محمد رعیت پیشه محمد رعیت پیشه
مطالب
کار با اسکنر در برنامه های تحت وب (قسمت اول)
در اکثر برنامه‌های سازمانی، مثل برنامه‌های مدیریت آرشیو اسناد، همواره این نیاز جزو خواسته‌های کاربران بوده که بتوانند به صورت مستقیم و از طریق تنها یک کلیک، تصویر مورد نظر را اسکن کرده و به صورت خودکار در برنامه وارد کنند؛ یعنی بدون اینکه نیاز باشد با استفاده از یک برنامه دیگر ابتدا تصویر را اسکن کرده و سپس در فرم وب، فایل اسکن شده را Browse کنند.
این نیاز اساسا به معنی دسترسی به سخت افزار کاربر از طریق مرورگر می‌باشد که به دلایل متعددی امکان پذیر نیست! مشکلات امنیتی ایجاد شده در این راه بسیار جدی است. اما خوشبختانه راههایی برای رسیدن به این هدف وجود دارند:

1- ActiveX : که به صورت native فقط در IE پشتیبانی می‌شود (در نسخه‌های جدیدتر IE نیاز به بروز رسانی پلاگین ActiveX controls می‌باشد) و برای استفاده‌ی از آن در مرورگر‌های Firefox و Chrome هم باید از پلاگین‌های جانبی روی هر مرورگر استفاده کرد که مثلا برای اجرای بر روی Firefox، باید افزونه‌ی IE Tab را نصب کرد که تنها کارش این است که سایت را از طریق موتور IE در پنجره‌ی فایرفاکس اجرا کند! که البته این مورد مثل این می‌ماند که سایت در IE باز شده باشد که ممکن است زیاد خوشایند نباشد؛ در غیر اینصورت باید پروژه را از اول بر مبنای اجرای بر روی IE طراحی و پیاده سازی کرد. در ضمن از مشکلات اجرای پلاگین نوشته شده توسط برنامه نویس در IE و نسخه‌های مختلف آن هم چشم پوشی می‌کنیم. یکی از مزیت‌های این روش نسبت به بقیه این هست که دانلود و نصب پلاگین مورد نیاز به صورت خودکار و توسط مرورگر انجام می‌شود.

2- استفاده از یک کامپوننت جانبی : مثل کامپوننت‌های LEADTOOLS که ابزارهای متنوع و SDK‌های بسیار قدرتمندی را برای اینکار و کارهای دیگر، مانند کار با اسکن تصاویر مغزی، پردازش تصویر، بارکد خوان‌ها، مدیریت اسناد و ...  فراهم کرده است. قیمت این ابزار بسیار زیاد است و در برخی موارد امکانات فراهم آورده بسیار بیشتر است از خواسته‌ی ما. این ابزار، هم در HTML & Javascript و هم در DotNet قابل استفاده است و مستندات نسبتا خوبی هم در این زمینه ارائه کرده است. همچنین کامپوننت Dynamsoft که باز هم غیر رایگان هست و قیمت بالایی نیز دارد.

اگر روال کار کامپوننت‌های بالا را مورد بررسی قرار دهید (از طریق اجرای Demo ها، اینجا و اینجا) متوجه خواهید شد که هر دو نیاز به نصب یک سرویس یا App سمت کلاینت جهت اجرای دستورات خود دارند. پس می‌شود اینطور نتیجه گرفت که انجام اینکار بدون اینکه چیزی سمت کاربر نصب شود، ممکن نیست و در هر دو، لینک نصب فایل exe سرویس برای دانلود قرار داده شده است. بر این اساس به راه حل سومی خواهیم رسید که خودمان این سرویس را جهت تعامل با اسکنر سمت کاربر طراحی و پیاده سازی نماییم.

اما چطور ممکن است که با اجرای یک فایل exe سمت کاربر (با این فرض که کاربر در یک دامین مطمئن قرار دارد و می‌شود درخواست نصب سرویس را نمود) این امکان را برای کاربر فراهم نمود که با یک کلیک در مرورگر، اسکنر به صورت خودکار اسکن را آغاز کرده و سپس تصویر حاصل را به یکی از کنترلر‌های ما در سمت سرور ارسال نماید؟

برای اینکار ما با دو صورت مساله مواجه هستیم؛ اول اینکه چطور تصویر را سمت کاربر اسکن کنیم و دوم اینکه چطور این تصویر را به سرور ارسال نماییم!
برای مساله‌ی اول از کتابخانه Windows Image Acquisition (WIA) استفاده خواهیم نمود که این کتابخانه به ما این امکان را میدهد تا با سخت افزارهایی که از TWAIN پشتیبانی می‌کنند، بتوانیم ارتباط برقرار نماییم.

برای مساله‌ی دوم هم نیاز به پیاده سازی یک WCF Service و اجرای آن (هاست کردن) در سمت کلاینت داریم. در واقع با صدا زدن متدهای این سرویس، از کتابخانه‌ی بالا استفاده کرده و اسکن را انجام می‌دهیم.

