[Owasp-turkey] Remember Me?

Oğuzhan YILMAZ aspsrc at gmail.com
Mon Sep 3 23:18:56 UTC 2012


Selamlar Bünyamin,

Evet. Aslında oldukça direndim eklememek için fakat sistem yöneticileri
uygulamada fazla zaman geçiriyorlar 20 dakikada bir user/pass girmek
sinirlerini bozuyor. Session timeout'u arttırdığım zamanda çok kullanıcılı
sistemlerde masraflı olabiliyor (performans). Sanırım opsiyonlu yapmak
(şimdi aklıma geldi) saldırı alanını daraltacaktır. En azından "remember
me" özelliğini açarsanız biz karışmayız deriz :)

Yeni sürümde ekleyeceğiz malesef.
Dediğin gibi IP + TIME + USERNAME + SALT'ı encode edip aynısını da server
tarafın da veritabanına yazıp, eşleştirp üzerine validasyonlarla
güçlendirmeyi düşünüyorum. Zaman ve IP'yi kısıtlama olarak kullanacağım
belki User-Agent'da eklenebilir veya ayrı bir referans numarası tanımlayıp
ordanda bir kriter ekleyebilirim.

Bunlar yeterli olur mu? (Saldırı çeşitlerinin tamamını bilmediğimden.)

Oğuzhan



4 Eylül 2012 01:59 tarihinde Bunyamin Demir <bunyamindemir at gmail.com> yazdı:

> Oğuzhan selam,
>
> Öncelikle sevimsiz bir özelliği aktif etmeye çalıştığını söyleyeyim. Çünkü
> istemci taraflı veri saklamak zorunda kalacaksın -ki bu da kullanıcının
> bilgisayarına guvenmek demektir (hatalı bir yaklaşım uygulamacı açısından).
> Fakat yine de eklenecek bir özellik ise COOKIE de yeterli uzunluk ve
> karmaşıklıkta bir token bırak. Eğer bunu kullanacak kişiler sabit IP
> kullanıyor ise veritabanında ilgili token değerini IP ile sakla ve her
> geldiğinde kontrol et. Süre hesabınını da sunucu tarafında tutmanı
> öneririm. Eğer COOKIE de tutacaksan da encrypted(token+time) şeklinde
> şifreli metin olarak saklaman iyi olacaktır.
>
> Tekrar söylüyorum; doğası gereği güvenli bir feature değildir.
>
> Not: Liste de sorun var sanırım, attığım mail hata olarak geri döndü,
> tekrar gönderiyorum. Çift alanlar için özür dilerim.
>
> Syg.
>
>
> 4 Eylül 2012 01:46 tarihinde Oğuzhan YILMAZ <aspsrc at gmail.com> yazdı:
>
>>  Selamlar,
>>
>> Bizim uygulamadaki (.net + mvc3 ile oluşturulmuş web uygulaması) login
>> kısmına herkesin bildiği şu klasik "Remember Me" özelliğini ekleyeceğiz.
>> Yani bir cookies yardımı ile belirli bir süre tekrar user/pass girmesine
>> gerek kalmadan session alabilecek.
>>
>> Şimdi ordan burdan okuyup bir anti-pattern çıkartma ihtimaline karşı önce
>> tavsiyeleri veya döküman önerilerini alayım dedim ;)
>>
>> Bu doğrultura önerileriniz neler olur?
>>
>> Saygılar,
>> __
>> Oğuzhan
>>
>>
>> _______________________________________________
>> Owasp-turkey mailing list
>> Owasp-turkey at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>
>>
>
>
> --
> Bünyamin Demir
> OWASP-Turkey Chapter Lead
> http://www.webguvenligi.org
> http://www.owasp.org/index.php/Turkey
>
> Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>
-------------- sonraki b?l?m --------------
Bir HTML eklentisi temizlendi...
URL: <http://lists.owasp.org/pipermail/owasp-turkey/attachments/20120904/8c1592aa/attachment.html>


More information about the Owasp-turkey mailing list