در سیستم قدیمی تجارت، امکان تهدیدات بسیاری توسط اشخاص و سازمان ها بود.بدیهی است که در سیستم جدید نیز عوامل بسیاری امنیت تجارت را تهدید می کنند.سازمان ها با انتخاب سیستم های امنیتی متناسب با معماری تجارت خود در صدد مقابله با این مشکل برآمدند.
در سیستم های تجارت قدیم فقط حفظ امنیت به صورت فیزیکی مطرح بود.اما در سیستم های جدید مفهوم امنیت تجارت به شکل گسترده تری مطرح است و سرویس های امنیت اطلاعات باید به گونه ای انتخاب و به کار گرفته شوند که امنیت اطلاعات را در هردو حوزه ی فیزیکی و اطلاعاتی فراهم آورند.
تعریف امنیت:
در واژه نامه ی Webster در تعریف امنیت این گونه آمده است:امنیت به معنای کیفیت یا حالت امن بودن،رهایی از خطر،ترس و احساس نگرانی و تشویش می باشد.این تعریف در دنیای تجارت الکترونیک نیز صادق می باشد و حفظ و بقای آن در چهار اصل خلاصه شده است:
ü محرمانگی : اطلاعات فقط و فقط بایستی توسط افراد مجاز قابل رویت باشد.
ü تمامیت : یک سیستم از عناصری تشکیل شده است که در کنار هم برای رسیدن به هدف مشخصی همکاری می کنند.حفظ تمامیت به معنای پیشگیری از بروز مشکل در این همکاری و پیوسته نگه داشتن عناصر یک سیستم است.در و اقع باید سعی شود که داده ی فرستاده شده در طول راه دچار تغییر نشود و بسته ی فرستاده شده تماما و به درستی به دست گیرنده برسد.
ü دسترس پذیری : اطلاعات بایستی به هنگام نیاز توسط افراد مجاز قابل رویت باشند و سیستم های امنیتی به گونه ای طراحی شده باشند که در صورت نیاز بدون وقفه اطلاعات قابل حصول باشند.
ü عدم انکار : به هنگام انجام کاری و یا دریافت اطلاعات یا سرویسی، شخص انجام دهنده یا گیرنده نتواند آن را انکار کند.
امنیت به طور کلی عبارتست از حفاظت از آنچه برای ما ارزشمند است.در برابر حملات عمدی و غیرعمدی توسط سرویس ها و اشخاص. در واقع امنیت اطلاعات، پاسداری از حریم خصوصی افراد است که که معادل اطلاعات خصوصی، مبادلات تجاری، مبادلات مالی، ارتباطات شخصی، اقامتگاه شخصی و وضعیت فیزیکی و جسمانی فرد می باشد.
تعریف حریم خصوصی :
مطابق تعریف فنی ارائه شده در سال 1967، حریم خصوصی عبارتست از" خواسته افراد برای تعیین چگونگی، شرایط و میزان افشای داده های شخصی آنها".بعضی حریم خصوصی را به مفاهیمی مانند خلوت، گمنامی، جدایی از گروه و تودار بودن مربوط می دانند و از آنها به نام حالت های حریم خصوصی یاد می کنند. تمایل افراد به حفظ حریم خصوصی خود مطلق نیست و افراد اطلاعات خصوصی خود را پنهان می کنند. از طرفی افراد مجبور به حضور در اجتماع هستند.بنابراین باید تعادلی بوجود بیاید تا حریم خصوصی افراد محفوظ بماند. حریم خصوصی اندیشه ای ایده ال و مفهومی درونی است که آن را نمی توان در یک کلمه خلاصه کرد. با هنجارهای اجتماعی، مسائل قانونی و مسائل فنی رابطه ای تنگاتنگ دارد. به طور کلی حفظ حریم خصوصی به معنای پاسداری از مرزهای قلمرو شخصی افراد است.
تعریف تجارت الکترونیک :
تجارت الکترونیک، فرایند خرید ، فروش یا تبادل محصولات ، خدمات و اطلاعات از طریق شبکههای کامپیوتری و اینترنت است.تجارت الکترونیکی را میتوان انجام هرگونه امور تجاری بصورت آنلاین و ازطریق اینترنت بیان کرد . این تکنیک در سالهای اخیر رشد بسیاری داشتهاست. تجارت الکترونیکی به هرگونه معاملهای گفته میشود که در آن خرید و فروش کالا و یا خدمات از طریق اینترنت صورت پذیرد و به واردات و یا صادرات کالا ویا خدمات منتهی میشود . تجارت الکترونیکی معمولا کاربرد وسیع تری دارد، یعنی نه تنها شامل خرید و فروش از طریق اینترنت است، بلکه سایر جنبههای فعالیت تجاری ، مانند خریداری ، صورت بردار ی از کالاها ، مدیریت تولید و تهیه و توزیع و جابهجایی کالاها و همچنین خدمات پس از فروش را در بر میگیرد . البته مفهوم گستردهتر تجارت الکترونیک کسب و کار الکترونیک میباشد .
انواع تجارت الکترونیک :
تجارت فروشنده با فروشنده (Business to Business) :B2B اولین خرید و فروش معاملات الکترونیکی است و هنوز هم طبق آخرین آمار،بیشترین عایدی را کسب می کند.در B2B تجار نه تنها مجبورند مشتریان خود را بشناسند،بلکه باید واسطه ها را نیز شناسایی کنند.در این مدل همه ی شرکا و خدمات مرتبط با تجارت الکترونیکی از قبیل: تامین کنندگان، خریداران ، فرستندگان ، لجستیک (پشتیبانی) ، خدمات ، بازرسی و ... درگیرند.
تجارت فروشنده با مصرف کننده (Business to Consumer) : بیشترین سهم در انجام تجارت الکترونیکی از نوع B2C را خرده فروشی تشکیل می دهد.انواع تجارت با گسترش وب به سرعت افزایش پیدا کرده و اکنون به راحتی می توان انواع و اقسام کالاها از شیرینی گرفته تا اتومبیل و نرم افزارهای کامپیوتری را از طریق اینترنت خریداری کرد.B2C از حدود پنج سال پیش با راه اندازی سایت هایی چون amazon و CDNOW آغاز شد.Jeff Bezor موسس شرکت amazon، سایت خود را فقط برای فروش کتاب از طریق اینترنت راه اندازی کرد و این مقدمه ای بود برای یک تحول جهانی.
تجارت مصرف کننده با مصرف کننده (Consumer to Comsumer) : در این مدل تجارت الکترونیکی، مزایده ها و مناقصه های کالا از طریق اینترنت انجام می شود.مدل C2C شبیه نیازمندی های طبقه بندی شده یک روزنامه و یا شبیه به یک دکه در بازار دست دوم یا سمساری است. ایده اصلی این مدل این است که مصرف کنندگان با یکدیگر بدون واسطه به خرید و فروش بپردازند. Ebay غول حراجی آنلاین، بزرگترین نمونه اولیه مدل C2C می باشد. Ebay خود چیزی نمی فروشد و به عنوان واسطی بین خریداران و فروشندگان به ارائه محصولاتی در حراجی آنلاین می پردازد. فروشنده قیمت اولیه خو را در حراجی قرار می دهد و سپس شرکت کنندگان در حراج قبل از اتمام مدت باید روی کالای به حراج گذاشته شده اظهار نظر کنند.سایت هایی از قبیل autobytel و carsmart از این قبیل می باشند.
تجارت مصرف کننده با فروشنده (Consumer to Business ) : درحالیکه بازار مصرف کننده آنلاین روز به روز در حال گسترش است، بسیاری از خریداران دریافته اند که که شیوه انتخاب محصول بسیار گسترده و ممکن است آنان را غوطه ور سازد. چراکه وقتی مصرف کنندگان، سایت هایی را در ارتباط با فروش محصول مورد نظر خود می یابند، یافتن خود محصول در ان سایت و بدست آوردن قیمت آن دشوار است.
