RedMan blog

إن أكثر الثغرات شيوعاً في تطبيقات الـ AJAX هي بناء واجهات برمجية للتطبيقات (API) غير أمنة، أكبر الأجزاء في تطبيقات الويب كالصفحات البرمجية أياً كان نوعها و إن حوت على الـ JavaScript فإنها تمتلك بحد ذاتها إمكانيات عالية من حيث الصلاحيات و التراخيص إلى حد ما، و مع ذلك يكمن الخطر في استدعاء واجهات التطبيقات البرمجية دون أي مصادقة و نظام أذونات للوصول، و هذا يعني أن الواجهات البرمجية للتطبيقات قد لا تعير اي اهتمام لقيمة الكعكات Cookies التي تدل على العميل و لا حتى إلى معرف الجلسات المخزنة .

الكعكات  Cookie :
هي كتلة من المعطيات التي يخزنها مخدم الويب على نظام الزبون. عندما يعود المستخدم إلى ذات الموقع، يعيد المتصفح إرسال نسخة من الكتلة إلى المخدم، تستخدم الكعكات لتعيين هوية المستخدمين، وللإيعاز إلى المخدم بأن يرسل إصداراً مخصصاً من صفحة الويب المطلوبة، و لتقديم معلومات عن حساب المستخدم، و لأسباب أخرى تتعلق بقوامة و حماية النظام .

لنتخيل معاً تطبيقاً بنكياً يستخدم صفحة برمجية صغيرة لعرض ملخص عن جميع حساباتك البنكية و عملياتك المالية فيها من سحب و إيداع و تحويل، عند الضغط على أشارة ” + ” بجانب كل حساب يتم استدعاء الـJavaScript  التي تطلب من واجهة التطبيق البرمجية (API) لجلب أخر عمليات مالية على الحساب البنكي و عرضها ضمن مربع يتوسع لذلك، من الثغرات و الأخطاء الشائعة في مثل هذه التطبيقات هو عدم تحقق واجهة التطبيق البرمجية (API) من الجهة (المستعرض) الذي قامت بطلب البيانات، هذا هو بيت القصيد الواجهة البرمجية قامت بقبول رقم الحساب و قامت بإرجاع أخر خمس عمليات مالية عليه من دون التحقق من أن المستعرض لديه الأذن بطلب هذه العمليات المالية لهذا الحساب، مثل هذه الثغرات و الأخطاء و إن كانت واضحة  فهي للأسف شائعة جداً .

المزيد…

من أجل تحقيق الفائدة القصوى للاختبارات الأمنية لتطبيقات الـ AJAX هنالك بعض الامور الاساسية المهمة عن الـ AJAX يجب معرفتها و الإحاطة بها و بالتالي نحقق الوصول الى اختبارات قوية و مهيكلة بشكل صحيح تؤمن بعض النصائح و الأفكار حول كل ما هو مريب و يدعو إلى القلق من الناحية الأمنية .

في البداية … في تطبيقات الـ AJAX هنالك قسمين اساسين يتم العمل بينهما بشكل متناغم، بينما في تطبيقات الـ Web 1.0 هنالك طرف واحد يعمل على ذلك و لم يكن هنالك داع للقلق تجاه الشيفرة البرمجية التي تنفذ في طرف المستخدم حيث ان الشيفرة في ذلك الطرف لا تمتلك اي مخاطر امنية عند تطبيقها في مستعرض الإنترنت، عند اجراء الإختبارات الأمنية كان التركيز الأهم في الإختبارات الأمنية متجهاً نحو المخدم و وظائفه و ما يتم تنفيذه عليه، أما في تطبيقات الـ AJAX هنالك شيفرة برمجية خطرة تعمل في طرف المستخدم يجب الانتباه إليها .

الحقيقة الثانية التي يجب الانتباه إليها أن تطبيقات الـ AJAX تتطلب العديد من الواجهات البرمجية للتطبيقات (API) على المخدم، و ذلك حتى يصل تحميل صفحة الويب إلى الاكتمال الوظيفي و البنيوي، هذه الواجهات البرمجية للتطبيقات (API) تستجيب لطلبات البيانات عبر الـ XML أو الـ JSON التي قامت بطلبها و إرسالها الـ JavaScript من خلال متصفح الويب.
المزيد…

AJAX هي اختصار للكلمات (Asynchronous JavaScript and XML) أي JavaScript و XML غير التزامني. و هي تمثل اساس التقنيات لما يسمى “Web 2.0″ و الفرق بين Web 2.0 و Web 1.0 يكون واضحاً عند مشاهدة التفاعل بين تطبيقات الويب و المستخدم. تطبيقات Web 1.0 تطبيقات بسيطة جداً. إذا نظرت الى تطبيقات Web 1.0 ستشاهد بعض الكتل و الروابط التشعبية و النماذج، تضغط على الروابط لتملئ من ثم النماذج ببعض المعلومات و من ثم تضغط على زر الإرسال، و بذلك ترسل المعلومات التي قمت بإدخالها و من ثم تتلقى الاستجابة و النتيجة.  تطبيقات Web 2.0 هي أكثر تفاعلية لست بحاجة لإعادة تحديث الصفحة او تحميل صفحة جديدة لإنك نقرت على زر ما، بدلاً من ذلك يمكنك طلب طلبات صغيرة و مستقلة و غير متزامنة من المخدم ليتم تحديث جزء من الصفحة دون اعادة تحميلها كاملة. الـ JavaScript تعمل داخل صفحات التطبيق و يمكنها ان تحدد – لإي سبب من الأسباب – انك بحاجة الى بيانات معينة فتطلبها و تعيدها إليك دون ان تنقر نقرة واحدة .

