[Owasp-turkey] Lisanslama Algoritmaları

Oğuzhan YILMAZ aspsrc at gmail.com
Wed Sep 24 03:42:24 EDT 2008


Merhabalar,
Verdiğiniz bilgiler için teşekkürler. Ortak key olarak DES kullandım bende.
Üzerinde çalıştığı sunucu genelde static ip aldığı için ip parametersini
eklemiştim fakat zamana bağlı yeni bir kriter çok iyi bir fikir. Zaman
kriteri ile düşündüğüm sıkıntıları aşabilirim sanırım. Zaman senkronizesi
içinde ortak bir time server kullandırtabilirim. Programın kurulumunda bunu
set ettirebilirim. Bu doğrultuda hareket edicem sanırım.

İkinci bir türde windows'ta ki gibi bir şifreleme düşündüm. Makina
donanımına ve ip adresine göre sunucuya özel bir anahtar çıkartıp lisans
sunucusuna göndericek. Gelen anahtara karşılıkta yeni bir anahtar üretip
kullanıcı manual olarak ekrana girecek. İllene anahtarda olmayabilir DES ile
şifrelenmiş kocaman bir metinde olabilir. Daha sonra belirli aralıklarla
sunucu lisans bilgisini gönderebilir.

1'inci paragraftaki yöntem daha mantıklı ama yeni fikirlerede açığım.

Her ne kadar web güvenliği ile ilgili bir liste olsada cevaplar için
teşekkürler .


24 Eylül 2008 Çarşamba 09:59 tarihinde Bunyamin DEMIR <
bunyamindemir at gmail.com> yazdı:

> Merhabalar Oguzhan,
>
> Client ile sunucu arasinda ortak bir "key" tanimlasaniz. bunlar DES, AES
> turevleri olabilir (1). Ayni zamanda client`in static ip sini bir kisit
> olarak kullansaniz (2). Hatta ilk bahsettigim KEY i zamana bagli bir
> fonksiyondan gecirseniz (3), Bir de ssl ile trafigi saglasaniz ben yeterli
> olabilecegi kanisindayim.
>
> Belki uygulamamiz ayni olmasada buna benzer bir teknigi farkli bir is icin
> kullanmistim.
>
> 1) DES daha makul olabilir.
> 2) Static ip olacagini varsayiyorum.
> 3) İstek aninin zamani ile KEY (1) karistirilarak gonderilebilir. Yani; Key
> sadece istek yapilan ilk 15 sn icinde gecerli olabilir. Baglanti
> saglandiktan sonra zaten zaman gecmis ve baskasinin eline gecsede
> kullanamayacagi bir Key elde etmis olabilir. Tabi burda sunucu-istemcinin
> zaman ayarlari ayni olmali. Bu bahsettigim olayi sadece biraz daha karmasik
> hale getirebilir, okadar.
>
> Umarim yanlis anlamamisimdir.
>
> Saygilar,
>
> 24 Eylül 2008 Çarşamba 02:03 tarihinde Oğuzhan YILMAZ <aspsrc at gmail.com>yazdı:
>
>>  Merhabalar,
>>
>> Uzun zamandan beri üzerinde çalıştığım .net framework 2.0 ve C# kullanarak
>> geliştirdiğim Server-Client tarzı bir uygulamam var.
>> Kısaca yaptığı işi belirtmek gerekirse. wİndows Application şeklinde
>> çalışan Hosting Kontrol Paneli diyebiliriz. Sunucu kısmı hosting şirketinin
>> sunucusunda çalışıyor. Hosting şirketide müşterilerine masaüstü uygulaması
>> tarzındaki istemcisini dağıtıp hizmetlerini müşterinin kendi yönetmesini
>> sağlıyor.
>>
>> Esas danışmak istediğim husus ise. Bu ürünün lisanslamasını en
>> güvenilir(?) şekilde hangi türde yapabiliriz.? Konu ile ilgili dünyadaki
>> standartlar nelerdir?
>>
>> Genelde yapılan teknik ve benim düşündüğüm şöyle.
>> Uygulamanın kurulu olduğu sunucudan üreticinin sunucusuna içinde anahtar
>> bilgisi olan bir istek gidiyor. Üretici sunucusuda bu istek'e göre olumlu
>> yada olumsuz cevap döndürüyor. Bu teknik ortadaki adam saldırısı gibi bir
>> çok yönteme açık olduğundan biraz endişeliyim. Aradaki veriyi ssl ile
>> gönderirsek yinede bu tipteki yöntemleri by-pass edebilirmiyiz? İstek'te
>> bulunan sunucya fake bir üretici sunucusuda gösterilebilir.
>>
>> Sonuç: Hala tam olarak nasıl bir lisanslama yöntemi kullanacağımı
>> belirleyemedim.
>>
>> --
>> Oğuzhan
>>
>>
>> _______________________________________________
>> Owasp-turkey mailing list
>> Owasp-turkey at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>
>>
>
>
> --
> Bunyamin Demir
> OWASP-Turkey Member
> http://www.webguvenligi.org
>



-- 
Oğuzhan
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20080924/759530cc/attachment.html 


More information about the Owasp-turkey mailing list