تجارت نقطه به نقطه (Peer to Peer) : مدل تجارت الکترونیکی P2P برای تسویه حساب کردن شرکت کنندگان در حراج با فروشنده است که مشهورترین آنها سرویسی است با نام paypall. این تجارت در چارچوبی کار می کند که افراد بتوانند مستقیما با هم پول ردوبدل کنند و در حالیکه سهم اصلی داد وستد پولی را نقل و انتقالات رو در رو به عهده دارد، فناوری تلفن های همراه افراد بیشتری را در داد و ستدهای غیرحضوری سهیم می کند.قبل از paypal بسیاری از تاجران آنلاین، پرداخت مشتریان را از طریق حساب کارت های اعتباری تجاری دریافت می کردند.
تجارت فروشنده با اداره (Business to Administration ) : این نوع تجارت الکترونیکی شامل تمام مبادلات تجاری- مالی بین شرکت ها و سازمان های دولتی است .تامین نیازهای دولت توسط سازمان ها از جمله مواردی است که می توان در این گروه گنجاند. این تجارت در حال حاضر دوران کودکی خود را طی می کند ولی در آینده ای نه چندان دور زمانی که دولت ها به ارتقای ارتباطات خود توجه نشان دهند، توسعه خواهد یافت.
تجارت مصرف کننده با اداره (Consumer to Administration ) : این مدل تجارت الکترونیکی هنوز پدیدار نشده است. ولی به دنبال رشد انواع B2C و B2A، دولت ها احتمالا مبادلات الکترونیکی را به حیطه هایی همچون جمع آوری کمک های مردمی، پرداخت مالیات بر درآمد و هرگونه امور تجاری دیگری که بین دولت ها و مردم انجام می شود گسترش خواهد داد.
چرخه ی حفاظت اطلاعات :
سازمان ها می بایست سیستم امنیتی متناسب با نیازهای سازمان را شناسایی کرده و آن را در سازمان بکار گیرند.اگرچه انتخاب سرویس متناسب با جنبه های مختلف سازمان که بتواند حداکثر اطمینان را نیز بدست دهد،سخت است اما متخصصان یعنی کسانی که مسئول انتخاب،پیاده سازی و سازماندهی سیستم های امنیت اطلاعات در سازمانی هستند،میبایست با دقت گزینه های در دسترس را بررسی کنند و بهترین را برگزینند.چرخه ی حفاظت اطلاعات شش فاز دارد و این شش فاز عبارتند از:
فاز1 : شروع به کار : در ابتدا سازمان سیستم امنیتی موجود را در صورت وجود بررسی می کند و تصمیم می گیرد که آیا این سیستم باید ارتقا یابد،عوض شود یا نه.
فاز 2 : ارزیابی : در این فاز سازمان در مورد وضعیت امنیتی خود تصمیم می گیرد.نیازها را بررسی می کند و گزینه های موجود برای ارتقا و تغییر سیستم امنیتی را بررسی می کند.
فاز 3 : راه حل : تصمیم گیرنده ها راه حل های بالقوه را ارزیابی می کنند و از میان تمامی گزینه های در دسترس موارد قابل قبول را مشخص می کنند و از میان موارد قابل قبول بهترین گزینه را مشخص می کند.
فاز 4 : پیاده سازی : در این فاز، سازمان حامیان سرویس انتخاب شده در مرحله ی قبل را مشخص و آنها را به استخدام در می آورد.راه حل انتخاب شده در مرحله ی قبل، بسط داده می شود و در سازمان پیاده سازی می شود.
فاز 5 : عملکرد : سازمان پس از پیاده سازی سیستم باید در مورد عملکرد موفقیت آمیز آن در سازمان مطمئن شود.سازمان با کنترل پیوسته ی سیستم امنیتی و سنجش عملکرد آن در برابر نیازهای از پیش تعیین شده به این مهم دست می یابد.سازمان دائما تغییرات و راه حل های ارائه شده توسط سیستم بکار گرفته شده را بررسی می کند تا اطمینان حاصل کند که این راه حل ها مطابق با نیازها برای بدست آمدن یک وضعیت قابل قبول امنیتی باشد.
فاز 6 : پایان کار : همانطور که گفته شد سازمان دائما سرویس امنیتی موجود را کنترل می کند تا اطمینان حاصل کند و در صورت عدم حصول این اطمینان سازمان به فکر ارتقا و یا حتی تغییر سیستم موجود می افتد و این پایان کار سیستم امنیتی در دست است.
فاکتورهایی که هنگام انتخاب،پیاده سازی و سازماندهی سیستم های اطلاعاتی در نظر گرفته می شوند عبارتند از: ویژگی های حامیان سرویس، نیازهای سازمان و عملکرد سرویس، تجربه و اعتماد،امکانات حامیان سرویس برای ایجاد اطمینان کافی از عملکرد مناسب سیستم، کارآیی و اطلاعات. این فرضیات بسته به نوع، اندازه، پیچیدگی، هزینه، امکانات سرویس مورد نظر وزن های گوناگون می یابند.
مفهوم امنیت در تجارت الکترونیک :
مفهوم امنیت در تجارت الکترونیک در حوزه های وسیعی مطرح است.در بررسی امنیت هر سیستمی، بنا بر اصول مشخص شده در استانداردها، ابتدا باید دارایی های سیستم مشخص و ارزش گذاری شوند و سپس خطرات متوجه هر دارایی مورد بررسی قرار گیرد و مطابق با هر خطر راهکاری اندیشیده شود.در بررسی هرکدام از این موارد و به منظور ارائه ی راهکارهای مناسب ابتدا باید خطراتی که آنها را تهدید می کنند، خوب بشناسیم و آنها را به دقت مورد بررسی قرار دهیم.
امروزه امنیت شبکه یک مساله مهم برای ادارات و شرکت های دولتی و سازمان های کوچک و بزرگ است. تهدیدهای پیشرفته از سوی تروریست های فضای سایبر، کارمندان ناراضی و هکرها، رویکردی سیستماتیک را برای امنیت شبکه می طلبد. در بسیاری از صنایع، امنیت به شکل پیشرفته یک انتخاب نیست بلکه یک ضرورت است. این رویکرد هم یک راهبرد فنی است که ابزار و امکان مناسبی را در سطوح گوناگون در زیرساختار شبکه قرار می دهد و هم یک راهبرد سازمانی است که مشارکت همه را می طلبد. رویکرد امنیتی لایه بندی شده روی نگهداری ابزارها و سیستم های امنیتی و روال ها در پنج لایه در محیط فناوری اطلاعات متمرکز می گردد. محافظت از اطلاعات اختصاصی به منابع مالی نامحدود و گزاف نیاز ندارد. در یک دنیای ایده آل، بودجه و منابع کافی برای پیاده سازی همه ابزارها و سیستم های مورد بحث وجود دارد. اما متاسفانه ما در چنین دنیایی زندگی نمی کنیم. بدین ترتیب، باید شبکه ها را ارزیابی کنیم (چگونگی استفاده از آن، طبیعت داده های ذخیره شده، کسانی که نیاز به دسترسی دارند، نرخ رشد آن و ...) و سپس ترکیبی از سیستم های امنیتی را که بالاترین سطح محافظت را ایجاد می کنند، با توجه به منابع در دسترس پیاده سازی کنیم. یکی از مهم ترین فعالیت های مدیر شبکه، تضمین امنیت منابع شبکه است. دسترسی غیر مجاز به منابع شبکه و یا ایجاد آسیب عمدی یا غیر عمدی به اطلاعات، امنیت شبکه را مختل می کند. از طرف دیگر امنیت شبکه نباید آنچنان باشد که کارکرد عادی کاربران را مشکل سازد.
