دستهها | ||
---|---|---|
![]() |
توصیههای مدیریتی | |
![]() |
توصیههای فنی |
فیلتر بر اساس برچسب | ||
---|---|---|
قانون | ||
کاربر | ||
ستارهدار | ||
میزبان | ||
گواهینامه | ||
توسعه | ||
دانش | ||
آزمون | ||
پشتیبانی | ||
ابزار | ||
رمزنگاری |
فهرست توصیههای امنیت نرمافزار در شبکههای اجتماعی |
---|
![]() ![]()
شبکههای اجتماعی باید دارای مکانیزمهایی برای کنترل محتوای مطالب کاربران باشند؛ به گونهای که در صورت شناسایی محتوای مجرمانه و یا مغایر با قوانین شبکه، بتوان در اسرع وقت آن را حذف کرد. این مکانیزمها باید در داخل سامانه اصلی (و نه به صورت افزونه یا امکانات جانبی) قرار گیرند.
![]() ![]() ![]() ![]() |
![]()
مدیران و توسعهدهندگان شبکههای اجتماعی داخلی باید پیش از شروع به هرگونه فعالیت در خصوص راهاندازی شبکه اجتماعی یا هر کسبوکار رایانهای دیگر، متن کامل قانون جرائم رایانهای کشور را به دقت مطالعه کرده، از محتوای آن آگاه شده و تعهد به اجرای آن دهند. همچنین در زمان تولید و حیات سامانه باید الزاماتی که در این قانون برای متولیان وبگاهها مشخص شده است را فراهم نمایند.
|
![]() ![]()
اطلاعات ورود کاربران نظیر متن گذرواژه، محتوای داخل توکن امنیتی و هر دادهای که میتوان با آگاهی از آن وارد سامانه شد، دارایی شخصی کاربر محسوب شده، به کلی محرمانه بوده و تحت هیچ شرایطی نباید توسط هیچیک از کارکنان شبکه اجتماعی قابل رؤیت باشد. هر فرآیند یا پردازشی در سامانه که نیاز به مشاهده اطلاعات ورود کاربران داشته باشد، غیرمجاز بوده و باید به گونهای بازطراحی شود که این نیاز از آن حذف شود.
![]() |
![]() ![]()
در صورتی که میزبانی از نرمافزار یا دادههای شبکه اجتماعی به صورت داخلی انجام شده و برونسپاری نشود، متولی شبکه اجتماعی موظف است در حکم ارائهدهنده خدمات میزبانی، الزامات مطرح در مواد ۳۲ الی ۵۱ قانون جرائم رایانهای و همچنین الزامات موجود در آییننامه جمعآوری ادله الکترونیکی را رعایت کرده و نسبت به ذخیره اطلاعات تا مدتزمان مقرر در قانون و همکاری با مراجع قضایی در خصوص حفظ، توقیف، تفتیش و شنود اطلاعات یا سامانهها اقدام کند.
|
![]() ![]()
در راستای اجرای ماده ۳۱ آییننامه جمعآوری ادله الکترونیکی، در صورت صدور حکم قضایی برای حفظ، توقیف، تفتیش یا شنود اطلاعات یا سامانههای یک شبکه اجتماعی، متولی آن موظف است اقدامات لازم در جهت ارائه دسترسی به اطلاعات یا سامانههای مذکور در احکام قضایی صادره را انجام داده و با مجریان قضایی مربوطه همکاری کند.
|
![]() ![]()
متولیان شبکههای اجتماعی موظف هستند تارنمای مربوط به شبکه اجتماعی خود را نزد واحدهایی که قوانین و ضوابط اجرایی معرفی کردهاند، نظیر سامانه ساماندهی پایگاههای اینترنتی، متعلق به مرکز فناوری اطلاعات و رسانههای دیجیتال به ثبت برسانند.
|
![]()
متولیان شبکههای اجتماعی باید پیش از شروع فعالیتهای اجرایی خود، نسبت به آگاهی از قانون تجارت الکترونیکی اقدام کرده و در مدتزمان توسعه و فعالیت شبکه اجتماعی، الزامات موجود در این قانون را رعایت نمایند. بخشهای مرتبط با رعایت حقوق مؤلف، قواعد تبلیغ و نشانهای تجاری از جمله مواردی هستند که احتمال مواجهه شبکههای اجتماعی با آنها بیشتر بوده و در نتیجه توجه ویژهای طلب میکنند.
