یک توسعهدهنده در DEV Community در مورد امنیت پایهای برای سرویسهای خودمیزبان در سال ۲۰۲۶ سوال کرده است. این سوال شامل بررسی یک تنظیمات سطح بالا برای یک پروژه کوچک و تفریحی است که بر روی یک سرور خودمیزبان اجرا میشود. هدف، تعیین اینکه آیا این تنظیمات، یک خط مبنای امنیتی معقول در سال ۲۰۲۶ محسوب میشود یا خیر است.
تنظیمات پیشنهادی شامل یک هاست لینوکسی، سرویسهای کانتینری شده با Docker، فقط پورتهای 80 و 443 برای دسترسی عمومی، یک پروکسی معکوس برای خاتمه دادن به TLS (اجرای اجباری HTTPS)، ASP.NET (.NET 10) با Identity و OAuth داخلی، EF Core/ORM (بدون SQL خام)، رمزگذاری خودکار و عدم رندر کردن HTML از طرف کاربر، هدرهای امنیتی پایه (CSP، HSTS، nosniff، referrer، permissions)، فایروال هاست فعال (رد کردن پیشفرض ورودیها)، بهروزرسانیهای امنیتی منظم (OS و rebuild کانتینرها، بهروزرسانیهای خودکار)، سیاستهای محدود کردن نرخ و غیره است.
نویسنده به دنبال بازخورد در مورد اینکه آیا این تنظیمات به عنوان یک خط مبنای معقول برای یک برنامه تفریحی در نظر گرفته میشود یا خیر. همچنین، سوال کرده است که آیا نقاط کور معمول و رایجی وجود دارد که معمولاً در این مرحله (عملیاتی، نگهداری یا فرآیندی) نادیده گرفته میشوند. این تنظیمات به گونهای طراحی شدهاند که در سطح سازمانی نباشند، بلکه برای یک برنامه تفریحی معقول باشند.
این موضوع برای توسعهدهندگان .NET که به دنبال ایجاد برنامههای خودمیزبان هستند، اهمیت دارد. با در نظر گرفتن این نکات و بررسی مداوم امنیت، میتوان یک محیط امنتر برای برنامههای خود ایجاد کرد. استفاده از .NET 10 و ASP.NET Core با ویژگیهای امنیتی داخلی، همراه با رعایت اصول امنیتی پایه، میتواند به کاهش خطرات امنیتی کمک کند.
مشاهده مطلب اصلی