برای تضمین امنیت اطلاعات و منابع سخت افزاری شبکه، از دو مدل امنیت شبکه استفاده می شود. این مدل ها عبارتند از: امنیت در سطح اشتراک (Share-Level) و امنیت در سطح کاربر (User-Level) در مدل امنیت در سطح اشتراک، این عمل با انتساب اسم رمز یا Password برای هر منبع به اشتراک گذاشته تامین می شود. دسترسی به منابع مشترک فقط هنگامی برقرار می گردد که کاربر اسم رمز صحیح را برای منبع به اشتراک گذاشته شده را به درستی بداند.به عنوان مثال اگر سندی قابل دسترسی برای سه کاربر باشد، می توان با نسبت دادن یک اسم رمز به این سند مدل امنیت در سطح Share-Level را پیاده سازی کرد. منابع شبکه را می توان در سطوح مختلف به اشتراک گذاشت. برای مثال در سیستم عامل ویندوز ۹۵می توان دایرکتوری ها را بصورت فقط خواندنی (Read Only)، برحسب اسم رمز یا به شکل کامل (Full) به اشتراک گذاشت. از مدل امنیت در سطح Share-Level می توان برای ایجاد بانک های اطلاعاتی ایمن استفاده کرد.در مدل دوم یعنی امنیت در سطح کاربران، دسترسی کاربران به منابع به اشتراک گذاشته شده با دادن اسم رمز به کاربران تامین می شود. در این مدل کاربران در هنگام اتصال به شبکه باید اسم رمز و کلمه عبور را وارد نمایند. در اینجا سرور مسئول تعیین اعتبار اسم رمز و کلمه عبور است. سرور در هنگام دریافت درخواست کاربر برای دسترسی به منبع به اشتراک گذاشته شده، به بانک اطلاعاتی خود مراجعه کرده و درخواست کاربر را رد یا قبول می کند.
تفاوت این دو مدل در آن است که در مدل امنیت در سطح Share-Level، اسم رمز به منبع نسبت داده شده و در مدل دوم اسم رمز و کلمه عبور به کاربر نسبت داده می شود. بدیهی است که مدل امنیت در سطح کاربر بسیار مستحکم تر از مدل امنیت در سطح اشتراک است. بسیاری از کاربران به راحتی می توانند اسم رمز یک منبع را به دیگران بگویند. اما اسم رمز و کلمه عبور شخصی را نمی توان به سادگی به شخص دیگری منتقل کرد.
تجارت الکترونیک که در اینجا بیشتر بحث پیرامون بررسی این امر در دنیاي اینترنت می باشد، به منظور شکل گیري و سرویس دهی، نیازمند محیطی است که از طریق آن افراد مختلف بتوانند داد و ستد خود را انجام دهند.این محیط که در اینجا همان برنامه هاي تحت وب هستند، خود نیازمند بستري جهت قرارگیري می باشد. حال نیاز به ارائه سرویس مطرح می گردد که خود در برگیرنده مباحث نرم افزاري چون سیستم عامل، سرویس دهنده وب و مباحث سخت افزاري چون سرویس دهندگان و ساختار آنها می باشد. اما هنوز این سیستم کامل نیست بحث تولید و ارائه مهیا شده اند، اما چگونگی ارتباط مشتریان با سیستم مشخص نیست.بستر دسترسی که بنابر مطالب مذکور، اینترنت می باشد، در مفهوم انتقال مورد بررسی قرار می گیرد. وجود مشتریان هم که لازمه زنده نگه داشتن این سیستم می باشد، در مفهوم دریافت جاي داده شده است.
امنیت در برقرتری تجارت الکترونیک موفق، شامل مراحل زیر می باشد:
1- امنیت میزبان (Host security)
2- امنیت سیستم عامل (Os security)
3- امنیت سرویس دهنده وب (Web server security)
4- امنیت شبکه (Network security)
5- ابزارهای ضد ویروس (Antivirus tools)
6- دیوارهای آتش (Firewalls)
7- یک خط مشی توام با آموزش (Seurity Policy)
در بحث تجارت الکترونیک عواملی از قبیل برنامه هاي تحت وب ، سرویس دهنده، بستر ارتباطی و دریافت کننده که عمدتا مشتري می باشد، بایستی در کنار هم قرار گیرند تا یک تجارت الکترونیک شکل گیرد و اگر آن را به صورت یک سیستم ترسیم کنیم می توانیم این عوامل را در 4 مفهوم کلی "تولید، ارائه، انتقال و دریافت" سرویس یا کالا داشته باشیم. براي شفاف شدن هرچه بیشتر این موضوع به توضیح هر کدام می پردازیم :
امنیت در ﺗﻮﻟﯿﺪ :
در ﻣﻔﻬﻮم ﺗﻮﻟﯿﺪ، ﺑﯿﺸﺘﺮ ﺑﺎ ﯾﮑﺴﺮي از ﺑﺮﻧﺎﻣﻪ ﻫﺎي ﺗﺤﺖ وب و ﺑﺎﻧﮑﻬﺎي اﻃﻼﻋﺎت در ارﺗﺒﺎطﻫﺴﺘﯿﻢ. ﻓﺎرغ از اﯾﻦ ﻣﻮﺿﻮع ﮐﻪ اﯾﻦ ﺑﺮﻧﺎﻣﻪ ﻫﺎ ﺗﻮﺳﻂ ﺗﯿﻤﯽ ﻣﺸﺨﺺ ﺑﻪ ﻣﻨﻈﻮر اﻧﺠﺎم ﯾﮏ داد و ﺳﺘﺪ اﯾﻨﺘﺮﻧﺘﯽ ﺑﻪ وﺟﻮد آﻣﺪه اﻧﺪ و ﯾﺎ ﺑﻪﺻﻮرت آﻣﺎده در ﻗﺎﻟﺐ ﺑﺴﺘﻪ ﻫﺎي ﻧﺮم اﻓﺰاري ﺗﻬﯿﻪ ﺷﺪه اﻧﺪ، ﺗﻬﺪﯾﺪاﺗﯽ ﻣﺘﻮﺟﻪآﻧﻬﺎ ﻣﯽ ﺑﺎﺷﺪ.اﯾﻦ ﺗﻬﺪﯾﺪات ﻋﻤﺪﺗﺎً ﺑﻪ ﻣﻨﻈﻮر ﺑﻪ دﺳﺖآوردن اﻃﻼﻋﺎﺗﯽ ﻣﺤﺮﻣﺎﻧﻪ و ﯾﺎ اﯾﺠﺎد ﺗﻐﯿﯿﺮي در ﺳﯿﺴﺘﻢ، ﺑﻪ ﻣﻨﻈﻮر ﺟﻌﻞ ﻫﻮﯾﺖ، دﺳﺘﮑﺎري ﻣﺒﻠﻎ ﮐﻞدر راﺳﺘﺎيﮐﺎﻫﺶ آن و ﯾﺎ ﺣﺘﯽﺗﻐﯿﯿﺮي در ﺻﻔﺤﻪ اﺻﻠﯽ ﺑﻪ ﻣﻨﻈﻮر ﺗﺨﺮﯾﺐ اﻋﺘﺒﺎر آن ﻣﺠﻤﻮﻋﻪ ﻣﯽ ﺑﺎﺷﺪ.ﺑﻪ ﻣﻨﻈﻮر ﺑﺮرﺳﯽ اﺟﺮاﯾﯽ در اداﻣﻪﺑﻪﺗﻮﺿﯿﺢ ﭼﻨﺪ ﻧﻤﻮﻧﻪ ازﺗﻬﺪﯾﺪاﺗﯽ ﮐﻪ ﻣﯽ ﺗﻮاﻧﻨﺪ ﻣﺘﻮﺟﻪ ﻋﻮاﻣﻞ ﺗﻮﻟﯿﺪ ﺑﺎﺷﺪ ﻣﯽ ﭘﺮدازﯾﻢ.