تبصره: ممکن است بخشهایی از قانون تجارت الکترونیکی، در یک برهه زمانی، به دلیل نبود زیرساختها و امکانات لازم قابل اجرا نبوده و موقتا لازمالاجرا نباشد. در چنین مواردی، متولیان شبکههای اجتماعی باید در نظر داشته باشند که به محض فراهمآمدن شرایط لازم و اعلام مراجع ذیصلاح مبنی بر لزوم رعایت این بندها، اقدامات لازم در جهت تحقق این الزامات را به انجام برسانند.
|
![]()
متولیان شبکههای اجتماعی موظفند پیش از شروع فعالیتهای اجرایی در راستای تولید و توسعه شبکه اجتماعی خود، با مراجعه به پایگاه اطلاعرسانی پلیس فتا از قوانین جاری و ابلاغیههای این نهاد پلیس آگاهی یافته و الزامات اعلامشده توسط آن را رعایت کنند. همچنین در تمام طول حیات سامانه، باید فرآیند آگاهی از آخرین وضعیت قوانین و الزامات این نهاد پلیس را به صورت دورهای تکرار نمایند.
|
![]()
متولیان شبکههای اجتماعی موظفند ملزومات قانونی را برای سامانه خود تهیه کنند. منظور از ملزومات قانونی، گواهینامه، نشان اطمینان یا هر تاییدیه رسمی دیگری است که اخذ آن برای واحدهای فنی یا تجاری که شامل شبکههای اجتماعی میشوند، توسط قانون یا مراجع ذیصلاح الزامی شده باشد. مجموعه این ملزومات ممکن است در طول زمان و به فراخور قوانین جدید تغییر یابد.
نماد اعتماد الکترونیکی: در حال حاضر نماد اعتماد الکترونیکی که توسط مرکز تجارت الکترونیکی، وابسته به وزارت صنعت، معدن و تجارت صادر میشود، تنها گواهینامهای است که بر اساس قانون و توسط نهادهای دولتی و پلیس فتا برای کسبوکارهای رایانهای الزامی شناخته شده است.
|
![]() ![]() ![]() |
![]() ![]() ![]() ![]() |
![]() ![]() ![]() ![]() |
![]() ![]() ![]() ![]() |
![]() ![]() ![]() ![]() |
![]() ![]()
مطابق با سند استاندارد ISO/IEC 27002، متولیان شبکههای اجتماعی باید بستری فراهم کنند تا در آن، برای هر منبع دادهای یا هر خدمت سامانه، دسترسیهای مناسب تعریف شده و اجرای هر عملی بر روی منبع مذکور، نیازمند داشتن دسترسی مرتبط باشد. همچنین مدیران سامانه باید در این بستر تعریف شده و دسترسیهای لازم به آنها اعطا شود. سطوح دسترسی اعطاشده به مدیران باید به صورت دورهای مورد بازبینی قرار گرفته و در صورت تشخیص مبنی بر عدم نیاز یک کاربر به یک دسترسی خاص، در اسرع وقت دسترسی مربوطه از وی بازپسگیری شود. دسترسی کاربران عادی شبکه اجتماعی به اطلاعات باید بر اساس سیاستهای امنیتی باشد و این سیاستها نیز به صورت دورهای بهروزرسانی شوند.
|
![]() ![]()
بر اساس الزام ISO/IEC 27002، مدیران و کارکنان شبکههای اجتماعی باید به کمینه اطلاعات لازم دسترسی داشته و از کمترین حد دسترسی لازم برخوردار باشند. منظور از کمینه اطلاعات لازم، کمترین حدی از اطلاعات است که بدون آگاهی از آنها، امکان اجرای وظیفه و یا استفاده از خدمات مجاز سامانه برای فرد وجود نداشته باشند. کمترین دسترسی هم به معنی دسترسی به منابعی است که برای استفاده از خدمات سامانه و یا انجام وظایف به آنها نیاز است.
