[Owasp-turkey] Remember Me?

Bunyamin Demir bunyamindemir at gmail.com
Mon Sep 3 22:59:57 UTC 2012


Oğuzhan selam,

Öncelikle sevimsiz bir özelliği aktif etmeye çalıştığını söyleyeyim. Çünkü
istemci taraflı veri saklamak zorunda kalacaksın -ki bu da kullanıcının
bilgisayarına guvenmek demektir (hatalı bir yaklaşım uygulamacı açısından).
Fakat yine de eklenecek bir özellik ise COOKIE de yeterli uzunluk ve
karmaşıklıkta bir token bırak. Eğer bunu kullanacak kişiler sabit IP
kullanıyor ise veritabanında ilgili token değerini IP ile sakla ve her
geldiğinde kontrol et. Süre hesabınını da sunucu tarafında tutmanı
öneririm. Eğer COOKIE de tutacaksan da encrypted(token+time) şeklinde
şifreli metin olarak saklaman iyi olacaktır.

Tekrar söylüyorum; doğası gereği güvenli bir feature değildir.

Not: Liste de sorun var sanırım, attığım mail hata olarak geri döndü,
tekrar gönderiyorum. Çift alanlar için özür dilerim.

Syg.


4 Eylül 2012 01:46 tarihinde Oğuzhan YILMAZ <aspsrc at gmail.com> yazdı:

> Selamlar,
>
> Bizim uygulamadaki (.net + mvc3 ile oluşturulmuş web uygulaması) login
> kısmına herkesin bildiği şu klasik "Remember Me" özelliğini ekleyeceğiz.
> Yani bir cookies yardımı ile belirli bir süre tekrar user/pass girmesine
> gerek kalmadan session alabilecek.
>
> Şimdi ordan burdan okuyup bir anti-pattern çıkartma ihtimaline karşı önce
> tavsiyeleri veya döküman önerilerini alayım dedim ;)
>
> Bu doğrultura önerileriniz neler olur?
>
> Saygılar,
> __
> Oğuzhan
>
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>


-- 
Bünyamin Demir
OWASP-Turkey Chapter Lead
http://www.webguvenligi.org
http://www.owasp.org/index.php/Turkey

Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
https://lists.owasp.org/mailman/listinfo/owasp-turkey
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.owasp.org/pipermail/owasp-turkey/attachments/20120904/dbbee25a/attachment.html>


More information about the Owasp-turkey mailing list