تصویر امنیتی چیست ؟احتمالا شما در هنگام دانلود فایل یا هنگام ثبت نام در برخی از سایت ها درگیر پر کردن فرم های کوچک و بزرگی شده اید. در این فرم ها احتمالا با یک تصویری که در آن چند کاراکتر و یا عدد به شکلی سوال انگیز در کنار هم قرار گرفته است برخورد کرده اید.در کنار این تصاویر از شما خواسته شده است تا کاراکترهائی را که در تصویر مشاهده می کنید را در یک TextBox وارد کنید. اما این تصاویر به چه دردی می خورند ؟
کاربرد تصاویر امنیتی ؟تصور کنید در سایت شما بخش نظرسنجی وجود دارد و در آن هر فرد مراجعه کننده به سایت (Anonymous) می تواند نظر خود را در آن وارد کند. شما چند راه برای این کار دارید یا تعداد نظراتی را که هر فرد می تواند ثبت کند را محدود سازید و یا اینکه هیچ محدودیتی وجود نداشته باشد. در صورتی که قصد محدود سازی کاربر را داشته باشید احتمالا به سراغ متغیر Session می روید و با الگوریتم خاص خود این مهم را انجام می دهید. مثلا کاربر را مجبور می کنید تا فقط در بازه های زمانی 10 دقیقه ای امکان ثبت را داشته باشد ! سناریو ای را در نظر بگیرید که چند کاربر که از یک PC استفاده می کنند و یا کاربری قصد ارسال دو نظر را دارد، احتمالا با خواندن سناریوهائی از این دست به شما عذاب وجدان دست خواهد داد. حال فرض کنیم شما راه حل دوم را انتخاب کنید و هیچ محدودیتی برای ورود اطلاعات در نظر نگیرید. سناریوای را در نظر بگیرید که در آن هکری با نوشتن یک برنامه ساده سعی می کند به سرعت در وب سایت شما مدام نظر ثبت کند. اگر هر رکورد جدول نظر شما 2092 بایت اشغال کند (2048 بایت برای نظر) و در هر 3 ثانبه (بهترین حالت برای شما و بدترین حالت برای هکر) بتواند یک رکورد ثبت کند. اگر بانک اطلاعاتی سایت شما 10mb فضای آزاد داشته باشد در عرض 4 ساعت بانک اطلاعاتی شما پر از اطلاعات هرزه می شود. احتمالا در بهترین حالت بین 3 تا 4 روز بانک شما پر است و تا آن زمان هیچ چیزی نمی تواند در بانک اطلاعاتی شما درج شود و چندین ساعت از وقت شما صرف پاک کردن اطلاعات هرزه می شود.
نحوه ساخت تصاویر امنیتیروشی که در این مقاله برای ساخت تصاویر امنیتی استفاده شده است بدین شرح است که از طریق ایجاد یک لینک به HttpHandler تصویر امنیتی را نمایش می دهیم.
همان طور که در تصویر مشاهده می شود از طریق پسوند ashx به HttpHandler تولید کننده تصویر امنیتی متصل شده و تصویر امنیتی را دریافت می کنیم. این تصویر امنیتی بر اساس مشخصات مورد نظر ما ایجاد می شوند. این مشخصات در ادامه ی پسوند ashx به عنوان Query و به صورت کاملا رمزنگاری شده تولید شده اند.
کلاس SecurityImage
این کلاس وظیفه تولید آدرس یک تصویر امنیتی را دارا می باشد. در حقیقت ما فقط از این کلاس استفاده می کنیم و خود را از درگیری با سایر مسائل رها می سازیم. به مثال زیر توجه فرمائید :
کد:
if (!this.IsPostBack)
{
SecurityImage simg = new SecurityImage(SecurityLevel.Low, 300, 50);
Session["simg_code"] = simg.Code;
simg.Generate();
iLow.ImageUrl = simg.SecurityImageUri;
}
پارامترهای ورودی سازنده کلاس Security Image سطح امنیتی کد و اندازه تصویر خروجی را تعیین می کنند. متد Generate با هر بار فراخوانی یک کد جدید تولید می کند و به طبع آن SecurityImageUri و Code نیز تغییر می کند.