|
![]() ![]()
شبکههای اجتماعی باید بستر مدیریت دسترسی خود را به گونهای پیادهسازی کنند تا مطابق با استاندارد ISO/IEC 27002، گزینه مدیریت دسترسی در آن به صورت صریح و مستقل وجود داشته باشد، برای انواع اطلاعات دسترسیهای لازم تعریف شود و کاربران پیش از دسترسی به منابع احراز هویت شده باشند. برنامههای کاربردی که به سامانه متصل شده و امکان بازنویسی دسترسیها را دارند باید به صورت دقیق شناسایی و احراز هویت شوند، حدود اختیارات آنها کنترل و محدود شده و تمامی فعالیتهای آنها به صورت کامل واقعهنگاری شود تا قابل ردیابی باشد.
|
![]() ![]()
فرآیند ثبتنام در شبکههای اجتماعی باید منطبق با الزامات موجود در سند استاندارد ISO/IEC 27002 باشد؛ شرایط و ضوابط عضویت در سامانه به شکلی سازگار با قوانین و سیاستهای امنیتی تدوین شوند، به صورت واضح در معرض دید کاربر قرار بگیرند، کاربر متقاضی به صراحت اعلام کند که این شرایط را مطالعه کرده و پذیرفته است و پیش از تکمیل ثبتنام کاربر، با سازوکاری مشخص و قابل قبول از نظر سیاستهای امنیتی و قوانین، هویت و صحت اطلاعات وی تایید شود.
![]() ![]() |
![]() ![]()
بر اساس استاندارد ISO/IEC 27002، شبکههای اجتماعی باید سازوکاری برای احراز هویت کاربران خود داشته باشند. این سازوکار باید به گونهای پیادهسازی شده باشد که از ورود کاربران غیرمجاز جلوگیری کرده، پیش از احراز هویت و در حین آن کمترین اطلاعات از سامانه فاش شده و اطلاعات ورود کاربران محرمانه بوده و قابل مشاهده و شنود نباشد.
![]() ![]() |
![]() ![]()
شبکههای اجتماعی موظف هستند گذرواژه کاربران خود را مطابق با الزامات موجود در سند استاندارد ISO/IEC 27002 مدیریت نمایند. کنترل ساختار گذرواژه، امکان تغییر آن توسط کاربر و ذخیره آن به صورت درهمسازیشده از جمله الزامات مدیریت گذرواژه هستند. شایان ذکر است، هر عبارت محرمانه که برای احراز هویت مورد استفاده قرار بگیرد در حکم گذرواژه است؛ خواه به صورت متن باشد یا به صورت اطلاعات داخل کارتهای هوشمند، توکنهای امنیتی یا غیره.
![]() ![]() |
![]() ![]() ![]() |
![]() ![]() ![]() |
![]() ![]() ![]() ![]() ![]() |
![]() ![]() ![]() |
![]() ![]() ![]() 1. طراحی امن: شامل اصول نظری امنیت، شناخت سطح بالای تهدیدات و روشهای دفاعی 2. برنامهنویسی امن: شامل آسیبپذیریهای سطح کد، الگوهای برنامهنویسی امن و ابزارهای آن 3. آزمونهای امنیتی: شامل معرفی مفاهیم و ابزارهای آزمون نفوذ و آزمونهای امنیتی مشابه 4. حریم خصوصی در نرمافزار: شناخت اصول حریم خصوصی و الگوهای پیادهسازی نرمافزاری آن محتوای آموزشی این دورهها توسط اعضای تیم امنیت که در الزام شماره 24 معرفی شدند تدوین میشود. |
