[Owasp-turkey] Lisanslama Algoritmaları

Bunyamin DEMIR bunyamindemir at gmail.com
Wed Sep 24 02:59:51 EDT 2008


Merhabalar Oguzhan,

Client ile sunucu arasinda ortak bir "key" tanimlasaniz. bunlar DES, AES
turevleri olabilir (1). Ayni zamanda client`in static ip sini bir kisit
olarak kullansaniz (2). Hatta ilk bahsettigim KEY i zamana bagli bir
fonksiyondan gecirseniz (3), Bir de ssl ile trafigi saglasaniz ben yeterli
olabilecegi kanisindayim.

Belki uygulamamiz ayni olmasada buna benzer bir teknigi farkli bir is icin
kullanmistim.

1) DES daha makul olabilir.
2) Static ip olacagini varsayiyorum.
3) İstek aninin zamani ile KEY (1) karistirilarak gonderilebilir. Yani; Key
sadece istek yapilan ilk 15 sn icinde gecerli olabilir. Baglanti
saglandiktan sonra zaten zaman gecmis ve baskasinin eline gecsede
kullanamayacagi bir Key elde etmis olabilir. Tabi burda sunucu-istemcinin
zaman ayarlari ayni olmali. Bu bahsettigim olayi sadece biraz daha karmasik
hale getirebilir, okadar.

Umarim yanlis anlamamisimdir.

Saygilar,

24 Eylül 2008 Çarşamba 02:03 tarihinde Oğuzhan YILMAZ <aspsrc at gmail.com>yazdı:

>  Merhabalar,
>
> Uzun zamandan beri üzerinde çalıştığım .net framework 2.0 ve C# kullanarak
> geliştirdiğim Server-Client tarzı bir uygulamam var.
> Kısaca yaptığı işi belirtmek gerekirse. wİndows Application şeklinde
> çalışan Hosting Kontrol Paneli diyebiliriz. Sunucu kısmı hosting şirketinin
> sunucusunda çalışıyor. Hosting şirketide müşterilerine masaüstü uygulaması
> tarzındaki istemcisini dağıtıp hizmetlerini müşterinin kendi yönetmesini
> sağlıyor.
>
> Esas danışmak istediğim husus ise. Bu ürünün lisanslamasını en güvenilir(?)
> şekilde hangi türde yapabiliriz.? Konu ile ilgili dünyadaki standartlar
> nelerdir?
>
> Genelde yapılan teknik ve benim düşündüğüm şöyle.
> Uygulamanın kurulu olduğu sunucudan üreticinin sunucusuna içinde anahtar
> bilgisi olan bir istek gidiyor. Üretici sunucusuda bu istek'e göre olumlu
> yada olumsuz cevap döndürüyor. Bu teknik ortadaki adam saldırısı gibi bir
> çok yönteme açık olduğundan biraz endişeliyim. Aradaki veriyi ssl ile
> gönderirsek yinede bu tipteki yöntemleri by-pass edebilirmiyiz? İstek'te
> bulunan sunucya fake bir üretici sunucusuda gösterilebilir.
>
> Sonuç: Hala tam olarak nasıl bir lisanslama yöntemi kullanacağımı
> belirleyemedim.
>
> --
> Oğuzhan
>
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>


-- 
Bunyamin Demir
OWASP-Turkey Member
http://www.webguvenligi.org
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20080924/596fd9d6/attachment.html 


More information about the Owasp-turkey mailing list