ادامه دارد...
‫۹ سال و ۹ ماه قبل، جمعه ۱۷ بهمن ۱۳۹۳، ساعت ۰۳:۴۵
مشتبآ مشتبآ
مطالب
واکشی اولیه در HTML5 Prefetching - HTML5
در HTML5 قابلیت‌های زیادی برای بهبود در سرعت نمایش و عملکرد سایت‌ها در نظر گرفته شده؛ یکی از این قابلیت‌های جالب، Prefetching  یا واکشی اولیه است. 
خب بزارید سناریو رو اینطور مطرح کنم: فرض کنید یک بازدید کننده به سایت شما مراجعه میکنه "abc.htm" و شما به عنوان یک طراح وب میدونید که بازدید کننده پس از مطالعه این صفحه به صفحه دیگه ای از سایت باید مراجعه کنه، به عنوان مثال "xyz.htm". با استفاده از قابلیت واکشی اولیه میشه مرورگر رو مجبور کرد که در زمانی که کاربر مشغول مشاهده، خواندن و یا گشت و گذار تو صفحه‌ی مورد نظر ماست، بیاد صفحات دیگری که برای اون مشخص میکنیم رو در پس زمینه بارگذاری کنه. با این عمل وقتی که کاربر، صفحه ما رو به سمت صفحات کش شده ترک میکنه، صفحات مورد نظر با سرعت فوق العاده ای نمایش داده میشن؛ دلیلش هم اینه که تمام اطلاعات صفحات کش شده توسط مرورگر دانلود شده و آماده نمایشه.
برای استفاده از این قابلیت باید در بخش head سایتمون یک لینک به صورت زیر به صفحه و یا تصویر مورد نظری که میخوایم کش بشه، قرار بدیم:
<link rel="prefetch" href="http://www.example.com/page2.aspx"> <!-- Firefox -->
<link rel="prerender" href="http://www.example.com/page2.aspx"> <!-- Chrome -->

یا

<link rel="prefetch" href="http://www.example.com/picture.jpg"> <!-- Firefox -->
<link rel="prerender" href="http://www.example.com/picture.jpg"> <!-- Chrome -->
همونطور که ملاحظه میکنید این قابلیت در حال حاضر فقط توسط دو مرورگر محبوب وب یعنی کروم و فایرفاکس پشتیبانی میشه و مرورگرهای دیگه با رسیدن به این خطوط از کش کردن اون صرف نظر میکنن.

نکته:

و در انتها لازمه به این نکته توجه کنید که وقتی صفحه ای از سایت ما که حاوی لینک های prefetch هست لود میشه، بلافاصله مرورگر شروع به گرفتن لینک‌های مورد نظر میکنه و اگر در سمت سرور در هنگام لود شدن صفحات کدی نوشته باشید اون کد اجرا میشه. توجه به این نکته میتونه از گیج شدن شما  در هنگام کار با متغیر هایی که توی session ذخیره میشن جلوگیری کنه!
‫۱۱ سال و ۵ ماه قبل، پنجشنبه ۹ خرداد ۱۳۹۲، ساعت ۲۳:۳۵
دادگر دادگر
نظرات اشتراک‌ها
پشتیبانی از محصولات امنیتی سازگار با Windows XP تا یکسال دیگر تمدید شد
بنابر اعلام microsoft در این آدرس  قرار نیست که update‌های مربوطه به security در windows update فعال شود، قرار است فقط anti-maleware یعنی security essential (آنتی ویروس و اسپای) تا یک سال دیگر برای xp به روز رسانی شود:
To help organizations complete their migrations, Microsoft will continue to provide updates to our antimalware signatures and engine for Windows XP users through July 14, 2015 
‫۱۰ سال و ۹ ماه قبل، جمعه ۲۷ دی ۱۳۹۲، ساعت ۰۱:۱۵
وحید نصیری وحید نصیری
اشتراک‌ها
jQuery 3.6.0 منتشر شد

jQuery 3.6.0 has been released! In jQuery 3.5.0, the major change was a security fix for the html prefilter. This release does not include a security fix, but does have some good bug fixes and improvements. We still have our eyes on a jQuery 4.0 release, but until then we will continue to support the 3.x branch and address important issues. 

jQuery 3.6.0 منتشر شد
‫۳ سال و ۷ ماه قبل، جمعه ۱۵ اسفند ۱۳۹۹، ساعت ۱۱:۳۹
علی ترابی علی ترابی
اشتراک‌ها
چک‌لیست امنیت شخصی؛ از ساده‌ترین تا سخت‌گیرانه‌ترین

در دنیای امروز، امنیت یا Security برای همگان از اهمیت بالایی برخوردار است و لزوم حفظ امنیت بر همگان اثبات شده است.

