به دستکاری، خرابکاری یا سرقت اطلاعات شود؛ در سه دسته زیر قرار میگیرند:
- تدابیری جهت جلوگیری از ورود خرابکاران به سامانه ها و ماژول ها با تلاش برای بدست آوردن گذرواژه (Brute force)
- تدابیری جهت جلوگیری برای تزریق دستور به کارگزار برنامه نویسی (Command Injection)
- تدابیری جهت جلوگیری از سرقت اطلاعات در هنگام نقل و انتقال در شبکه (Eavesdropping attack)
در ادامه فهرستی از مجموعه تدابیر امنیتی در نظر گرفته شده در هر دسته را میآوریم:
- تدابیری که جهت جلوگیری از ورود خرابکاران به سامانه ها و ماژول ها با تلاش برای بدست آوردن گذرواژه انجام میشود:
- حداقل طول گذرواژه در بخش اعتبارسنجی 8 کاراکترخواهد بود. این عدد قابل تنظیم بوده و تا 5 قابل کاهش است.
- کلیه گذرواژه ها بصورت رمز شده با یک الگورتیم مناسب (یک طرفه مانند SHA1) در برنامه نویسی نگهداری میشوند.
- در صورتیکه برای ورود به سامانه 5 بار گذرواژه اشتباه وارد شود، شناسه کاربری فرد برای مدت مشخصی مسدود میشود و پس از آن به صورت خودکار بازگشایی میشود. این عدد و نیز مدت زمان مسدود بودن قابل تنظیم است.
- آخرین زمان ورود به سامانه پس از ورود به سامانه به اطلاع کاربر خواهد رسید.
- تدابیری جهت جلوگیری برای تزریق دستور به کارگزار برنامه نویسی :
- جلوگیری از تزریق دستورات SQL از طریق مبادی ورودی اطلاعات
- جلوگیری از تزریق دستورات SQL از طریق پارامترهای GET
- تدابیری جهت جلوگیری از سرقت اطلاعات در هنگام نقل و انتقال در شبکه:
- هنگام اتصال کاربر به صفحه ورود به سامانه یک کانال حفاظت شده بوسیله SSL بین رایانه کاربر و کارگزار ایجاد میشود که کلیه نقل و انتقال اطلاعات از این کانال حفاظت شده بین این دو رایانه رد و بدل خواهد شد و این امر کشف اطلاعات ارسالی و دریافتی را برای کسانی که سعی در استراق سمع دارند، ناممکن خواهد کرد. برای این منظور لازم است تا گواهینامه SSL مناسب تهیه و نصب گردد.