[Owasp-turkey] Lisanslama Algoritmaları

Ferruh Mavituna ferruh at mavituna.com
Thu Sep 25 08:14:51 EDT 2008


Merhabalar,

Ben acikcasi temel istegi henuz tam anlayamadim buradaki, belki bir seyi
kaciriyorumdur.

Anladigim kadariyla bir yazilim var, sunuculara kurulacak ve konu bunun
lisanslamasi. Sanirim yazilimin kuruldugu sunucuya baglanan client' lar la
alakali bir konu yok. Esas olay hosting firmasindaki yazilim lisansi.

SSL kullandikca ve invalidated SSL leri kabul etmedikce (varsayilan olarak
.net kabul etmiyor) MITM (ortadaki adam) saldirilarindan korkmaniza gerek
yok. SSL sizi bunlardan koruyor. Ama zaten sanirim esas konu MITM degil de
biri sahte bir lisasn sunucusu yaparsa. Ben oraya gitmeden daha ciddi bir
sorunun altini da cizeyim, direk .NET kodunu degistirmek ve klasik crack
uretmek bence daha ciddi bir sorun olacaktir. Yani butun DES keyler ve SSL
lerin yaninda saldirgan sadece bir bit degistirerek o istegi sonucunu her
zaman True olarak gosterebilir. (*ama fake sunucu atagina en pratik cozum
SSL ve hardcoded domain olacaktir, dolayisiyla o tip bir lisans sisteminde
SSL sorununu bir nebze de olsa cozer, ek olarak ik tarafindan paylastigi bir
onay algoritmasi da yetecektir.*)

Herseyden once sisteminiz duzenli guncelleme gerekmedikce ve online bir
isleme gerek duymadikca hersey client-side olmus oluyor. Sonuc malum
bildigin gibi client-side da guvenlik yok. Dolayisiyla yazilim baskasinin
bilgisayarina yuklenince konu kapanmis oluyor, ama amac bunu en zor hale
getirmek. Yani tam anlamiyla "security through obscurity".

Ilk olarak .NET Obfuscator lardan bir tanesini siddetle tavsiye ederim, bu
sayede kodu decompile etmek ve anlamak saldirgan icin biraz daha zor
olacaktir. Ikinci olarak. Strong Naming kullanmak da bu konuda azda olsa
yardimci olacak seylerden biri, genel olarakta guzel bir pratik zaten
guvenlik acisindan.

Bence kendi lisans sisteminizi yazmak yerine hazir sistemlerden birini
kullanabilirsiniz, acikcasi aklimda olan bir yazilim yok ama bu isi yapan
bir cok firma var. Kendi basit lisasn sisteminiz + bu tip hazir bir
lisanslama modeli (veya modifiye edilmisi) + obfuscation sanirim en iyi
cozumlerden biri olacaktir.

Dedigim gibi olayi tamamen yanlis anlamista olabilirim :)



2008/9/24 Oğuzhan YILMAZ <aspsrc at gmail.com>

> Merhabalar,
>
> Uzun zamandan beri üzerinde çalıştığım .net framework 2.0 ve C# kullanarak
> geliştirdiğim Server-Client tarzı bir uygulamam var.
> Kısaca yaptığı işi belirtmek gerekirse. wİndows Application şeklinde
> çalışan Hosting Kontrol Paneli diyebiliriz. Sunucu kısmı hosting şirketinin
> sunucusunda çalışıyor. Hosting şirketide müşterilerine masaüstü uygulaması
> tarzındaki istemcisini dağıtıp hizmetlerini müşterinin kendi yönetmesini
> sağlıyor.
>
> Esas danışmak istediğim husus ise. Bu ürünün lisanslamasını en güvenilir(?)
> şekilde hangi türde yapabiliriz.? Konu ile ilgili dünyadaki standartlar
> nelerdir?
>
> Genelde yapılan teknik ve benim düşündüğüm şöyle.
> Uygulamanın kurulu olduğu sunucudan üreticinin sunucusuna içinde anahtar
> bilgisi olan bir istek gidiyor. Üretici sunucusuda bu istek'e göre olumlu
> yada olumsuz cevap döndürüyor. Bu teknik ortadaki adam saldırısı gibi bir
> çok yönteme açık olduğundan biraz endişeliyim. Aradaki veriyi ssl ile
> gönderirsek yinede bu tipteki yöntemleri by-pass edebilirmiyiz? İstek'te
> bulunan sunucya fake bir üretici sunucusuda gösterilebilir.
>
> Sonuç: Hala tam olarak nasıl bir lisanslama yöntemi kullanacağımı
> belirleyemedim.
>
> --
> Oğuzhan
>
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>


-- 
Ferruh Mavituna
http://ferruh.mavituna.com
-------------- next part --------------
An HTML attachment was scrubbed...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20080925/ef9d285c/attachment.html 


More information about the Owasp-turkey mailing list