![]() ![]() ![]() ![]() 1. فهم محیط کسبوکاری: در اولین گام از مدیریت ریسک، شایسته است تا متولیان شبکههای اجتماعی، محیط کسبوکار شبکه اجتماعی خود را به وسیله ابزارها و روشهای موجود و متداول تحلیل و شناسایی کرده و مجموعه اهداف کسبوکاری تیم تولید و توسعه شبکه اجتماعی را استخراج نمایند. 2. شناسایی ریسکهای کسبوکاری و فنی: در گام دوم از چرخه مدیریت ریسک، باید تمامی ریسکهای متوجه نرمافزار را شناسایی کرده و برای بیان کمی آنها راهکاری اندیشید. به این منظور، شایسته است متولیان شبکههای اجتماعی ضمن شناسایی ریسکهای کسبوکار، با همفکری کارشناسان فنی و توسعهدهندگان، ریسکهای فنی را نیز شناسایی کرده و بر اساس دانش خود و مراجعه به منابع معتبر، این ریسکها را با راهکاری مناسب، به صورت عددی و با معیاری مشابه ریسکهای کسبوکار بیان کنند. خروجی به دست آمده، فهرستی از ریسکها و روشی واحد برای اندازهگیری آنها خواهد بود. 3. تشریح و رتبهبندی ریسکها: به متولیان شبکههای اجتماعی توصیه میشود تا پس از شناسایی محیط کسبوکار و شناسایی ریسکهای مختلف که متوجه نرمافزار شبکه اجتماعی هستند، «شدت» این ریسکها را بر اساس میزان تهدیدی که برای اهداف کسبوکاری ایجاد میکنند و همچنین اهمیت اهداف کسبوکاری که هدف تهدید قرار گرفتهاند، محاسبه کنند. سپس فهرستی از ریسکها که بر اساس شدت مرتب شدهاند، فراهم کرده و برای مراحل بعدی از آن استفاده نمایند. 4. تعیین راهبردهای مهار ریسک: در ادامه فرآیند تحلیل و مدیریت ریسک، شایسته است تا متولیان شبکههای اجتماعی، ریسکهای شناساییشده در مراحل قبل را مورد مطالعه و بررسی قرار داده و مجموعهای از راهبردهای اجرایی برای کاهش این ریسکها تهیه و تدوین نمایند. راهبردهای مذکور به همراه روشهای ارزیابی میزان موفقیت هریک از آنها به عنوان خروجی این گام تلقی میشود. 5. اجرای اصلاحات و ارزیابی: در گام آخر از فرآیند تحلیل و مدیریت ریسک، به متولیان شبکههای اجتماعی توصیه میشود تا با شروع از شدیدترین ریسکها که در حین اجرای فعالیتهای مرتبط با گام سوم مشخص شدهاند، راهبردهای مهار ریسک که در مرحله گذشته تدوین شدهاند را اجرا نموده و سپس فرآیند تحلیل و مدیریت ریسک را تکرار نمایند. تکرار این فرآیند شامل شناسایی ریسکهای جدید، اولویتبندی مجدد ریسکها، تدوین راهبردهای مهار با توجه به وضعیت کنونی محیط و اجرای اصلاحات متناسب با راهبردهای آتی است. |
![]() ![]() ![]() ![]() ![]() |
![]() ![]() ![]() |
![]() ![]() ![]() |
![]() ![]() ![]() |
![]() ![]() ![]() |
![]()
باید بر روی رایانههایی که به عنوان میزبان برای پایگاهداده و یا نرمافزار شبکه اجتماعی در نظر گرفته شدهاند، سیستمعاملی نصب کرد که از نظر امنیتی مورد تایید عموم و افراد متخصص امنیت باشد. همچنین تیمهای فنی گسترده و باتجربهای برای پیگیری آسیبپذیریهای آن و ارائه مستمر اصلاحات و بستههای بهروزرسانی برای آن فعالیت نمایند. ضمن آنکه باید نسخه مورد استفاده، توسط تولیدکننده به عنوان نسخه مناسب برای استفاده در کارگزار معرفی شده باشد و شامل ابزارهای لازم و شناختهشده باشد؛ برای مثال ابزار مدیریت کاربران، کنترل دسترسی به منابع و مدیریت واسطها و ارتباطات شبکه.
|
![]()
1. سیستمعامل رایانههای میزبان و همچنین نرمافزارهای نصبشده بر روی آن باید بر اساس برنامهای مدون، به صورت متناوب از لحاظ بهروزرسانی بررسی شده و بستههای بهروزرسانی امنیتی که توسط تولیدکنندگان این محصولات عرضه میشوند، در اسرع وقت دریافت شده و نصب شوند.