من أكثر الأمثلة شيوعاً في التطبيقات التي تعتمد على الـ AJAX هي مؤشر اسعار سوق الأسهم حيث أنه كل 30 ثانية مثلاً ومن دون ان تقوم بالنقر في اي مكان يتم تحديث جزء الصفحة الخاص بأسعار الاسهم تلقائياً. و في مثال أخر أجندة المواعيد التي تظهر الموعيد استجابة لحركة مؤشر الفأرة فوق تاريخ اليوم بدلاً من النقر عليه، الـJavaScript  تقوم بطلب البيانات التي يحتاجها المستخدم ( جدول المواعيد لذلك اليوم مثلاً ) من المخدم و تقوم باستقبالها و عرضها في نافذة منبثقة صغيرة لا تلبث ان تختفي حين تبتعد الفأرة عن تاريخ ذلك اليوم و هكذا. إن إطلاق معنى عدم التزامن (Asynchronous) غير دقيق في هذا المثال، و لكن من جهة اخرى فأن هذا السلوك لم يقم على طلب صريح (نقرة) من المستخدم و هذا هو معنى كلمة (Asynchronous) ضمن الاختصار AJAX .

خلال اليومين الماضيين كنت احضر لامتحان في الإدارة و القيادة و كان من اشد الامور امتاعاً ان اقتبس بعض التوجيات او التلميحات و النصائح الإدارية مع بعض التعليقات و انشرها اولاً باول في صفحة حسابي على تويتر، بعد انتهاء الامتحان و حصولي على درجة جيدة و لله الحمد قررت جمع هذه التلميحات و نشرها مجتمعة، كان في خاطري ان اتكلم حول كل نقطة من النقاط في تدوينة منفصلة و ذلك من واقع خبرتي المتواضعة في الادارة حيث اني اعمل بمنصب مدير في اكثر من موضع و في منصب موظف في مواضع اخرى،  و لكن ذلك سيعطل النشر و لا اعلم متى انتهي من الكتابة لذلك انشرها الآن و من الممكن ان افرد الشرح حول كل نقطة فيما بعد، الآن قد تنظرون الى العبارات على انها عبارات و تعاريف متقطعة في الادارة و القيادة و هي كذلك :

• وجود آليات نقل المعلومات والآراء بين مستويات الموظفين في المؤسسة بشكل مباشر وسريع يساهم في أن تكون العلاقات الإدارية أكثر ديناميكيةً وفاعلية … للأسف العلاقات الادارية في عالمنا العربي تشبه النظام الداخلي في الجيش “ بما ان قوة الجيش في نظامه فقد اقتضى ذلك طاعة المرؤسين التامة “.

• ومما لا شك فيه أن ارتفاع ديناميكية وتجاوب المؤسسة السريع للمتغيرات الداخلية والخارجية يعتبر عاملاً هاماً في نجاح أي مؤسسة .. بس بدك مين يطبق.

• تشير الإحصائيات إلى أن 50% من الشركات التي اعتمدت كلياً على نظام التجارة الإلكترونية قد خرجت من سوق المنافسة ولم تستطع الاستمرار، أنجح الشركات استطاعت المواءمة بين النظام التقليدي مع إضافة التحسينات ليصبح أكثر ديناميكية وكفاءة واستخدمت التجارة الإلكترونية الحديثة.

المزيد…

تحية طيب احدثكم من قاعة مؤتمر عرب نت من فندق الحبتور مباشرة ( يمكنكم متابعة الاحداث المباشرة على تويتر ) الجو هنا رائع و اشخاص رائعين و افكار جميلة و لكن تحتاج الى تطبيق ساترككم مع الصور من المؤتمر : المزيد…

السلام عليكم … منذ فترة طويلة لم أتحدث في مدونتي و السبب كلكم أصبحتم تعرفوه هو الانشغال بالعمل و الأعباء الاجتماعية خصوصاً أني عريس جديد ( متزوج من 3 أشهر و 16 يوم فقط ) .

نعود إلى الموضوع بعد خمسة أيام و في 25 و 26 آذار تحديداً، سيبدأ الحدث الأكبر و الأهم و الأفضل في مجال صناعة الأعمال على شبكة الإنترنت إنه مؤتمر عرب نت لن أتكلم عن فعاليات المؤتمر فقد نشرت سابقاً عن ذلك و لكن اليوم سأتكلم عن أهمية حضور هذا المؤتمر .

