می خواین بدونین که سایت جدیدتون از جدیدترین کدهای برنامه نویسی استفاده میکرد؟ خبر خوب اینکه طراحان مرورگر اج مایکروسافت موفق به طراحی وسیله جدیدی با نام «سونار» ( sonar ) شدن که میتونه کارکرد و امنیت سایت شما رو به طور دقیق و تخصصی بررسی کنه.

سونار بوسیله گروه اِج مایکروسافت به صورت متن باز پیشرفته و به بنیاد جاوا اسکریپت اعطا شده. مایکروسافت بازم به پیشرفت این پروژه ادامه میده، اما مشارکت های خارجی رو هم می پذیرد. سونار طیف گسترده ای از مسائل از جمله مسائل مربوط به کارآیی، توانایی دسترسی، امنیت، برنامه های وب پیشرفته، و توانایی همکاری رو مورد بررسی قرار می دهد.

سونار ژوئیه امسال اول به عنوان یه پروژه اهدایی به جاوا اسکریپت معرفی شده بود و حال همه آدمایی که هر نوع سایتی از سایتای اینترانت ( Intranet ) گرفته تا فروشگاه های آنلاین رو مدیریت و اداره می کنن، می تونن از این وسیله استفاده کنن. مایکروسافت از برنامه نویسان واسه ارتقا هرچه بیشتر این وسیله دعوت به عمل آورده.

علاقه مندان با ورد به سایت سونار و وارد کردن نشانی وبسایتشان می تونن این وسیله رو به کارگرفته و بوسیله اون کارکرد، امنیت، قابلیتا، دسترسی و مشکلات مربوط به اپلیکیشنای تحت وب رو به طور دقیق بررسی و آزمایش کنن. پس از اینکه بررسیای لازم انجام شد، سونار اول لیست خطاهای یافت شده رو اعلام و دلایل اتفاق افتادن اونا رو به طور کامل میگه و هم اینکه با هایلایت کردن قطعه کدهای اشتباه، راه های ممکن جهت حل اونا رو هم ارائه می کنه.

در مورد امنیت، سونار ۸ نوع آسیب پذیری از جمله مشکلات پیکربندی SSL رو با به کار گیری آزمایش کارگزار SSL مربوط به آزمایشگاه های SSL مورد بررسی قرار می دهد.

آزمایش دیگری به دنبال اتصالات HTTPSه که از سازوکار انتقال اطلاعات با امنیت بالا استفاده نمی کنن، که اطمینان حاصل کنه یه وب گاه فقط می تونه از راه ارتباطات ایمن قابل دسترسی باشه تا از حملات مرد میانی جلوگیری شه.

پیشرفت دهندگان هم اینکه می تونن فهمیده باشن که برنامه ها یا وب گاه هاشون در برابر حملات مبتنی بر شنودMIME  آسیب پذیر هستن یا خیر. شنودMIME  به مرروگرها اجازه می دهد که قالب های پرونده رو شناسایی کنن، حتی اگه نوع رسانه اشتباه باشه. با این که شنود MIME فایده هایی داره، اما هم اینکه خطرات امنیتی رو هم معرفی می کنه که اگه وب گاه از گزینه های نوع محتوای X: عنوان جواب nosniff HTTP استفاده کنه، این خطرات می تونن کم بشن.

سونار هم اینکه بررسی می کنه که سرآیند تنظیم کوکی ویژگی های HttpOnly و ایمن رو معرفی می کنه یا خیر، که با اطمینان از این که کوکی ها نمی تونن در سرتاسر HTTP منتقل شن و مقادیر اون ها نمی تونن از راه جاوا اسکریپت قابل دسترس باشن، از سرقت نشست از طریق ی حملات تزریق اسکریپت از راه وب گاه یا XSS جلوگیری می کنه.

یکی دیگه از ویژگی های به درد بخور امنیتی اینه که اگه وب بعضی وقتا یه چارچوب یا کتابخونه ی جاوا اسکریپت آسیب پذیر رو در سمت کارخواه اجرا کنه، سونار می تونه تشخیص بده. این کار با به کار گیری پایگاه داده ی آسیب پذیری Snyk و کشف کننده ی کتابخونه ی جاوا اسکریپت انجام می شه.

«آنتون مونتلا» مدیر ارشد برنامه نویسی مایکروسافت اج درباره این وسیله گفته که سونار به جای اینکه کدهای سایت رو فقط بررسی کنه، اونا رو به صورت جداگونه اجرا می کنه تا بتونه یافته های دقیق تری رو کسب کرده و هم اینکه از این روش کارکرد و ظرفیت سایت کاربران رو زیاد کنه.

سونار الان از راه نشانی https://sonarwhal.com/scanner قابل دسترسیه و تا همین چند وقت دیگه که خیلی هم دور نیست به ویژگیای جدیدتری هم مجهز می شه که از جمله اونا به پلاگینای مختص کدهای ویژوال استودیو، اعمال تغییرات دلخواه در اپلیکیشنای تحت وب و پیشتیبانی از ویژگیای جدید جهت تست دقیق تر امنیت، کارکرد و دسترسی وبسایتا میشه اشاره کرد.

اگه سایت شما مخصوصا سایت کار و کاسبی تون امنیت بالاتری داشته باشه هم واسه برند شما مفیدتره هم از دید سئو موفق تر.

منبع:news.asis.io – جامعه مهندسان ایران