[Owasp-turkey] Onerileriniz

Kaan Gunay kgunay at gmail.com
Fri Jun 8 13:24:59 EDT 2007


Oncelikle eski calisma arkadasimin bu kadar guvenlik odakli bir uygulama
yaziyor olmasi kadar sevindirici bir sey olamaz.
Bir iki noktada yorum eklemek isterim. Uygulama/veritabani bazinda
ekleyebilecegim birsey yok ama SSL derken kullanilan SSL versiyonuna ve
cipher in min. 128 bit olmasina dikkat etmek lazim. Internet subesi olan
bazi bankalara 40 bit SSL 2.0 ile erisebilmek mumkun.
Sertifika yonetimi ile ilgili bir proses yoksa bunu onceden planlayip
uygulama hayata gectiginde nevcut olmasini saglamak lazim. Bugun
Turkiye'deki buyuk bir banka nisan ayinda expire olmus sertifikasiyla hizmet
vermeye devam ediyor internet subesinde.


Kaan

On 6/8/07, volkan uzun <vuzun at csusb.edu> wrote:
>
>  Selamlar,
>
> Uzerinde calistigim bir projede oldukca paranoyak olmak zorundayim; cunku
> gazilerin (veterans) bazi kisisel bilgileri ( sosyal sigorta nosunu son  4
> hanesi, dogum tarihi, hastaliklari  vs ) tutuluyor.
>
> Uygulamayi bastan sonra asp.net 2.0, c#, framework 2.0, sql server 2005
> ile gelistiriyorum.
>
> Simdi sizlerden oneri bekliyorum asagida yazdigim guvenlik amaciyla
> aldigim onlemler disinda yapilmasi gereken seyler sizce var midir ?
>
>
>
>    1. Kullanicilar mutlaka authentication, ve authorization ile sisteme
>    giris yapiyorlar, bu sistemi .net frameworkun membership provider ile
>    hallediyorum. Bir admin acilan kullanici hesaplarini onayladiktan sonra
>    hesaplar kullanilabilir hale geliyor. Sifreler ayda 1 kere kullanim disi
>    oluyor, ve tekrar sifre yaratilmasi isteniyor. Sifreler hash olarak
>    tutuluyor
>    2. Yonetici, her kullanici icin, sayfa bazinda hak tanima islemi
>    yapabiliyor.
>    3. Sisteme her giris/cikis, upload islemi, ve tum kayit silme
>    islemleri loglaniyor ( bunu cok abartmadim veri tabani cildirmasin diye )
>    4. web.config'te connection string kismi sifreli.
>    5. Kullanicilarin hassas bilgileri ( hastalik bilgileri, sosyal
>    sigorta nolari, dogum tarihleri ) simetrik bir anahtarla sifrelendikten
>    sonra veritabanina kayit ediliyor. Bu simetrik anahtar web.configtetutuluyor,
>    web.config'in bu kismida sifreleniyor aspnet_regiis ile. Simetrik
>    keyin bir kopyasi sunucularin bakimi yapan bir kisi tarafindan
>    saklaniyor.Burada guvenlikten sorumlu bir arkadasimiz, simetrik keyi
>    usb keyde saklamayi, ve her veri goruntulenmesi icin anahtardan tekrar
>    okunmasini istedi ama pratikte bu imkansiz.
>    6. veritabaninda henuz yapmadim ama yapmayi dusundugum sql server
>    2005'in sundugu bir imkan olan, veritabani seviyesinde sifreleme
>    kullanilacak..
>    7. Her turlu veri girisi Server.HtmlEncode ile encode yapilarak
>    sisteme kayit ediliyor.
>    8. Her turlu dosya upload isleminde zip islemi yapiliyor.
>    9. tum sql sorgu islemleri stored procedure kullanildi, dinamik sql
>    kesinlikle kullanilmadi, veriler veritabanindan cekilirken sadece gerekli
>    kolonlar cekiliyor.
>    10. web sunucusu ile veri tabani birbirine cross kablo ile bagli ve
>    aralarinda nat ip adresi var ( bu californiada zorunlu bir uygulama gazi
>    bilgileri icin ).
>    11. web sunucusu ve veri tabani bu uygulama disinda baska hicbir
>    uygulamayi barindirmiyor ( bu da baska bir zorunluluk )
>    12. web sunucusuna calistigim yerin verdigi bir sertifika yuklu ve
>    sadece (ssl) https:// ile erisime izin var.
>    13. web sunucusuna erisim hakki olan 4 kisinin kullandigi
>    notebooklarda vpn yuklu, ve vpn ile sisteme girince aldiklari sabit ipler,
>    iis uzerinde authenticated olan tek ipler. Vpn sifreleri sistem admininin
>    sorumlulugu altinda
>    14. vpn kullanmadan sisteme giris yok. ( iis authentaticanda geri
>    cevriliyorlar )
>
>
>
> simdi tek aradigim sey bunlara ekstra olarak, ziplenmis dosyayi nasil
> imzalarim, buna digital olarak imza atabilirsem, upload eden kisinin bir
> bilgisini imza icine atabilirmiyim ?
>
> Baska onerdiginiz, acik gordugunuz bir kisim var mi ?
>
>
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>
-------------- sonraki bölüm --------------
Bir HTML eklentisi temizlendi...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20070608/ae444099/attachment.html 


More information about the Owasp-turkey mailing list