این کد را در هنگام Load شدن صفحه به کار گرفته و کد امنیتی ایجاد شده را در Session نگه داری می کنیم. بعد از اینکه کاربر فرم مورد نظر را پر کرده و پست می کند. می توان مقدار تایپ شده توسط کاربر را با اصل کد امنیتی موجود در Session چک کرده و در صورت صحت آن اطلاعات را ثبت کنیم.
مهمترین متد کلاس SecurityImage به شرح زیر است :
کد:
private string GenerateCode()
{
Random r = new Random((int)DateTime.Now.Millisecond);
int maxNumber = 0;
int numberCodeQuantity = 0, alphabeticCodeQuantity = 0;
string code = String.Empty;
maxNumber = r.Next(6, 7);
numberCodeQuantity = 1;
if (SecurityLevel == SecurityLevel.Low)
numberCodeQuantity = 5;
else
alphabeticCodeQuantity = maxNumber - numberCodeQuantity;
for (int i = 1; i <= numberCodeQuantity; ++i)
{
code += ((char)r.Next(48, 57)).ToString();
}
for (int i = 1; i <= alphabeticCodeQuantity; ++i)
{
code += ((char)r.Next(65, 90)).ToString();
}
return code;
}
این متد عمل تولید کد امنیتی متناسب با سطح امنیتی تعیین شده انجام می دهد. پس از تولید کد باید اطلاعات شامل اندازه تصویر، سطح امنیتی تصویر و کد مورد نظر کد شده و به صورت یک Query درآیند.
کد:
public string Generate()
{
byte[] IV = new byte[8] { 120, 34, 63, 127, 93, 240, 23, 232 };
string cryptoKey = "GalaxyRoad2004@yahoo.com";
_code = GenerateCode();
byte[] codebytes = System.Text.Encoding.ASCII.GetBytes(_code);
TripleDESCryptoServiceProvider tripleDES = new TripleDESCryptoServiceProvider();
MD5CryptoServiceProvider md5 = new MD5CryptoServiceProvider();
tripleDES.Key = md5.ComputeHash(System.Text.Encoding.ASCII.GetBytes(cryptoKey));
tripleDES.IV = IV;
byte[] codeBuffer = tripleDES.CreateEncryptor().TransformFinalBlock(codebytes, 0, codebytes.Length);
string secretCode = Convert.ToBase64String(codeBuffer, 0, codeBuffer.Length);
secretCode = HttpContext.Current.Server.UrlEncode(secretCode);
string query = secretCode + "&" + Width.ToString() + "&" + Height.ToString() + "&" + SecurityLevel.ToString();
byte[] queryBytes = System.Text.Encoding.ASCII.GetBytes(query);
Random r = new Random((int)DateTime.Now.Millisecond);
_simgUri = r.Next().ToString() + ".ashx?" + HttpContext.Current.Server.UrlEncode(Convert.ToBase64String(queryBytes, 0, queryBytes.Length));
return _simgUri;
}
متد فوق این کار را برای ما انجام می دهد و اطلاعات مورد نظر را به صورت یک Query، رمز می کند و آن را در قالب یک Uri فایل تصویری jpg باز می گرداند.
در سمت سرور ما کلاس SecurityImageHandler را داریم که وظیفه ی Handler کردن درخواست های تصاویر امنیتی را بر عهده دارد. مهمترین متد این کلاس به شرح زیر است :
کد:
public void ProcessRequest(HttpContext context)
{
string secretString;
string code;
try
{
secretString = context.Request.Url.Query.Substring(1);
code = Decode(secretString);
}
catch (Exception)
{
return;
}
Size size = new Size(300, 50);
Bitmap bmp = new Bitmap(size.Width, size.Height);
Bitmap result = new Bitmap(imageWidth, imageHeight);
Graphics g = Graphics.FromImage(bmp);
...