2. باید برای کاربران مختلفی که نیاز به استفاده از سیستمعامل کارگزار دارند، نقشها و سطوح دسترسی لازم به منابع موجود بر روی رایانه میزبان مشخص شده و به برای هرکدام به صورت مجزا بر روی سیستمعامل نام کاربری مشخصی تخصیص یابد. سطح دسترسی هر کاربر بر روی حداقل لازم تنظیم شود و از فعالیتهای کاربران و اعمال تغییرات آنها بر روی منابع، واقعهنگاری شود. 3. در نهایت باید تمامی فایلها و نرمافزارهای مرتبط با وبگاه شبکه اجتماعی، در مسیرهای مناسبی از حافظه ثانویه، ذخیره و نصب شده و حداقل دسترسی لازم به هریک از آنها داده شود. به این ترتیب میتوان احتمال تغییر غیرمجاز در فایلها و نرمافزارهای شبکه اجتماعی را تا حد ممکن کاهش داد. |
![]()
رایانههای میزبان شبکه اجتماعی باید توسط نرمافزارهای استاندارد و قابل اطمینان دیوار آتش محافظت شوند. نرمافزاری برای دیوار آتش مناسب است که توسط تیمهای فنی معتبری پشتیبانی شده و در میان متخصصین حوزه امنیت، شناختهشده بوده و از نظر کیفی مورد تایید باشد. دیوار آتش را باید به گونهای پیکربندی کرد تا کمترین تعداد از درگاههای ورودی و خروجی، فقط به منظور رفع نیازمندی نرمافزارهای شبکه اجتماعی (که بر اساس اسناد نیازمندیها و سیاستهای امنیتی مشخص خواهد شد) باز بوده و درگاههای دیگر به کلی مسدود باشند؛ ضمن آنکه باید به صورت برنامهریزیشده، بهروزرسانی شود.
همچنین نرمافزارهای امنیتی مثل ضدبدافزار مناسب باید مورد استفاده قرار بگیرند. نرمافزاری مناسب استفاده است که پشتیبانی فنی داشته باشد، نسخه اصل بوده و به دلیل قفلشکسته بودن، دارای حفرههای امنیتی نباشد، امکان بهروزرسانی آن وجود داشته باشد و به صورت مدون و متناوب بهروزرسانی شود.
|
![]()
نرمافزاری که برای کارگزاری وب در رایانه میزبان راهاندازی میشود، باید از نظر امنیتی مورد تایید بوده و عاری از آسیبپذیریهای حاد امنیتی باشد، توسط شرکت معتبری تولید شده و پشتیبانی شود و در نهایت، به صورت مداوم و بر اساس برنامهریزی قبلی، بهروزرسانی شود.
همچنین تنظیمات کنترل دسترسی، پروتکلهای رمزنگاری و دیگر موارد امنیتی در آن باید به گونهای باشد که امکان دسترسی به مسیرهای غیرمجاز برای کاربران را به کلی مسدود نموده و در صورت لزوم استفاده از پروتکلهای رمزنگاری، اطلاعات را با الگوریتمهای رمزنگاری امن و معتبر، رمز کند. |
![]()
ارتباطاتی که از طریق شبکههای عمومی نظیر اینترنت با رایانههای میزبان شبکه اجتماعی انجام میشود، باید به صورت رمزنگاریشده و همراه با مکانیزمهای تامین یکپارچگی و احراز اصالت باشد. روشهای رمزنگاری و همچنین مکانیزمهای امنیتی دیگر که در این ارتباطات مورد استفاده قرار میگیرند، باید از دید نهادهای امنیتی شناختهشده و معتبر، مورد تایید بوده و استاندارد باشند.
![]() توجه: پیادهسازی پروتکلهای مذکور در داخل سازمان، ممنوعیتی ندارد اما به هیچ عنوان توصیه نمیشود. |
![]()
متولیان شبکههای اجتماعی، باید ارتباطات وبگاه شبکه اجتماعی خود را بر روی پروتکلهای امن (نظیر HTTPS) قرار داده و برای آن، گواهی هویت تهیه کنند. گواهینامه اخذشده باید در پروتکل انتخابی در الزام شماره 36 قابل استفاده بوده و همچنین مرورگرهای وب متداول و پراستفاده، از آن پشتیبانی نمایند.
