[Owasp-turkey] Şifrenin plaintext olarak dönmesi?

Bedirhan Urgun bedirhanurgun at gmail.com
Mon Dec 28 01:49:24 EST 2009


Merhaba,
HTTPS, yani SSL uzerinden HTTP, uctan uca sifreleme/butunluk koruma/anahtar
degistirme/.. standardi. Eger soruyu yanlis anlamadiysam;
Sunucu tarafinda sifrelenen kullanici adi/sifre ikilisi (veya kredi karti,
yer bilgisi, mesaj icerigi, v.b.) tarayicinin bulundugu
bilgisayara ulastiginda otomatik olarak cozuluyor.Yani tarayiciya sifresi
cozulmus (decrypt) olarak geliyor. Bu nedenle de sifre size (web browser'a)
sifresi cozulmus halde gosteriliyor. HTTPS'li trafigin tarayicida
cachelenmedigi konusunda ise haklisin.
Sifreleme islemi tarayici ile uzaktaki HTTP sunucusu (veya SSL destekli load
balancer, v.b.) arasinda gerceklesiyor.
Burda aslinda problem HTTPS'de degil de, sifrenin plaintext olarak uzaktaki
makinada (veritabani, LDAP, v.b.) tutulma olasiligi ve belki de daha
onemlisi sifrenin tarayiciya gonderilmesi. Profil guncelleme icin sifrenin
gonderilmesine gerek yok.
kolay gelsin,
bedirhan
26 Aralık 2009 03:35 tarihinde M.S. Dündar <clbr.fentanyl at gmail.com> yazdı:

> Merhaba;
>
> Öncelikle sistemi tanıtayım; aspx teknolojisi kullanıyor. Https iletişim
> kuralı kullanmakta, doğal olarak globalsign güvenlilik sertifikası yani SSL
> bulunduruyor.
>
> Aklıma takılan soru şu : "Profil bilgilerini güncelle" sayfasına girdiğimde
> şifrem bana plaintext olarak döndürülmekte. Göstermek gerekirse :
>
> *http://img33.imageshack.us/img33/811/adsznfu.png*
>
> Yanlış bilmiyorsam oturumum açık olduğu sürece şifremin bu şekilde bana
> döndürülebilmesi cookie’ler sayesinde gerçekleşiyor. Fakat https’in asla
> önbelleğe yüklenmediğini biliyorum. O halde şifrem nasıl bana plaintext
> olarak dönebilir?
>
> Bu konuda bulabildiÄŸim tek kaynak :
>
> http://plone.org/documentation/kb/secure-login-without-plain-text-passwords
>
> Şifremin bu şekilde döndürülmesi bu web sayfasında zaaf yaratırmı?
> Yaratırsa ne gibi zaaflar yaratır?
>
> Şimdiden teşekkürler. Kolay gelsin.
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>


-- 
Bedirhan Urgun
http://www.webguvenligi.org
http://www.owasp.org/index.php/Turkey

Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
https://lists.owasp.org/mailman/listinfo/owasp-turkey
-------------- sonraki bölüm --------------
Bir HTML eklentisi temizlendi...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20091228/494316c4/attachment.html 


More information about the Owasp-turkey mailing list