result.Save(context.Response.OutputStream, System.Drawing.Imaging.ImageFormat.Jpeg);
}
برای اختصار از آوردن کدهای تولید تصویر خودداری کردم. قبل از تولید تصویر کد امنیتی باید Query ارسال شده Decode گردد که این عمل توسط متد زیر صورت می گیرد :
کد:
private string Decode(string secretCode)
{
byte[] queryBytes = Convert.FromBase64String(HttpContext.Current.Server.UrlDecode(secretCode));
string query = System.Text.Encoding.ASCII.GetString(queryBytes, 0, queryBytes.Length);
string[] parameters = query.Split('&');
imageWidth = int.Parse(parameters[1]);
imageHeight = int.Parse(parameters[2]);
ParseSecurityLevel(parameters[3]);
byte[] codeBuffer = Convert.FromBase64String(HttpContext.Current.Server.UrlDecode(parameters[0]));
byte[] IV = new byte[8] { 120, 34, 63, 127, 93, 240, 23, 232 };
string cryptoKey = "GalaxyRoad2004@yahoo.com";
TripleDESCryptoServiceProvider tripleDES = new TripleDESCryptoServiceProvider();
MD5CryptoServiceProvider md5 = new MD5CryptoServiceProvider();
tripleDES.Key = md5.ComputeHash(System.Text.Encoding.ASCII.GetBytes(cryptoKey));
tripleDES.IV = IV;
byte[] codebytes = tripleDES.CreateDecryptor().TransformFinalBlock(codeBuffer, 0, codeBuffer.Length);
return System.Text.Encoding.ASCII.GetString(codebytes, 0, codebytes.Length);
}
نحوه استفاده از SecurityImage تهیه شده در این بخش :
کد زیر را در PageLoad قرار دهید :
کد:
if (!this.IsPostBack)
{
SecurityImage simg = new SecurityImage(SecurityLevel.Low, 300, 50);
Session["simg_code"] = simg.Code;
simg.Generate();
iLow.ImageUrl = simg.SecurityImageUri;
}
کد زیر را در هم برای چک کردن اینکه آیا کاربر کد را صحیح وارد کرده است یا خیر استفاده نمائید :
کد:
protected void Check_Click(object sender, EventArgs e)
{
bool correct = false;
if (Session["simg_code "].ToString().ToLower().Equals(tbCode.Text.ToLower()))
correct = true;
if (correct) // Success
Do some thing
Else // Failed
Response.Write("Failed.");
}
در فایل web.config مابین تگ های <system.web> کد زیر را درج نمائید :
کد:
<httpHandlers>
<add path="*.ashx" verb="*" type="Farahy.Security.SecurityImageHttpHandler, SecurityImage"/>
</httpHandlers>
و در نهایت مطمئن شوید که فایل securityimage.dll را در شاخه bin وب اپلیکیشن کپی کرده اید.
همان طور که قبلا اشاره کردم یکی از روش های تولید تصاویر امنیتی استفاده از HttpHandler است. روش دیگری که در اینجا قصد شرح آن را دارم استفاده از یک صفحه ی Aspx به جای HttpHandler می باشد. مزیت این روش نسبت به روش قبلی این است که دیگر لازم نیست که فایل web.config خود را ویرایش کنید و فقط کافی است صفحه ی aspx مخصوص تولید کد امنیتی و نیز SecurityImage.dll را به Web Application خود بیافزائید. من خودم شخصا روش قبلی را بیشتر دوست دارم زیرا در آن اصول شئ گرائی بیشتر رعایت شده است و مزیت های شئ گرائی را بیشتر با خود یدک می کشد.
در این روش به جای ایجاد لینک به یک HttpHandler که با پسوند ashx مشخص می شد از ایجاد لینک به یک فایل aspx استفاده می شود.
همان طور که مشاهده می شود یک لینک به یک فایل aspx و به دنبال آن یک Query همانند قبل به عنوان آدرس فایل تصویر ذکر شده است. Query الصاقی همانند روش قبل تولید شده است.
به علت استفاده از این روش من مجبور شدم ساختار کلاسی Security Image را برای تطبیق بیشتر با OOP تغییر بدم.
کلاس SecurityImageInfo
وظیفه این کلاس کپسوله کردن اطلاعات مربوط به یک تصویر امنیتی می باشد. سازنده این کلاس طوری تعریف شده است تا کابر امکان ایجاد نمونه از آن را به طور مستقیم نداشته باشد.(شبیه این تکنیک در DataRow و DataTable کلاس های موجود در System.Data دات نت استفاده شده است.)