Cross site scripting: ﻋﺒﺎرت اﺳﺖ از ﻓﺮﺳﺘﺎدن Scriptدر ﻓﯿﻠﺪ ﻫﺎي ورودي ﺑﻪ ﻣﻨﻈﻮر ﺑﻪدﺳﺖ آوردناﻃﻼﻋﺎتﻣﻬﻢو ﯾﺎ اﯾﺠﺎد ﺗﻐﯿﯿﺮ در ﮐﺪﻫﺎي HTML.در روش ذﺧﯿﺮه ﺷﺪه، Script ﻫﺎي ﻫﮑﺮ ﺑﻪ ﺻﻮرت داﺋﻤﯽ در ﺳﺮوﯾﺲ دﻫﻨﺪه ﻣﻮرد ﻧﻈﺮ ﻗﺮار ﻣﯽ ﮔﯿﺮﻧﺪ ﻣﺎﻧﻨﺪ ﺑﺎﻧﮏ اﻃﻼﻋﺎﺗﯽ،ﺻﻔﺤﺎت پیغام و ﯾﺎ ﻧﻈﺮات،و ﻫﻨﮕﺎﻣﯽ ﮐﻪ ﮐﺎرﺑﺮ، درﺧﻮاﺳﺘﯽ را ﺑﻪ اﯾﻦ ﻗﺴﻤﺖ ﻫﺎ ارﺳﺎل ﻧﻤﺎﯾﺪ، Scriptﻫﮑﺮ ﺑﺮ روي ﺳﯿﺴﺘﻢ ﮐﺎرﺑﺮاﺟﺮا ﻣﯽ ﺷﻮد. ﻫﮑﺮ اﺑﺘﺪا Script ﻣﻮرد ﻧﻈﺮ ﺧﻮد را ﺑﻪ ﺷﮑﻠﯽ ﺑﺎ ﻗﺴﻤﺖ آﺳﯿﺐ ﭘﺬﯾﺮ ﺳﺎﯾﺖ ﻣﻮرد ﻧﻈﺮﺑﺮاي ﮐﺎرﺑﺮ ﻣﯽ ﻓﺮﺳﺘﺪ ﮐﻪﮐﺎرﺑﺮ ﺑﺎ ﮐﻠﯿﮏ ﺑﺮ روي آنURL ،در واﻗﻊ Script ﻫﮑﺮ را اﺟﺮا ﮐﺮده اﺳﺖ.ﺣﺎﺻﻞ اﺟﺮا ﺷﺪن Script ﻣﯽ ﺗﻮاﻧﺪ ﻣﻨﺠﺮ ﺑﻪ اﯾﻦ ﺷﻮد ﮐﻪ ﻫﮑﺮ ﺑﺘﻮاﻧﺪ اﻃﻼﻋﺎت ﻧﺸﺴت ﮐﺎرﺑﺮ ﺑﺎ وب ﺳﺎﯾﺖ ﻣﻮرد ﻧﻈﺮ را ﺑﻪ دﺳﺖ آورد و ﺑﺘﻮاﻧﺪ از آن اﺳﺘﻔﺎده ﮐﻨﺪ. در واﻗﻊ ﻫﻮﯾﺖ ﺧﻮد را ﺟﻌﻞ وﺧﻮد راﺑﻪ ﻋﻨﻮان ﮐﺎرﺑﺮ ﻗﺮﺑﺎﻧﯽ اﺑﺮاز ﻧﻤﺎﯾﺪ. درﺟﻪ ﺧﻄﺮ اﯾﻦ ﺗﻬﺪﯾﺪ را در ﻣﺜﺎل واﻗﻌﯽ زﯾﺮ می توانیم بیایبم. در روز 16ﻣﺎه ﺟﻮن ﺳﺎل 2006 ﺳﺎﯾﺖ Netcraft اﻋﻼم ﮐﺮد ﮐﻪ ﺑﻪ ﻋﻠﺖ ﺿﻌﻒ اﻣﻨﯿﺘﯽﻣﻮﺟﻮددر ﺳﺎﯾﺖ PayPal ﻫﮑﺮﻫﺎ ﺗﻮاﻧﺴﺘﻨﺪ اﻃﻼﻋﺎت ﺷﺨﺼﯽ و ﮐﺎرت ﻫﺎي اﻋﺘﺒﺎري اﻋﻀﺎء اﯾﻦ ﺳﺎﯾﺖ را ﺑﻪ دﺳﺖ آورﻧﺪ.
SQL Injection: اﯾﻦ روش ﺑﻪ وارد ﮐﺮدن دﺳﺘﻮرﻫﺎ و ﻋﺒﺎراﺗﯽ ﺑﻪ زﺑﺎن ﻗﺎﺑﻞ ﻓﻬﻢ ﺗﻮﺳﻂ SQL در ﻗﺴﻤﺘﻬﺎﯾﯽ از ﯾﮏ وب ﺳﺎﯾﺖ ﮐﻪﻣﯽ ﺗﻮاﻧﻨﺪ ﻣﻘﺎدﯾﺮي را ﺑﻪ ﺻﻮرت ورودي درﯾﺎﻓﺖ ﮐﻨﻨﺪ (ﻣﺎﻧﻨﺪ ﻓﯿﻠﺪﻫﺎي ﻧﺎم ﮐﺎرﺑﺮي و رﻣﺰ ﻋﺒﻮر) اطلاق ﻣﯽ ﺷﻮد. ﺑﻨﺎﺑﺮاﯾﻦ ﻫﮑﺮ ﻣﯽﺗﻮاﻧﺪ ﯾﮏ دﺳﺘﻮر را ﺑﺮ روي ﺳﺮور ﺑﺎﻧﮏ اﻃﻼﻋﺎت اﺟﺮا ﮐﻨﺪ ﮐﻪ ﺣﺎﺻﻞ اﺟﺮاي اﯾﻦ دﺳﺘﻮر ﻣﯽ ﺗﻮاﻧﺪ ﺑﻪ دﺳﺖ آوردن اﻃﻼﻋﺎتﮐﺎرﺑﺮان، اﻃﻼﻋﺎت ﮐﺎرت ﻫﺎي اﻋﺘﺒﺎري، ﺟﺰﯾﯿﺎت ﻣﺒﺎدﻻت اﻧﺠﺎم ﺷﺪه و... ﺑﺎﺷﺪ. ﺳﺎﯾﺘﻬﺎي Guess.comو PetCo.com ﮐﻪ در زﻣﯿﻨﻪ اراﺋﻪ ﺳﺮوﯾﺲ و ﻣﺤﺼﻮﻻت ﺑﻪ ﺻﻮرت اﯾﻨﺘﺮﻧﺘﯽ ﻓﻌﺎﻟﯿﺖ دارﻧﺪ، ﻗﺮﺑﺎﻧﯽ اﯾﻦ ﺗﻬﺪﯾﺪﺑﻮده اﻧﺪ ﮐﻪ ﺑﻪ دﻧﺒﺎل آن اﻃﻼﻋﺎت ﺣﺴﺎس و ﻣﻬﻢ ﺑﺴﯿﺎري از ﮐﺎرﺑﺮاﻧﺸﺎن ﺑﻪ دﺳﺖ ﯾﮏ ﻫﮑﺮ20ﺳﺎﻟﻪ ﺳﺎﮐﻦ ﮐﺎﻟﯿﻔﺮﻧﯿﺎ اﻓﺘﺎد.
Price mainpulation:ﻫﻤﺎﻧﻄﻮر ﮐﻪ اﺳﻢ اﯾﻦ روشﻧﺸﺎن ﻣﯽ دﻫﺪ، ﻋﺒﺎرت اﺳﺖ ازدﺳﺘﮑﺎري ﻗﯿﻤﺖ، ﺑﻪ اﯾﻦ ﺻﻮرت ﮐﻪ ﺑﻪ ﻫﻨﮕﺎم ﻣﺤﺎﺳﺒﻪ ﻗﯿﻤﺖ ﮐﻞ ﺑﻪ ﻋﻠﺖ ذﺧﯿﺮه ﺳﺎزي ﯾﮑﺴﺮي از اﻃﻼﻋﺎت ﺧﺮﯾﺪ ﺑﺮ روي ﺳﯿﺴﺘﻢ ﻣﺸﺘﺮي، ﻫﮑﺮ ﺑﺎ اﺳﺘﻔﺎده از ﯾﮏ ﺑﺮﻧﺎﻣﻪ ﮐﻪ ﺑﺘﻮاﻧﺪ ارﺗﺒﺎﻃﺎت ﺧﻮد و ﺳﺮوﯾﺲ دﻫﻨﺪه را ﭘﺮوﮐﺴﯽ ﮐﻨﺪ، ﻣﯽ ﺗﻮاﻧﺪاﻃﻼﻋﺎت ﻣﻬﻤﯽ از ﺟﻤﻠﻪ ﻗﯿﻤﺖ را ﺗﻐﯿﯿﺮ دﻫﺪﮐﻪ اﮔﺮ ﮐﻨﺘﺮل ﻫﺎي ﻻزم در ﺳﻤﺖ ﺑﺮﻧﺎﻣﻪ ﺳﺮوﯾﺲ دﻫﻨﺪه وﺟﻮد ﻧﺪاﺷﺘﻪ ﺑﺎﺷﺪ ﺿﺮر ﻣﺎﻟﯽ اﯾﻦ ﮐﺎر ﻣﺘﻮﺟﻪ ﺷﺮﮐﺖ ﺳﺮوﯾﺲ دﻫﻨﺪه ﻣﯽﺷﻮد. ﯾﮏ ﻧﻤﻮﻧﻪ از اﯾﻦ ﻣﺸﮑﻞ ﮐﻪ ﺑﺎﻋﺚ ﻣﺘﻀﺮر ﺷﺪن ﺷﺮﮐﺖ ﻫﺎي ﺳﺮوﯾﺲ دﻫﻨﺪه ﺷﺪه اﺳﺖ ﺿﻌﻒ ﻣﻮﺟﻮد در ﺑﺮﻧﺎﻣﻪ "3D3 ShopFactory Shopping Cart" ﺑﻮده اﺳﺖ. ﺷﺮﮐﺖ ﻫﺎﯾﯽ ﮐﻪ ﺑﺮاي اﻧﺠﺎم ﻣﺤﺎﺳﺒﺎت ﻣﺎﻟﯽ ﺗﺠﺎرت اﯾﻨﺘﺮﻧﺘﯽ ﺧﻮد از اﯾﻦ ﺑﺮﻧﺎﻣﻪ اﺳﺘﻔﺎده ﻣﯽ ﮐﺮدﻧﺪ ﺑﻪ ﻋﻠﺖ اﯾﻨﮑﻪ اﯾﻦ ﺑﺮﻧﺎﻣﻪ ﻗﯿﻤﺖ ﻧﻬﺎﯾﯽ را در ﯾﮏ Cookie ﺳﻤﺖ ﮐﺎرﺑﺮ ذﺧﯿﺮه ﺳﺎزي ﻣﯽ ﮐﺮده و اﻣﮑﺎن ﺗﻐﯿﺮ ﻗﯿﻤﺖ ﻧﻬﺎﯾﯽ ﺗﻮﺳﻂ ﻫﮑﺮﻫﺎ وﺟﻮد داﺷﺘﻪ ،ﻣﺘﻀرر ﺷﺪه اﻧﺪ.
Buffer overflow:اﯾﻦ ﺿﻌﻒ ﮐﻪ ﻣﺮﺑﻮط ﺑﻪ اﺷﺘﺒﺎه در ﺑﺮﻧﺎﻣﻪ ﻧﻮﯾﺴﯽ ﻣﯽ ﺑﺎﺷﺪ، ﻧﯿﺰ ﻣﯽ ﺗﻮاﻧﺪ ﺑﻪ ﻋﻨﻮان ﺗﻬﺪﯾﺪي ﺑﺮاي ﺗﺠﺎرت اﻟﮑﺘﺮوﻧﯿﮏ ﺑﻪ ﺣﺴﺎب آﯾﺪ. اﮔﺮ ﺑﺨﻮاﻫﯿﻢ اﯾﻦ ﺗﻬﺪﯾﺪ را ﻣﻮرد ﺑﺮرﺳﯽ ﻗﺮار دﻫﯿﻢ، ﻣﯽ ﺗﻮاﻧﯿﻢ ﺧﻄﺮ آن را ﺑﻪ دو ﻗﺴﻤﺖ ﺗﻘﺴﯿﻢ ﮐﻨﯿﻢ: ﯾﮑﯽاﻓﺸﺎء ﯾﮑﺴﺮي اﻃﻼﻋﺎت از ﻃﺮﯾﻖ ﭘﯿﻐﺎم ﻫﺎي ﺧﻄﺎﯾﯽ اﺳﺖ ﮐﻪ ﺳﯿﺴﺘﻢ ﺑﻪ ﻋﻠﺖ ﺳﺮﯾﺰ ﺷﺪن ﺑﺎﻓﺮ ﺑﺮ ﻣﯽ ﮔﺮداﻧﺪ ﮐﻪ ﻣﯽ ﺗﻮاﻧﺪ اﻃﻼﻋﺎت ﺑﺴﯿﺎر ﺧﻮﺑﯽ را در اﺧﺘﯿﺎر ﻫﮑﺮ ﻗﺮار دﻫﺪ و از آﻧﺠﺎﯾﯽ ﮐﻪ ﺑﺮاﺳﺎس اﺻﻮل و ﻣﺮاﺗﺐ ﻫﮏ، ﮐﺴﺐ اﻃﻼﻋﺎت از ﻧﺨﺴﺘﯿﻦﮔﺎﻣﻬﺎ ﻣﯽ ﺑﺎﺷﺪ، ﭘﺲ اﯾﻦ اﻣﺮ ﻣﯽ ﺗﻮاﻧﺪ در اﯾﻦ ﻣﺮﺣﻠﻪ ﮐﻤﮏ ﺧﻮﺑﯽ ﺑﺮاي ﻫﮑﺮ ﺑﺎﺷﺪ و دوم اﯾﻨﮑﻪ در ﺑﺮﺧﯽ از ﺷﺮاﯾﻂ ﻫﮑﺮ ﻗﺎدر اﺳﺖ ﺑﺎ اﺳﺘﻔﺎده از اﯾﻦﺿﻌﻒ، دﺳﺘﻮري را ﺑﺮ روي ﺳﺮوﯾﺲ دﻫﻨﺪه اﺟﺮا ﮐﻨﺪ. ﺑﻪ ﻋﻨﻮان ﻣﺜﺎﻟﯽ از اﯾﻦ ﺿﻌﻒ، ﻣﯽ ﺗﻮان ﺑﺮﻧﺎﻣه "PDGSoft Shopping Cart" ،ﮐﻪ ﯾﮑﯽ از ﺑﺮﻧﺎﻣﻪﻫﺎي اﻧﺠﺎم ﻣﺤﺎﺳﺒﺎت ﺧﺮﯾﺪ ﻣﯽﺑﺎﺷﺪ را ﻧﺎم ﺑﺮد.ﺿﻌﻒ ﻣﻮﺟﻮد در اﯾﻦ ﺑﺮﻧﺎﻣﻪ اﻣﮑﺎن اﺟﺮاي دﺳﺘﻮرات دﻟﺨﻮاه را ﺑﻪ ﻫﮑﺮ ﻣﯽ داد.
