[Owasp-turkey] Onerileriniz

Bunyamin DEMIR bunyamindemir at gmail.com
Sat Jun 9 18:16:50 EDT 2007


Merhabalar,

Ben satır aralarına yazacağım. Umarım okurken zorluk olmaz.


08.06.2007 tarihinde volkan uzun <vuzun at csusb.edu> yazmış:
>
>  Selamlar,
>
> Uzerinde calistigim bir projede oldukca paranoyak olmak zorundayim; cunku
> gazilerin (veterans) bazi kisisel bilgileri ( sosyal sigorta nosunu son  4
> hanesi, dogum tarihi, hastaliklari  vs ) tutuluyor.
>
> Uygulamayi bastan sonra asp.net 2.0, c#, framework 2.0, sql server 2005
> ile gelistiriyorum.
>
> Simdi sizlerden oneri bekliyorum asagida yazdigim guvenlik amaciyla
> aldigim onlemler disinda yapilmasi gereken seyler sizce var midir ?
>
>
>
>    1. Kullanicilar mutlaka authentication, ve authorization ile sisteme
>    giris yapiyorlar, bu sistemi .net frameworkun membership provider ile
>    hallediyorum. Bir admin acilan kullanici hesaplarini onayladiktan sonra
>    hesaplar kullanilabilir hale geliyor. Sifreler ayda 1 kere kullanim disi
>    oluyor, ve tekrar sifre yaratilmasi isteniyor. Sifreler hash olarak
>    tutuluyor
>    2. Yonetici, her kullanici icin, sayfa bazinda hak tanima islemi
>    yapabiliyor.
>
>
Bunu servis bazında yapsan daha iyi olur. Servis nedir?  Mesela kullanıcının
kendi bilgilerini editlemesi, yeni kullanıcı oluşturulması, mail
gönderebilmesi v.s gibi. Eğer sistemi anlatırsan servis bazına çekme
olayınıda ayrıca konuşabiliriz. Bu neyden kurtarır? Kullanıcı gruplarına
ayrı ayrı haklar tanımak basit ama kullanıcı grupları içinde ki
kullanıcılarada farklı haklar tanıyabilirsin.


>    1. Sisteme her giris/cikis, upload islemi, ve tum kayit silme
>    islemleri loglaniyor ( bunu cok abartmadim veri tabani cildirmasin diye )
>
>
Sanırım kayıt silme işlemini silinen kaydı tutarak yapıyorsundur. Bu
hepimizin geçmişe yönelik datalara ihtiyaç duyduğumuzda yaşadığımız
kaoslardan birisin


>    1. web.config'te connection string kismi sifreli.
>    2. Kullanicilarin hassas bilgileri ( hastalik bilgileri, sosyal
>    sigorta nolari, dogum tarihleri ) simetrik bir anahtarla sifrelendikten
>    sonra veritabanina kayit ediliyor. Bu simetrik anahtar web.configtetutuluyor,
>    web.config'in bu kismida sifreleniyor aspnet_regiis ile. Simetrik
>    keyin bir kopyasi sunucularin bakimi yapan bir kisi tarafindan
>    saklaniyor.Burada guvenlikten sorumlu bir arkadasimiz, simetrik keyi
>    usb keyde saklamayi, ve her veri goruntulenmesi icin anahtardan tekrar
>    okunmasini istedi ama pratikte bu imkansiz.
>
>
Bu olayı cidden merak ettim. Algoritmayı daha detaylı anlatabilir misin? Ve
arada hangi crypto fonksiyonları kullanılıyor?


>    1. veritabaninda henuz yapmadim ama yapmayi dusundugum sql server
>    2005'in sundugu bir imkan olan, veritabani seviyesinde sifreleme
>    kullanilacak..
>    2. Her turlu veri girisi Server.HtmlEncode ile encode yapilarak
>    sisteme kayit ediliyor.
>    3. Her turlu dosya upload isleminde zip islemi yapiliyor.
>    4. tum sql sorgu islemleri stored procedure kullanildi, dinamik sql
>    kesinlikle kullanilmadi, veriler veritabanindan cekilirken sadece gerekli
>    kolonlar cekiliyor.
>    5. web sunucusu ile veri tabani birbirine cross kablo ile bagli ve
>    aralarinda nat ip adresi var ( bu californiada zorunlu bir uygulama gazi
>    bilgileri icin ).
>    6. web sunucusu ve veri tabani bu uygulama disinda baska hicbir
>    uygulamayi barindirmiyor ( bu da baska bir zorunluluk )
>    7. web sunucusuna calistigim yerin verdigi bir sertifika yuklu ve
>    sadece (ssl) https:// ile erisime izin var.
>    8. web sunucusuna erisim hakki olan 4 kisinin kullandigi
>    notebooklarda vpn yuklu, ve vpn ile sisteme girince aldiklari sabit ipler,
>    iis uzerinde authenticated olan tek ipler. Vpn sifreleri sistem admininin
>    sorumlulugu altinda
>    9. vpn kullanmadan sisteme giris yok. ( iis authentaticanda geri
>    cevriliyorlar )
>
>
>
> simdi tek aradigim sey bunlara ekstra olarak, ziplenmis dosyayi nasil
> imzalarim, buna digital olarak imza atabilirsem, upload eden kisinin bir
> bilgisini imza icine atabilirmiyim ?
>

Buna cevap vermek istiyorum ama olayı tam idrak edemedim.

Baska onerdiginiz, acik gordugunuz bir kisim var mi ?
>


Güzel bir çalışma olacağı benziyor. Şimdiden kolay gelsin,



_______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>


-- 
Bunyamin Demir
OWASP-Turkey Chair
http://www.webguvenligi.org
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20070610/9908b956/attachment.html 


More information about the Owasp-turkey mailing list