[Owasp-turkey] Onerileriniz

volkan uzun vuzun at csusb.edu
Fri Jun 8 12:20:28 EDT 2007


Selamlar, 

Uzerinde calistigim bir projede oldukca paranoyak olmak zorundayim; cunku
gazilerin (veterans) bazi kisisel bilgileri ( sosyal sigorta nosunu son  4
hanesi, dogum tarihi, hastaliklari  vs ) tutuluyor.

Uygulamayi bastan sonra asp.net 2.0, c#, framework 2.0, sql server 2005 ile
gelistiriyorum.

Simdi sizlerden oneri bekliyorum asagida yazdigim guvenlik amaciyla aldigim
onlemler disinda yapilmasi gereken seyler sizce var midir ?

 

1.	Kullanicilar mutlaka authentication, ve authorization ile sisteme
giris yapiyorlar, bu sistemi .net frameworkun membership provider ile
hallediyorum. Bir admin acilan kullanici hesaplarini onayladiktan sonra
hesaplar kullanilabilir hale geliyor. Sifreler ayda 1 kere kullanim disi
oluyor, ve tekrar sifre yaratilmasi isteniyor. Sifreler hash olarak
tutuluyor
2.	Yonetici, her kullanici icin, sayfa bazinda hak tanima islemi
yapabiliyor.
3.	Sisteme her giris/cikis, upload islemi, ve tum kayit silme islemleri
loglaniyor ( bunu cok abartmadim veri tabani cildirmasin diye )
4.	web.config'te connection string kismi sifreli.
5.	Kullanicilarin hassas bilgileri ( hastalik bilgileri, sosyal sigorta
nolari, dogum tarihleri ) simetrik bir anahtarla sifrelendikten sonra
veritabanina kayit ediliyor. Bu simetrik anahtar web.configte tutuluyor,
web.config'in bu kismida sifreleniyor aspnet_regiis ile. Simetrik keyin bir
kopyasi sunucularin bakimi yapan bir kisi tarafindan saklaniyor.Burada
guvenlikten sorumlu bir arkadasimiz, simetrik keyi usb keyde saklamayi, ve
her veri goruntulenmesi icin anahtardan tekrar okunmasini istedi ama
pratikte bu imkansiz.
6.	veritabaninda henuz yapmadim ama yapmayi dusundugum sql server
2005'in sundugu bir imkan olan, veritabani seviyesinde sifreleme
kullanilacak..
7.	Her turlu veri girisi Server.HtmlEncode ile encode yapilarak sisteme
kayit ediliyor.
8.	Her turlu dosya upload isleminde zip islemi yapiliyor.
9.	tum sql sorgu islemleri stored procedure kullanildi, dinamik sql
kesinlikle kullanilmadi, veriler veritabanindan cekilirken sadece gerekli
kolonlar cekiliyor.
10.	web sunucusu ile veri tabani birbirine cross kablo ile bagli ve
aralarinda nat ip adresi var ( bu californiada zorunlu bir uygulama gazi
bilgileri icin ).
11.	web sunucusu ve veri tabani bu uygulama disinda baska hicbir
uygulamayi barindirmiyor ( bu da baska bir zorunluluk )
12.	web sunucusuna calistigim yerin verdigi bir sertifika yuklu ve
sadece (ssl) https:// ile erisime izin var.
13.	web sunucusuna erisim hakki olan 4 kisinin kullandigi notebooklarda
vpn yuklu, ve vpn ile sisteme girince aldiklari sabit ipler, iis uzerinde
authenticated olan tek ipler. Vpn sifreleri sistem admininin sorumlulugu
altinda
14.	vpn kullanmadan sisteme giris yok. ( iis authentaticanda geri
cevriliyorlar )

 

simdi tek aradigim sey bunlara ekstra olarak, ziplenmis dosyayi nasil
imzalarim, buna digital olarak imza atabilirsem, upload eden kisinin bir
bilgisini imza icine atabilirmiyim ?

Baska onerdiginiz, acik gordugunuz bir kisim var mi ?

 

-------------- sonraki bölüm --------------
Bir HTML eklentisi temizlendi...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20070608/4a365585/attachment.html 


More information about the Owasp-turkey mailing list