Password guessing : ﺑﻪ دﺳﺖ آوردن ﻏﯿﺮ ﻣﺠﺎز رﻣﺰ ﻋﺒﻮر اﻓﺮاد، اﮔﺮﭼﻪ ﯾﮏ ﺧﻄﺮ ﺑﺴﯿﺎر ﮐﻠﯽ ﻣﯽ ﺑﺎﺷﺪ، اﻣﺎ ﻣﺼﺪاق ﻫﺎي ﺑﺴﯿﺎر زیاد آن در ﺗﺠﺎرت اﻟﮑﺘﺮوﻧﯿﮏ، آﻧﺠﺎﮐﻪ اﺣﺘﯿﺎج ﺑﻪ اﺣﺮاز ﻫﻮﯾﺖ است، دﯾﺪه ﻣﯽ ﺷﻮد. اﯾﻦ روش ﺧﻮد ﺑﻪ دو ﻗﺴﻤﺖ ﺣﻤﻠﻪ ﻫﺎي واژه ﻧﺎﻣﻪ اي و ﺣﻤﻠﻪ ﻫﺎي ﻣﺒﺘﻨﯽ ﺑﺮ آزﻣﺎﯾﺶ ﺗﻤﺎﻣﯽ ﻋﺒﺎرات ﻣﻤﮑﻦ ﺗﻘﺴﯿﻢ ﻣﯽ ﺷﻮد.در روش واژه ﻧﺎﻣﻪاي، ﻫﮑﺮ ﻟﯿﺴﺘﯽ ازرﻣﺰﻋﺒﻮرﻫﺎي ﻣﺘﺪاول (ﻣﺎﻧﻨﺪ"123456"admin"،"test و... )، را در ﻓﺎﯾﻠﯽ ﻗﺮار ﻣﯽ دﻫﺪ و ﺳﭙﺲ ﺑﺎ اﺳﺘﻔﺎده از ﯾﮏ ﺑﺮﻧﺎﻣﻪ، ﺑﻪ ﺑﺮرسی ﺧﻮدﮐﺎر آن رﻣﺰ ﻋﺒﻮرﻫﺎ ﺑﻪ ﻣﻨﻈﻮر ﯾﺎﻓﺘﻦ رﻣﺰ ﻋﺒﻮر ﺻﺤﯿﺢ ﻣﯽ ﭘﺮدازد. در روش ورود ﺑﻪ زور، ﻫﮑﺮ ﺑﺎ اﺳﺘﻔﺎده از ﺑﺮﻧﺎﻣﻪ ﻫﺎﯾﯽ ﮐﻪ ﺧﺎص اﯾﻦ ﮐﺎر ﻣﯽ ﺑﺎﺷﻨﺪ، ﺷﺮوع ﺑﻪ ﺗﺴﺖ رﻣﺰ ﻋﺒﻮرﻫﺎي ﻣﺨﺘﻠﻔﯽ ﻣﯽ ﮐﻨﺪ ﮐﻪ ﺑﺮ اﺳﺎس ﻗﻮاﻧﯿﻦ از ﭘﯿﺶ ﺗﻌﺮﯾﻒ ﺷﺪه ﺳﺎﺧﺘﻪ ﻣﯽ ﺷﻮﻧﺪ. ﺑﻪ ﻋﻨﻮانﻣﺜﺎل ﺗﻤﺎﻣﯽ رﻣﺰﻋﺒﻮرﻫﺎﯾﯽ ﮐﻪ از 1 ﺗﺎ 10ﺣﺮف ﻣﯽ ﺑﺎﺷﻨﺪ و ﻓﻘﻂ ﺷﺎﻣﻞ اﻋﺪاد ﻫﺴﺘﻨﺪ. اﯾﻦ روش در ﺳﺎﯾﺘﻬﺎﯾﯽ ﭼﻮن http://www.123greetings.com و http://www.register.com ﺑﺎ ﻣﻮﻓﻘﯿﺖ اﻧﺠﺎم ﺷﺪه اﺳﺖ.
امنیت در اراﺋﻪ :
ﻋﻮاﻣﻠﯽ ﮐﻪ در ﻣﻔﻬﻮم اراﺋﻪ ﻧﻘﺶ دارﻧﺪ، ﻋﻤﺪﺗﺎ ﺑﺴﺘﺮﻫﺎﯾﯽ ﻫﺴﺘﻨﺪ ﮐﻪ ﻋﻮاﻣﻞ ﻣﻔﻬﻮم ﺗﻮﻟﯿﺪ ﺑﻪ ﻣﻨﻈﻮر ﻓﻌﺎﻟﯿﺖ ﺑﺮ روي آن ﺳﻮار ﻣﯽﺷﻮﻧﺪ. ﺳﯿﺴﺘﻢ ﻋﺎﻣﻞ، ﺳﺮوﯾﺲ دﻫﻨﺪه وب، ﺳﺮوﯾﺲ دﻫﻨﺪه ﺑﺎﻧﮏ اﻃﻼﻋﺎﺗﯽ، ﺳﺨﺖ اﻓﺰارﻫﺎي ﻣﻮرد اﺳﺘﻔﺎده و... از ﺟﻤﻠﻪ ﻋﻮاﻣﻠﯽ ﻫﺴﺘﻨﺪ ﮐﻪ ﻣﯽ ﺗﻮاﻧﯿﻢ در اﯾﻦ ﻣﻔﻬﻮم ﻧﺎم ﺑﺒﺮﯾﻢ. ﺑﯿﺸﺘﺮ ﺗﻬﺪﯾﺪﻫﺎﯾﯽ ﮐﻪ ﻋﻮاﻣﻞ اراﺋﻪ را در ﻣﻌﺮض ﺧﻄﺮ ﻗﺮار ﻣﯽدﻫﺪ ﻣﺮﺑﻮط ﺑﻪ ﺿﻌﻒ ﺗﮑﻨﻮﻟﻮژي ﻣﯽ ﺑﺎﺷﺪ و ﻣﻮارد دﯾﮕﺮ در ﺟﺎﯾﮕﺎهﻫﺎي ﺑﻌﺪي ﻗﺮار ﻣﯽ ﮔﯿﺮﻧﺪ. از ﺟﻤﻠﻪ ﺗﻬﺪﯾﺪﻫﺎي اﯾﻦ دﺳﺘﻪ از ﻋﻮاﻣﻞ ﻣﯽ ﺗﻮان ﭼﻨﺪ ﻧﻤﻮﻧﻪ زﯾﺮ را ﻧﺎم ﺑﺮد :
ﮐﺪﻫﺎي ﻣﺨﺮب (…,Worm, Virus) : اﯾﻦ دﺳﺘﻪ از ﺗﻬﺪﯾﺪﻫﺎ ﮐﻪ ﻣﯽ ﺗﻮاﻧﻨﺪ ﺑﺎﻋﺚ از ﮐﺎر اﻓﺘﺎدن ﺳﯿﺴﺘﻢ ﺷﻮﻧﺪ، از اﯾﻦ ﺟﻬﺖ ﮐﻪ در روﻧﺪ ﻋﺎدي ﺳﺮوﯾﺲ دﻫﯽ اﯾﺠﺎد اﺧﺘﻼل می کنند و در ﻧﺘﯿﺠﻪ دﺳﺘﺮس ﭘﺬﯾﺮي را مختل می کنند، ﺑﻪﻋﻨﻮان ﯾﮑﯽ از ﻣﻬﻤﺘﺮﯾﻦ ﺗﻬﺪﯾﺪﻫﺎي ﺳﯿﺴﺘﻢ ﻋﺎﻣﻞ ﺑﻪ ﺣﺴﺎب ﻣﯽ آﯾﻨﺪ.
DOS (denial of service): اﯾﻦ دﺳﺘﻪ از ﺣﻤﻼت، ﺗﻨﻬﺎ ﻫﺪﻓﺸﺎن از ﮐﺎر اﻧﺪاﺧﺘﻦ ﺳﺮوﯾﺲ دﻫﻨﺪه ﻣﯽ ﺑﺎﺷﺪ ﮐﻪ ﻣﯽ ﺗﻮاﻧﺪ ﻫﻢ ﺑﻪ ﻋﻠﺖ وﺟﻮد ﯾﮏ ﺿﻌﻒ در ﺳﯿﺴﺘﻢ ﺑﺎﺷﺪ و هم ﺑﻪ ﻋﻠﺖ ﺣﺠﻢ ﺑﺎﻻﯾﯽ از ﺗﻘﺎﺿﺎ ﮐﻪ ﻣﯽ ﺗﻮاﻧﺪ ﻣﻨﺠﺮ ﺑﻪ ﭘﺮ ﺷﺪن ﻇﺮﻓﯿﺖ ﻣﻨﺎﺑﻊ ﺳﯿﺴﺘﻤﯽ از ﻗﺒﯿﻞﺣﺎﻓﻈﻪ، ﭘﺮدازﺷﮕﺮ و ﯾﺎ ﭘﻬﻨﺎي ﺑﺎﻧﺪ ﺷﻮد.در حال حاضر بسیاری از سایت های بزرگ توانایی مقابله با این مخرب امنیتی را ندارند. ﺑﻪ ﻋﻨﻮان ﻣﺜﺎﻟﯽ ﺑﺮاي اﯾﻦ دﺳﺘﻪ از ﺣﻤﻼت اﯾﻨﺘﺮﻧﺘﯽ در زﻣﯿﻨﻪ ﺗﺠﺎرت اﻟﮑﺘﺮوﻧﯿﮏ ﻣﯽ ﺗﻮان ﺑﻪ از ﮐﺎر اﻓﺘﺎدن ﺳﺮوﯾﺲ دﻫﯽ دو ﺷﺮﮐﺖAuthorize-itو2 CheckOut- اشاره کرد.
آﺳﯿﺐ ﭘﺬﯾﺮي ﺳﺮوﯾﺲ دﻫﻨﺪه: از ﺟﻤﻠﻪ ﺑﺰرﮔﺘﺮﯾﻦ ﻣﻌﻀﻼت ﺗﮑﻨﻮﻟﻮژي، وﺟﻮد ﺿﻌﻒ ﻫﺎي اﻣﻨﯿﺘﯽ ﻣﯽ ﺑﺎﺷﺪ. آﺳﯿﺐ ﭘﺬﯾﺮي از ﻃﺮﯾﻖ اﯾﻦ ﺿﻌﻔﻬﺎ از ﭼﻨﺪ ﺟﻬﺖ ﻗﺎﺑﻞ ﺑﺮرﺳﯽ ﻣﯽ ﺑﺎﺷﺪ: ﯾﮑﯽ از اﯾﻦ ﺟﻬﺖ ﮐﻪ ﻣﻌﻤﻮﻻً اﯾﻦ ﺿﻌﻔﻬﺎ، اول ﺗﻮﺳﻂ ﺗﯿﻢ ﻫﺎي ﻫﮑﺮي ﮐﺸﻒ ﻣﯽ ﺷﻮﻧﺪ و در ﺟﻬﺖ ﮐﺎرﻫﺎي ﺧﺮاﺑﮑﺎراﻧﻪ ﻣﻮرد اﺳﺘﻔﺎده ﻗﺮار ﻣﯽ ﮔﯿﺮﻧﺪ و ﺗﺎ زﻣﺎﻧﯽ ﮐﻪ ﺑﻮﺟﻮد آورﻧﺪه آن ﺗﮑﻨﻮﻟﻮژي ﯾﺎ ﺳﺮوﯾﺲ دﻫﻨﺪه ﺑﺴﺘﻪ اي در ﺟﻬﺖ رﻓﻊ آن ﺿﻌﻒ اراﺋﻪ ﻧﺪﻫﺪ، اﯾﻦ ﺧﻄﺮ ﻫﻤﻮاره ﺗﻤﺎﻣﯽ اﺳﺘﻔﺎده ﮐﻨﻨﺪﮔﺎن را ﻣﻮرد ﺗﻬﺪﯾﺪ ﻗﺮار ﻣﯽ دﻫﺪ. دوم اﯾﻨﮑﻪ در ﺑﺮﺧﯽ از ﻣﻮارد ﻋﻠﯿﺮﻏﻢ اﻧﺘﺸﺎر ﺑﺴﺘﻪ ﻫﺎي اﻣﻨﯿﺘﯽ ﻣﻤﮑﻦ اﺳﺖ ﮐﻪ ﯾﮑﺴﺮي از اﺳﺘﻔﺎده ﮐﻨﻨﺪﮔﺎن آﻧﻬﺎ راﯾﺎ ﺑﻌﻠﺖ ﺳﻬﻞاﻧﮕﺎري و ﯾﺎ ﺑﻪ ﻋﻠﺖ ﻋﺪم آﮔﺎﻫﯽ در ﺳﺮوﯾﺲ دﻫﻨﺪه و ﯾﺎ ﺳﯿﺴﺘﻢ ﻋﺎﻣﻞ اﻋﻤﺎل ﻧﮑﻨﻨﺪ و ﻫﻤﻮاره در ﻣﻌﺮض ﺧﻄﺮ ﺑﺎﻗﯽ ﺑﻤﺎﻧﻨﺪ. ﺑﻪ ﻋﻨﻮان ﻣﺜﺎﻟﯽ ﺑﺮاي اﯾﻦ ﺗﻬﺪﯾﺪ، ﻣﯽ ﺗﻮان ﺑﻪ آﺳﯿﺐ ﭘﺬﯾﺮي اﻣﻨﯿﺘﯽ IBM e-commerce Servers اﺷﺎره ﮐﺮد. ﺗﻤﺎﻣﯽ ﻣﺤﺼﻮﻻت زﯾﺮ ﮐﻪ در اﯾﻦ ﻣﺠﻤﻮﻋﻪ ﻗﺮار ﻣﯽ ﮔﯿﺮﻧﺪ، داراي آﺳﯿﺐ ﭘﺬﯾﺮي ﺑﻮده اﻧﺪ ﮐﻪ ﺗﻮﺳﻂ آن اﻃﻼﻋﺎت ﻣﻬﻢ ﺳﯿﺴﺘﻢ از ﺟﻤﻠﻪ رﻣﺰ ﻋﺒﻮر ﻣﺪﯾﺮﺳﯿﺴﺘﻢ ﻣﯽ ﺗﻮاﻧﺴﺖ در اﺧﺘﯿﺎر ﻫﮑﺮ ﻗﺮار ﮔﯿﺮد.
امنیت در اﻧﺘﻘﺎل :
در ﺑﺤﺚ اﻧﺘﻘﺎل، ﮐﻪ ﺗﻨﻬﺎ ﺑﺎ ﺑﺴﺘﺮ ارﺗﺒﺎﻃﯽ ﺳﺮوﮐﺎر دارد، از ﺟﻤﻠﻪﻣﻬﻤﺘﺮﯾﻦ ﺧﻄﺮاﺗﯽ ﮐﻪ آن را ﺗﻬﺪﯾﺪ ﻣﯽ ﮐﻨﺪ، ﺷﻨﻮد اﻃﻼﻋﺎت ﻣﻬﻢ ﺗﻮﺳﻂ ﯾﮏ ﻓﺮد ﻏﯿﺮ ﻣﺠﺎز ﻣﯽ ﺑﺎﺷﺪ. ﺣﺎل اﯾﻦ ﺷﻨﻮد ﻣﯽ ﺗﻮاﻧﺪ ﻣﻨﺠﺮ ﺑﻪ اﻓﺸﺎء اﻃﻼﻋﺎت ﮐﺎرت اﻋﺘﺒﺎري و ﯾﺎ ﺷﻨﺎﺳﻪ ﮐﺎرﺑﺮي ﺷﻮد و ﯾﺎ ﻣﯽﺗﻮاﻧﺪ از ﻃﺮﯾﻖ ﺷﻨﻮد ﺷﻨﺎﺳﻪ ﻧﺸﺴﺖ، ﻫﮑﺮ ﺑﺘﻮاﻧﺪ ﮐﻨﺘﺮل ارﺗﺒﺎط را ﺑدﺳﺖ ﮔﯿﺮد و ﺑﺎ ﺟﻌﻞ ﻫﻮﯾﺖ ﺧﻮد ﺷﺮوع ﺑﻪ ﮐﺎر ﮐﻨﺪ. از ﺟﻤﻠﻪ اﺻﻄﻼﺣﺎﺗﯽ ﮐﻪ در ﺧﺼﻮص اﯾﻦ ﺗﻬﺪﯾﺪﻫﺎ وﺟﻮد دارد، ﻣﯽ ﺗﻮان ﺑﻪ Eavesdropping، Session Hijackingو Reply Attackاﺷﺎره ﻧﻤﻮد.ﺑﺤﺚ ﺷﻨﻮد ارﺗﺒﺎط، در ﺗﻤﺎﻣﯽ آﻧﻬﺎ ﻣﺸﺘﺮك اﺳﺖ و ﺗﻨﻬﺎ ﺗﻔﺎوت در ﺑﺮﺧﻮرد ﺑﺎ اﯾﻦ ﺷﻨﻮد اﺳﺖ ﺑﻪ ﻋﻨﻮان ﻣﺜﺎل در Man-in-themiddleﻫﮑﺮ دﻗﯿﻘﺎ در ﺑﯿﻦ راه ﻗﺮار ﻣﯽ ﮔﯿﺮد و ﺗﻤﺎﻣﯽ اﻃﻼﻋﺎت ﺑﯿﻦ ﮐﺎرﺑﺮ و ﺳﺮوﯾﺲ دﻫﻨﺪه را ﻫﻤﺎﻧﻨﺪ ﯾﮏ ﭘﺮوﮐﺴﯽ در اﺧﺘﯿﺎر ﻣﯽﮔﯿﺮد. ﺑﻪ ﻃﻮرﯾﮑﻪ از دﯾﺪ ﮐﺎرﺑﺮ ﺳﯿﺴﺘﻢ ﻫﮑﺮ، ﺳﺮوﯾﺲ دﻫﻨﺪه ﺑﻪ ﺣﺴﺎب ﻣﯽ آﯾﺪ و از دﯾﺪ ﺳﺮوﯾﺲ دﻫﻨﺪه،ﻫﮑﺮ ﯾﮏ ﮐﺎرﺑﺮ ﻣﺠﺎز ﻣﯽﺑﺎﺷﺪ. اﻣﺎ در ﺣﻤﻠﻪ Reply ﻫﮑﺮ اﺑﺘﺪا اﻃﻼﻋﺎت ﻣﺮﺑﻮط ﺑﻪ ﻧﺸﺴﺖ را ﺑﻪ دﺳﺖ ﻣﯽ آورد و ﺳﭙﺲ ﺑﺎ ﻗﻄﻊ ارﺗﺒﺎط ﮐﺎرﺑﺮ ﺑﺎ ﺳﺮوﯾﺲ دﻫﻨﺪهو ﻓﺮﺳﺘﺎدن ﻣﺠﺪد اﻃﻼﻋﺎت ﻧﺸﺴﺖ(اﻟﺒﺘﻪ ﺑﺎ اﻋﻤﺎل ﺗﻐﯿﯿﺮاﺗﯽ در آن)اداﻣﻪ ارﺗﺒﺎط را ﺑﻪ دﺳﺖ ﻣﯽ ﮔﯿﺮد.