هذا المؤتمر سيجمع بين أكثر رواد الأعمال تميزاً على شبكة الإنترنت من العرب و الأجانب على حد سواء، سنلتقي بشخصيات مثل ” أسامة فياض، رئيس d1g.com ونائب الرئيس السابق لـ Yahoo! ” و ” سميح طوقان مبرمج صفقة 164 مليون دولار لبيع مكتوب لياهو ” و سنلتقي أشخاص مهمين أيضاً من ياهو و غوغل و فيسبوك و الكثير الكثير من الشخصيات اللامعة في عالم الأعمال على الإنترنت.

سيرافق المعرض مارثون أفكار و هو برعاية Google و اعتقد انه سيكون بيئة خصبة جداً لتنمية الأفكار حول الأعمال الجديدة و الأفكار الخلاقة للعمل على الإنترنت و سيحوي المؤتمر أيضا على معرض للشركات حديثة العهد لتعرض أعمالها و أفكارها و هذا شيء جميل أيضاً .

لا انسى أيضاً المواضيع المهمة و الحساسة التي سيتطرق لها المؤتمر مثل التجارة الإلكترونية و الإعلان على شبكة الإنترنت و الشبكات الاجتماعية و دور الإعلام الإلكتروني و المحتوى العربي و الهواتف المحمولة و طرق الاتصال الحديثة بالإنترنت.

أنا يهمني جداً حضور المؤتمر لعدة أسباب و أهداف منها… بناء علاقات جديدة و تقوية شبكة علاقاتي العامة بالإضافة إلى المزيد من المعلومات و التجارب حول الشبكات الاجتماعية و التسويق الإلكتروني و الإعلام الجديد و التجارة الإلكترونية …. هنالك موضوع مثير يشغل فكري منذ فترة و هو بناء السمعة و تحسينها بالاعتماد على الإنترنت و الشبكات الاجتماعية و هذا مجال يربط بين الإعلام و العلاقات العامة و الإنترنت و التسويق و هذا ما سأزيد من مهاراتي و معارفي به عند حضور مؤتمر عرب نت .

أنا قررت الحضور و المشاركة و التغطية بصفتي المدون الرسمي (Official Blogger) لمؤتمر عرب نت في سوريا .. ماذا عنك أنت ؟؟!!! إنها فرصة العمر … سجل الآن .

تستضيف بيروت في 25 – 26 آذار/مارس 2010 في فندق الحبتور أكبر تجمع للأعمال في مجال الإنترنت في العالم العربي.

ينظم المؤتمر المجموعة الدولية المتحدة للأعمال (IBAG) بالتعاون مع مصرف لبنان والھيئة الناظمة للإتصالات وبدعم من كل من بادر لبنان، أندفر الأردن، مركز الملكة رانيا للريادة، جمعية رواد الأعمال الشباب في سوريا والاردن و يلا ستارت آب.
يتناول المؤتمر على مدى يومين، ومن خلال ثماني جلسات عمل وأكثر من 40 خبيراً ومحاضراً، مواضيع حيوية لصناعة الأنترنت العربية ومن بينھا: بيئة ريادة الأعمال، تمويل المشاريع الريادية، الإعلام الإجتماعي(الشبكات الإجتماعية)، الإعلان على الإنترنت، التجارة الالكترونية، الألعاب على الإنترنت، المحتوى الرقمي ووسائل الإعلام الجديدة والھاتف النقال وتطبيقاته.

وسيشكل المؤتمر أكبر تجمع للقياديين والفاعلين في حقل الانترنت من كبريات المؤسسات والشركات مثل غوغل، فايس بوك، ياھو، انتل، مكتوب، بيت وغيرھم حيث سيناقشون الاتجاھات الحديثة والفرص الواعدة مع نخبة من الشركات العربية والدولية الفاعلة في ھذا المجال.
للمزيد من المعلومات حول محاور المؤتمر والمحاضرين يمكن زيارة موقع المؤتمر على الإنترنت http://www.arabnet.me/schedule.php و http://www.arabnet.me/speakers.php .

المزيد…

Highly anticipated and finally here is the first international conference for the Arab internet industry: IBAG, International Business Alliance Group, presents ArabNet 2010: Trends and Opportunities in Arab Web Business. The conference will be held in Beirut on March 25-26, 2010 with the support of Endeavor Jordan, the Queen Rania Center for Entrepreneurship, the Syrian Young Entrepreneurs Association and YallaStartup!.

ArabNet is bringing together the internet community to network and help launch the hottest startups from across the region — that means you! Top investors, internet executives and leaders from Google, Yahoo!, Facebook, AdMob and Intel will adress subjects that are critical to the Arab Web Industry including: e-commerce, gaming, mobile, content, online advertising, social networking, new media, and start-up fundraising.

Key to the conference are pitch sessions: Ideathon & Startup Demo.  This is the place to match talent with opportunity.

The Ideathon is looking for 10 select entrepreneurs to introduce their fresh startup ideas to eager investors in a rapid-fire pitch session.  Similarly, the Demo will select startups with innovative products to pitch and exhibit their companies for the duration of the conference.

We are currently accepting applications from entrepreneurs and startups from all over the region with strong ideas and products.

Visit ArabNet.me to learn more and apply.