کد:
protected internal SecurityImageInfo()
{
}
protected internal SecurityImageInfo(string code, int width, int height, SecurityLevel level, string filename)
{
_level = level;
_width = width;
_filename = filename;
_height = height;
}
protected string _filename;
protected SecurityLevel _level;
protected string _code;
protected string _simgUri;
protected int _width;
protected int _height;
public int Width
{
get{ return _width;}
}
public int Height
{
get{return _height;{
}
public SecurityLevel SecurityLevel
{
get{return _level;}
}
public string Code
{
get{return _code;}
}
public string SecurityImageUri
{
get{return _simgUri;}
}
}
کلاس SecurityImageSupplierاین کلاس برای انجام کارهای پایه ای برای تولید تصاویر امنیتی می باشد. لزومی ندارد کاربر با این کلاس کار کند و کلاس SecurityImage جوابگوی نیازهای کاربر می باشد.
کد:
public class SecurityImageSupplier : SecurityImageInfo
{
public SecurityImageSupplier()
{
}
public SecurityImageSupplier(string code, int width, int height, SecurityLevel level)
{
_code = code;
_width = width;
_height = height;
_level = level;
}
public SecurityImageInfo QueryDecode(string secretCode)
{
... Decoding Query and parse private attributs
return this;
}
public string QueryEncode()
{
return QueryEncode(_code, _width, _height, _level);
}
public string QueryEncode(string code, int width, int height, SecurityLevel level)
{
... Create query and code it by parameters and initializing private attributes
}
public void WriteImageToStream(Stream output)
{
... Create and draw security image
result.Save(output, System.Drawing.Imaging.ImageFormat.Jpeg);
}
}
از این کلاس برای رسم تصویر در فایل SecurityImageGenerator.aspx استفاده شده است.
کد:
protected void Page_Load(object sender, EventArgs e)
{
string query = Request.Url.Query;
query = query.Substring(1);
SecurityImageSupplier supplier = new SecurityImageSupplier();
supplier.QueryDecode(query);
Response.Clear();
supplier.WriteImageToStream(Response.OutputStream);
}
کد فوق شامل تمام عملیات رسم و تولید تصویر امنیتی می باشد. متدهای QueryDecode و QueryEncode همان وظایف گذشته را بر عهده دارند و فقط نام آنها تغییر کرده است.
کلاس SecurityImage
کلاس SecurityImage همان کلاسی ست که کاربر با استفاده از آن همانند روش قبل عمل تولید تصاویر امنیتی را انجام می دهد. البته تغییرات جزئی را ناچارا بر این کلاس اعمال کردم.
کد:
public class SecurityImage : SecurityImageInfo
{
... Constructors
public string Generate(SecurityLevel newLevel)
{
_level = newLevel;
return Generate();
}
public string Generate()
{
... Generate Code
_code = code;
SecurityImageSupplier supplier = new SecurityImageSupplier(_code, _width, _height, _level);
_simgUri = "SecurityImageGenerator.aspx?" + supplier.QueryEncode();
return _simgUri;
}
}
نحوه ی استفاده سریعدر این قسمت قصد دارم علاوه بر شرح نحوه استفاده کلاس SecurityImage برای تولید تصاویر امنیتی، طریقه ی استفاده از یک CustomValidator را برای بررسی صحت کد وارد شده توسط کاربر را نیز ذکر کنم. به کدهای زیر توجه فرمائید :
کد:
if (!this.IsPostBack)
{
SecurityImage simg = new SecurityImage(SecurityLevel.VeryHigh);
simg.Generate();
ViewState["rbVeryHigh"] = simg.Code;
iVeryHigh.ImageUrl = simg.SecurityImageUri;
MD5CryptoServiceProvider md5 = new MD5CryptoServiceProvider();
byte[] securityCodeBytes = Encoding.ASCII.GetBytes(simg.Code.ToLower());
byte[] hashedBytes = md5.ComputeHash(securityCodeBytes,0,securityCodeBytes.Length);
string b64str = Convert.ToBase64String(hashedBytes,0,hashedBytes.Length);
hiHashedSecurityCode.Value = b64str.Substring(0, b64str.Length - 2);
}
برای تولید تصویر امنیتی همانند گذشته عمل کردیم با این تفاوت که به جای Session از ViewState برای نگاه داری کد امنیتی استفاده کرده ایم. در ادامه کد امنیتی تولید شده را توسط الگوریتم MD5 به صورت Hash در آورده و آن را درون یک HtmlInputHidden قرار دادیم. دقت کنید که اگر مقدار کد امنیتی را بدون تغییر درون این فیلد نگاه داریم آنگاه انگار که هیچ کار مفیدی تا کنون انجام نداده ایم.
فایل های SecurityImageGenerator.aspx، SecurityImage.dll و نیز md5.js (در صورت تمایل به استفاده از CustomValidator و نیز جهت کار با متدهای هش کننده md5 در سمت کلاینت) را به پروژه ی خود بیافزائید.
کدهای Javascript زیر را به صفحه اضافه می کنیم.
کد:
<script src="md5.js" language="javascript" type="text/javascript"></script>
<script language="javascript" type="text/javascript">
function SecurityImageValidator(sender,args)
{
if(b64_md5(args.Value.toLowerCase())==document.getElementById("hiHashedSecurityCode").value)
args.IsValid=true;
else
args.IsValid=false;
return args.IsValid;
}
</script>
مجددا توجه شما را به این مطلب جلب می کنم که کدهای فوق و نیز بخش دوم کدهای Server Side قبلی برای اضافه کردن CustomValidator می باشد و در صورتی که شما مایل به استفاده از آن نیستید نباید این کدها را به صفحه ی aspx خود اضافه کنید.
یک RequiredFieldValidator و یک عدد CustomValidator را چاشنی وب فرم خود کنید و برای خصوصیت ClientValidationFunction کنترل CustomValidator مقدار SecurityImageValidator را وارد نمائید. این باعث می شود تا قبل از PostBack صفحه فانکشن جاوااسکریپت فوق اجرا شود و Validation آن از طریق این Function چک شود.
در نهایت فرم شما باید شکلی شبیه به شکل زیر باشد :
و در نهایت کدهای زیر را به عنوان آخرین کدهای آزمایش صحت Security Code در هنگام پست شدن صفحه و قبل از انجام هر عملیاتی قرار می دهیم :
کد:
protected void Check_Click(object sender, EventArgs e)
{
bool correct = false;
if (ViewState["rbVeryHigh"].ToString().ToLower().Equals(tbCode.Text.ToLower()))
correct = true;
if (correct)
Response.Write("<h1>Success !!</h1>");
else
Response.Write("Failed.");
}
توجه : نباید فقط به قرار دادن یک CustomValidator اکتفا کرد و حتما می بایست مجددا آزمون برابر اصل بودن Security Code را درسمت سرور انجام داد.
-----------------------------------------------------------------------------------------------------------------------------------------------
کتابخانه افکتها
یک کتابخانه از Filterها شامل برنامه است که می توانید با استفاده از آن افکتهای گوناگونی بر روی تصویر اعمال کنید. این کتابخانه توسط آقای Christian Graus نوشته شده است.
افکت Water و Pattern رو به Security Image اضافه کردم...
این کتابخانه شامل مجموعه ای از توابع قدرتمند برای پردازش و ویرایش تصاویر هست. به جرات می تونم بگم اکثر فیل ترهای Photoshop رو می تونید در این کتابخانه رایگان و open source پیدا کنید. از جمله فیل ترهایی نظیر Displacement Filters، Edge Detection، Convolution، Filter و etc. از نظر کدینگ باید بگم همه ی کدها managed نیست و در داخل کتابخانه کدهای unsafe نیز به چشم می خوره که ویژکی های unmanaged و سرعت رو برای کتابخانه به ارمغان می یاره. در زیر لیست از تمامی امکانات و فیل تر های این کتابخانه ی سریع و قدرتمند ذکر شده است :
Displacement Filters :
Flip
Random Jitter
Swirl
Sphere
Time Wrap
Moire
Water
Pixelate
Custom Filters:
Resize
Edge Detection:
Kirsh
Prewitt
Sobel
Horizontal
Vertical
Homogenity
Difference
Edge Enhance
Convolution:
Smooth
Gaussian Blur
Mean Removal
Sharpen
EmbossLaplacian
EdgeDetectQuick
Custom
Filter:
Invert
GrayScale
Brightness
Contrast
Gamma
Color
وبلاگ من با عنوان دنیای برنامه نویسی
http://programming.rasekhblog.com
--------------------------------------------
منبع : انجمن برنامه نویسی دات نت
url : dotnetsource.com