امنیت در درﯾﺎﻓﺖ :
در ﻣﻔﻬﻮم درﯾﺎﻓﺖ، ﺑﻪ ﻃﻮر ﮐﻠﯽ ﺑﺎ ﮐﺎرﺑﺮان ﺳﯿﺴﺘﻢ در ارﺗﺒﺎط ﻫﺴﺘﯿﻢ.اﻣﺎ در اینجا نیز همچون نواحی پیشین، خطرات و معضلاتی وﺟﻮد دارد :
اﻧﮑﺎر ﺳﻔﺎرش: اﯾﻦ ﺗﻬﺪﯾﺪ ﺷﺎﯾﺪ در دﻧﯿﺎي ﺗﺠﺎرت اﻟﮑﺘﺮوﻧﯿﮏ ﭘﯿﺸﺮﻓﺘﻪ اﻣﺮوز اﻧﺪﮐﯽ ﺑﯽ ﻣﻌﻨﺎ ﺑﺎﺷﺪ. اﻣﺎ در اﯾﺮان در ﺑﺮﺧﯽ از ﺳﯿﺴﺘﻢ ﻫﺎ ﮐﻪ ﺳﻔﺎرش ﺑﻪ ﺻﻮرت اﯾﻨﺘﺮﻧﺘﯽ اﻧﺠﺎم ﻣﯽ ﮔﯿﺮد و درﯾﺎﻓﺖ ﻫﺰﯾﻨﻪ ﻫﻤﺰﻣﺎن ﺑﺎ ﺗﺤﻮﯾﻞ ﮐﺎﻻ در ﻣﺤﻞ ﻣﺸﺘﺮي اﻧﺠﺎم ﻣﯽ ﭘﺬﯾﺮد، ﻣﯽ ﺗﻮاﻧﺪ ﺗﻬﺪﯾﺪي ﺟﺪي ﺑﻪ ﺣﺴﺎب آﯾﺪ، ﭼﺮا ﮐﻪ ﻫﯿﭻ ﺳﯿﺴﺘﻤﯽ ﺑﻪ ﻃﻮر ﭘﯿﺶ ﻓﺮض ﺑﻪ ﻣﻨﻈﻮر اﺛﺒﺎت اﯾﻦ ﻣﻮﺿﻮع ﮐﻪ ﭼﻪ ﺷﺨﺼﯽ ﺳﻔﺎرش دﻫﻨﺪه ﺑﻮده است وﺟﻮد ﻧﺪارد.
اﻧﮑﺎر درﯾﺎﻓﺖ ﮐﺎﻻ: اﯾﻦ ﺗﻬﺪﯾﺪ ﺑﻪ ﻃﻮر ﻋﻤﺪه اي ﻣﯽ ﺗﻮاﻧﺪ در ﻧﻘﻞ و اﻧﺘﻘﺎﻻت اﯾﻨﺘﺮﻧﺘﯽ وﺟﻮد داﺷﺘﻪ ﺑﺎﺷﺪ ﺑﻪ ﻃﻮرﯾﮑﻪ درﯾﺎﻓﺖ ﮐﻨﻨﺪه ﻫﻤﻮاره اﻧﮑﺎر ﮐﻨﻨﺪه درﯾﺎﻓﺖ ﺳﺮوﯾﺲ و ﯾﺎ ﮐﺎﻻ ﻣﯽ ﺑﺎﺷﺪ.
ﮐﻼه ﺑﺮداري: ﮐﻼه ﺑﺮداري ﻫﺎي اﯾﻨﺘﺮﻧﺘﯽ ﺣﺎﻟﺘﻬﺎي ﺑﺴﯿﺎر زﯾﺎدي دارﻧﺪ، اﻣﺎ آن دﺳﺘﻪ ﮐﻪ در ارﺗﺒﺎط ﺑﺎ ﺗﺠﺎرت اﻟﮑﺘﺮوﻧﯿﮏ ﻣﯽ ﺑﺎﺷﺪ، ﺷﺎﻣﻞ ﻓﺮﯾﺐ دادن ﮐﺎرﺑﺮان و درﯾﺎﻓﺖ اﻃﻼﻋﺎت ﮐﺎرت اﻋﺘﺒﺎري آﻧﻬﺎ و ﯾﺎ درﯾﺎﻓﺖ ﻫﺰﯾﻨﻪ اي ﺑﯿﺸﺘﺮ از ﻗﯿﻤﺖ ﮐﺎﻻ ﯾﺎ ﺳﺮوﯾﺲ ﻣﯽ ﺑﺎﺷﺪ.
ﻣﻬﻨﺪﺳﯽ اﺟﺘﻤﺎﻋﯽ:
ﻣﻬﻨﺪﺳﯽ اﺟﺘﻤﺎﻋﯽ در واﻗﻊ ﻫﮏ ﺷﺪن ذات ﺑﺸﺮ ﻣﯽ ﺑﺎﺷﺪ. ﺑﻪ اﯾﻦ ﻣﻨﻈﻮر ﮐﻪ ﺑﺎ اﺳﺘﻘﺎده از ﺗﺮﻓﻨﺪﻫﺎﯾﯽ ﺧﺎص در ارﺗﺒﺎﻃﺎت ﺑﺸﺮي، ﻫﮑﺮﻣﯽ ﺗﻮاﻧﺪ ﺑﻪ اﻃﻼﻋﺎت ﻣﻄﻠﻮب ﺧﻮد دﺳﺖ ﯾﺎﺑﺪ و ﯾﺎ ﺑﻪ ﻧﻮﻋﯽ آﻧﻬﺎ راﻣﺘﻘﺎﻋﺪ ﺑﻪ اﻧﺠﺎم ﮐﺎري ﺑﮑﻨﺪ.