اهمیت امنیت برای ما

اهمیت امنیت در بپرسیم

یکی از مباحث مهم دنیای وب از ابتدا تاکنون مساله‌ی امنیت بوده‌است. در این مورد همیشه ضعف های بسیاری وجود داشته‌است. به دلیل ضعفی که در این حوزه وجود داشته‌است، نرم‌افزارها و سایت‌های ایرانی اغلب دارای امنیت ضعیفی هستند. ما با در نظرگرفتن این قضیه تمام تلاش خود را کرده‌ایم تا با اتکا بر دانش و تجربه افراد تیم فنی خود و مشورت با افراد متخصص در زمینه‌ی امنیت، امن‌ترین وب‌سایت و اپلیکیشن را طراحی کنیم.

در‌ واقع تصمیم برای نوشتن این مقاله بعد از دیدن وضعیت امنیت ضعیف سایت‌های مشابه گرفته‌شد تا کاربران را بیشتر با زیرساخت امنیتی بپرسیم آشنا کنیم که نگرانی‌های کاربران خود را برطرف کنیم و امنیت بالای بپرسیم را نشان دهیم.

پروتوکل SSL

لایه امنیتی اول بپرسیم گواهینامه‌ی SSL است که گواهینامه آن توسط شرکت GeoTrust مدت‌ها قبل از شروع به کار رسمی ما صادر شده است، شما می‌توانید بررسی وضعیت سطح امنیت پروتوکل SSL بپرسیم را در وبسایت SSL Labs مشاهده کنید.

beporsim-ssl-testنتیجه این بررسی وضعیت نفوذپذیری و امنیت پروتوکل SSL بپرسیم باعث رتبه A شد، و کم بودن نمره نسبت به رتبه A+ از بابت عدم پشتیبانی از IE6، ویندوز ایکس‌پی، اندروید ۲.۳.۷ و Java 6u45 است که به خاطر قدیمی بودن آنها پشتیبانی انجام نمی‌شود. البته باید اذعان داشت که همین رتبه نیز در بین بسیاری از وبسایت های ایرانی که در جایگاه حساس‌تری مانند تراکنش‌های مالی دارند وضعیت بسیار بهتری است.

اجبار به استفاده SSL:

متاسفانه به دلیل محدود بودن کاربران ما به افراد داخل کشور و عدم ثبات وضعیت اینترنت کشور، پیش فرض ما در استفاده اجباری از SSL در چند حالت قرار دارد:

  • در وبسایت: صفحاتی که کاربر با محتوای خصوصی نظیر پنل کاربری، ثبت نام و ورود نیازمند استفاده از HTTPS است.
  • در موبایل: با تست اولیه وضعیت سرعت اینترنت و دسترسی پذیری، پیش فرض استفاده یا عدم استفاده آن به صورت خودکار مشخص می‌شود اما کاربر هر زمان که خواست می‌تواند وضعیت استفاده را تغییر دهد.

رمزنگاری اطلاعات

در جابجایی اطلاعات از اپلیکیشن تلفن همراه به سرور، فقط به استفاده از SSL بسنده نکردیم و اطلاعات حساس نظیر رمز عبور و سشن‌های شناسایی با الگوریتم‌های بروز رمزگذاری می شوند، به این صورت که بدون SSL یا با هر گونه اختلال و دستکاری اینترنت اطلاعات هویتی شما هیچ گاه لو نخواهد رفت.

جمع آوری اطلاعات منحصر به فرد

به طور طبیعی در اپلیکیشن‌ها یا سایت‌های مختلف می‌توان به اطلاعات زیادی از کاربر نظیر نوع دستگاه، شماره شناسایی آن، IMEI، مک آدرس یا اطلاعات منحصر به فرد دیگری را دسترسی داشت و از آن برای مقاصد خاص استفاده کرد. اما در بپرسیم هیچ گونه داده‌ای به جز مدل دستگاه استفاده شده و کوکی استفاده نشده، که اولی برای تمایز بین کاربران، تطابق دستگاه هر کاربر و اطلاعات آماری برای توسعه بهتر اپلیکیشن استفاده می‌شود و از کوکی نیز برای اطلاعات آماری بازدید از صفحات استفاده شده است. در صفحه سیاست‌های بپرسیم بیشتر به این مسئله پرداختیم و اطلاعاتی که از کاربر دریافت می‌کنیم را به طور کامل توضیح داده ایم.