![]() |
![]()
مدیران فنی شبکههای اجتماعی که مسئولیت طراحی، مدیریت و نگهداری پایگاههای داده را دارند، موظف هستند برای تامین امنیت پایگاهداده، شرایط زیر را فراهم نمایند:
1. برای سامانه مدیریت پایگاهداده، گزینهای را انتخاب نمایند که از نظر قوت تیم توسعه و پشتیبانی، مکانیزمهای امنیتی پیادهسازیشده، ابزارهای کنترل دسترسی، امکان بهروزرسانی و دیگر جنبههای امنیتی، در جامعه فنی مقبولیت داشته و از متخصصین حوزه امنیت امتیاز خوبی به دست آورده باشد. 2. پس از انتخاب نرمافزار پایگاهداده، برای استفاده از آن کاربرانی با سطوح دسترسی مختلف تعریف کنند و تنظیمات امنیتی پایگاهداده را با دقت و به گونهای انجام دهند که تنها دسترسیهای لازم برای کاربران وجود داشته باشد و از دسترسیهای بیش از حد جلوگیری شود. 3. نرمافزار پایگاهداده را به صورت مستمر و به شکل برنامهریزیشده بهروزرسانی نمایند. 4. دادهها را به شکلی طبقهبندی کرده و در پایگاهداده قرار دهند که بخشهای مختلف سامانه، تا حد امکان از یکدیگر جدا بوده و اجازه دسترسی به آنها نیز، به صورت جداگانه به کاربران لازم اعطا شود. 5. کارگزار پایگاهداده را به گونهای برپا کنند که کمترین سطح دسترسی لازم از خارج به آن وجود داشته باشد. در صورتی که نیاز است پایگاهداده بر روی میزبان جداگانهای قرار گیرد، از آن توسط نرمافزارهای امنیتی مختلف نظیر دیوار آتش محافظت شده و تنها دسترسیهای لازم به آن مجاز شمرده شود. |
![]()
توسعهدهندگان شبکههای اجتماعی در نظر داشته باشند که برای جلوگیری از بروز آسیبپذیری در برابر حملات تزریق، باید تمام ورودیها اعتبارسنجی شده و در صورت وجود دادههای دستوری غیرمجاز، اجازه ورود آنها به سامانه داده نشود. از سوی دیگر، کلیه توابع و واسطهایی که دادههای ورودی خود را پردازش کرده و اجرا مینمایند، نباید به صورت مستقیم استفاده شوند؛ بلکه باید توسط واسطهای نرمافزاری مناسبی لفافهبندی شوند تا ورودیها، پیش از اجرای این توابع اعتبارسنجی و در صورت نیاز، نمادبندی شوند.
برای واسطهای اعتبارسنجی و نمادبندی، بهتر است از ابزارهای متداول و استاندارد استفاده شود و پیادهسازی این واسطها به صورت داخلی به هیچ عنوان توصیه نمیشود. |
![]()
توسعهدهندگان شبکههای اجتماعی موظفند برای احراز اصالت و مدیریت نشست وبگاه خود، از ابزارها و روشهای شناختهشده، متداول و امن استفاده نمایند؛ به شکلی که نیازمندیهای زیر برآورده شوند:
1. کمترین میزان از اطلاعات حساس کاربر در نشست وی ذخیره شود. 2. تولید شناسه نشست توسط روشهای امن تولید مقدار تصادفی انجام شود. 3. شناسه نشست فقط از طریق کوکی تبادل شده و در آدرس، سرآیند درخواست و پارامترهای متفرقه ارسال نشود. |
![]()
توسعهدهندگان شبکههای اجتماعی، باید پیش از نمایش محتوای هریک از صفحات وب، تمامی فیلدهایی که به عنوان ورودی به سامانه داده شدهاند را اعتبارسنجی و نمادبندی کنند تا امکان تزریق نبشتههای اجرایی به هیچیک از صفحات وبگاه وجود نداشته باشد.
برای واسطهای اعتبارسنجی و نمادبندی، بهتر است از ابزارهای متداول و استاندارد استفاده شود و پیادهسازی این واسطها به صورت داخلی به هیچ عنوان توصیه نمیشود. |
![]()
لازم است توسعهدهندگان شبکههای اجتماعی، با استفاده از مکانیزمهای متداول، شناختهشده و امن، نسبت به جلوگیری از حملات CSRF اقدام نمایند. تشخیص امنیت مکانیزم مورد استفاده، بر اساس نظرات و تحلیلهای علمی است که توسط متخصصان و فعالان حوزه امنیت ارائه میشود. همچنین شایان ذکر است، پیادهسازی مکانیزم مقابله با CSRF در داخل سازمان، به هیچ عنوان توصیه نمیگردد.
![]() 1. تولید توکن باید با روشهای امن و استاندارد تولید مقدار تصادفی انجام شود. 2. توکن باید تاریخ انقضا داشته باشد و طول عمر آن، از حد زمان معمول یک جلسه تجاوز نکند. 3. هر درخواستی که منجر به اعمال تغییرات حساس در وبگاه شود، باید همراه با توکن صحیح باشد. |