یک کاربر Github چک‌لیستی بلند بالا برای حفظ امنیت شخصی در فضای اینترنت منتشر کرده است. این مخزن که به نظر می‌رسد بسیار به‌روز است و به طور مداوم آپدیت می‌شود شامل حفظ امنیت در سه سطح مختلف و در دسته‌های زیر می‌شود:

  • Authentication
  • Browsing the Web
  • Email
  • Secure Messaging
  • Social Media
  • Networks
  • Mobile Phones
  • Personal Computers
  • Smart Home
  • Personal Finance
  • Human Aspect
  • Physical Security
چک‌لیست امنیت شخصی؛ از ساده‌ترین تا سخت‌گیرانه‌ترین
‫۳ سال و ۱۱ ماه قبل، شنبه ۱۷ آبان ۱۳۹۹، ساعت ۱۶:۱۶
وحید نصیری وحید نصیری
اشتراک‌ها
مسیر راه Bootstrap

Starting today, Bootstrap 3 will move to end of life, and will no longer receive critical security updates.

Bootstrap 4 moved to Long Term Support release on February 14, 2019 and will no longer receive new features. It will continue to receive bug fixes, security updates, and documentation updates.

Bootstrap 5 is under active development. You can follow our progress on GitHub. 

مسیر راه Bootstrap
‫۵ سال و ۲ ماه قبل، سه‌شنبه ۸ مرداد ۱۳۹۸، ساعت ۱۳:۰۶
سید امید موسوی سید امید موسوی
اشتراک‌ها
مقدمه ای بر امنیت وب CORS، CSP، HSTS

There are many reasons to learn about web security, such as

  • You’re a concerned user who is worried about your personal data being leaked
  • You’re a concerned web developer who wants to make their web apps more secure
  • You’re a web developer applying to jobs, and you want to be ready if your interviewers ask you questions about web security 
مقدمه ای بر امنیت وب CORS، CSP، HSTS
‫۶ سال و ۱ ماه قبل، یکشنبه ۴ شهریور ۱۳۹۷، ساعت ۱۶:۵۹
امین پارسا امین پارسا
اشتراک‌ها
MASVS یک استاندارد امنیتی مبتنی بر OWASP برای اپلیکیشن‌های موبایل

The Mobile Application Security Verification Standard (MASVS) is a standard for mobile app security

استاندارد امنیتی MASVS شامل موضوعات زیر می‌باشد :

  1. Architecture, Design & Threat Modeling Requirements
  2. Data Storage & Privacy Requirements
  3. Cryptography Requirements
  4. Authentication & Session Management Requirements
  5. Network Communication Requirements
  6. Environmental Interaction Requirements
  7. Code Quality & Build Setting Requirements
  8. Resiliency Against Reverse Engineering Requirements
MASVS یک استاندارد امنیتی مبتنی بر OWASP برای اپلیکیشن‌های موبایل
‫۶ سال و ۳ ماه قبل، سه‌شنبه ۵ تیر ۱۳۹۷، ساعت ۱۸:۲۰
وحید نصیری وحید نصیری
نظرات مطالب
سفارشی سازی ASP.NET Core Identity - قسمت پنجم - سیاست‌های دسترسی پویا
یک نکته‌ی تکمیلی: نمونه‌ی توکار security-trimming
tag helper سفارشی security-trimming این مطلب، نمونه‌ی توکاری به نام Condition را پیدا کرده‌است: 
<div condition="Model.Approved"> 
    <p> 
        This website has <strong surround="em">@Model.Approved</strong> been approved yet. 
        Visit www.contoso.com for more information. 
    </p> 
</div> 

<div condition="!User.Identity.IsAuthenticated">I'm not a valid user</div> 
<div condition="User.Identity.IsAuthenticated">I can use the system</div>
‫۴ سال و ۴ ماه قبل، جمعه ۲۳ خرداد ۱۳۹۹، ساعت ۱۶:۱۶
وحید نصیری وحید نصیری
نظرات مطالب
مستند سازی ASP.NET Core 2x API توسط OpenAPI Swagger - قسمت ششم - تکمیل مستندات محافظت از API
برای JWT این تغییر را نیاز دارد (توکن دریافتی را پس از لاگین/تولید باید دستی وارد کنید):

services.AddSwaggerGen(c =>
{
    // ... 
    var security = new Dictionary<string, IEnumerable<string>>
    {
        {"Bearer", new string[] { }},
    }; 
    c.AddSecurityDefinition("Bearer", new ApiKeyScheme
    {
        Description = "JWT Authorization header using the Bearer scheme. Example: \"Authorization: Bearer {token}\"",
        Name = "Authorization",
        In = "header",
        Type = "apiKey"
    });
    c.AddSecurityRequirement(security);
});
‫۵ سال و ۱ ماه قبل، پنجشنبه ۱۴ شهریور ۱۳۹۸، ساعت ۰۰:۲۵