امنیت نگهداری اطلاعات

پردازش، ذخیره سازی و نگهداری اطلاعات دریافت شده از سوی کاربران در یکی از امن ترین سرورهای دنیا انجام می شود، نگهداری از این اطلاعات به صورت تفکیکی است که به راحتی هویت مالکان آن مشخص نشود، علاوه بر آن اطلاعات حساس کاربران نیز رمزگذاری می شود تا جلوی لو رفتن اطلاعات را بگیرد.

پرمیشن‌های حساس

beporsim-app-permissionsاز دغدغه‌های اساسی این روزها دسترسی‌‌هایی است که اپلیکیشن های مختلف می‌گیرند و بدون آنکه کاربران توجهی به آن داشته باشند اقدام به جمع آوری اطلاعات مختلفی از کاربران می‌کنند. هرچند با درج این موارد در توافقنامه استفاده یا شرایط حریم خصوصی نمی‌توان تقصیر را گردن سازندگان انداخت ولی از نظر اخلاقی دسترسی‌های اضافی نظیر فایل و موقعیت جغرافیایی کاربر بسیار حساس بوده و هر فردی را نگران می‌کند که با این اطلاعات اضافی که از کاربران کرفته می شود چه اتفاقی رخ می‌دهد.

مسئله ای که از بدو شروع بپرسیم یکی از دغدغه های اساسی ما بوده، عدم استفاده از پرمیشن های حساس نظیر فایل یا موقعیت جغرافیایی کاربر بوده است، چرا که با این کار، علاوه بر القای احساس بی‌اعتمادی، احتمال سرقت اطلاعات یا استفاده بی رویه از اطلاعات مرتبط با حریم خصوصی کاربر می‌رود و به همین خاطراین وضعیت تا جایی پیش رفت که برای آپلود آواتار از اپلیکیشن گوگل فوتوز استفاده کردیم تا پرمیشن اضافی نداشته باشیم و پایبند به مسائل امنیتی‌ای باشیم که دغدغه‌ی اساسی خود ما است.

پرمیشن هایی که اپلیکیشن بپرسیم دریافت می‌کند شامل چند مورد قلیل است که هر یک را توضیح می‌دهم:

  • دسترسی به اینترنت: بنیادی‌ترین دسترسی اپلیکیشن به منظور ارسال و دریافت اطلاعات
  • بررسی وضعیت اتصالات: برای بررسی وضعیت اینترنت و تشخیص حالت آنلاین و آفلاین
  • اجرا در شروع کار: برای دریافت نتیفیکیشن
  • کنترل ویبره و جلوگیری از خواب گوشی: برای دریافت نتیفیکیشن
  • یافتن اکانت: برای نوشتن پیش‌فرض ایمیل کاربر هنگام ثبت نام یا ورود

سایر ابعاد

امنیت فقط به این موارد خلاصه نمی‌شود و هیچگاه نتوانستیم اعلام کنیم که امنیت بالایی را ایجاد کردیم، چرا که می‌دانیم هیچ گاه تضمین امنیت ۱۰۰٪ را نمی‌توان داد اما در تلاشیم تا در هر بروزرسانی بیشتر به سطح امنیت مورد قبولی برسیم. ما همیشه اعتقاد داریم که باید در شفاف‌ترین وضعیت ممکن کار کرد چرا که هیچ چیزی بیش از اعتماد کاربران برای ما اهمیت ندارد.

اگر پیشنهادی دارید یا به مشکلی در سیستم برخورد کردید، خوشحال می شویم که آن را با ما به اشتراک بگذارید.

Share

موسس و مدیر بپرسیم

نظرات

  1. از تیم حرفه ای بپرسیم تشکر میکنم و امیدوارم هر روز موفقتر از قبل باشید.

  2. سلام. مرسی بخاطر مطالب خوبی که تو پست هاتون میزارید. دمتون گرم. موفق و پبروز باشید.

  3. […] حفظ شود. پاسخ ها در پایگاه داده ما به صورت ابری و در امن ترین حالت ممکن ذخیره می شود؛ در ابعاد فنی تحت هیچ شرایطی پاسخ ها مشخص […]

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *