[Owasp-turkey] Remember Me?

Bunyamin Demir bunyamindemir at gmail.com
Tue Sep 4 11:52:02 UTC 2012


Selam Oğuzhan,

IP değişmez ise saldırı yüzeyini düşürmüş oluyorsun aslında. Fakat IP'nin
değişmeyeceği her zaman garanti mi emin değilim. Gerçi senin yazdığın
uygulama için bu göz önünde bulundurulabilir.

Eğer tüm veriyi kullanıcı tarafında saklayacaksan (IP,TIME,USERNAME,SALT)
bunları encode değil, encrypted gönder. SALT'ı da göndermene gerek yok
aslıda. Zira bir hashing algoritması kullanmayacaksın, kesinlikle
encryption algoritması olmalı. Fakat SALT'ı şu amaç ile kullanabilirsin;
her bir kullanıcı için bir "remember me" token'ı oluşur ve bu veritabanında
tutulur. Bu token SALT gibi IP,TIME ve USERNAME ile encrypted edilerek
istemci de saklanabilir. İstemciden sana gelen veriden username, ip ve
token bilgisini çıkartır, veritabanından eşlersen, doğru ise izin verir,
değilse yeniden girişini istersin. Hatta böyle yapsan, username bilgisini
bile göndermene gerek olmayabilir (IP,TIME, TOKEN) yeterli olur gibi. Tabi
veritabanında bu TOKEN kime ait, ne kadar zaman yaşacak bilgileri tutulup,
karşılaştırılmalı. Belli bir günden sonra yaşayan kayıtlar da ara ara
silinmeli v.s.

Bunlar yeterli olur gibi. Şayet uzak kaçamıyorsan :).

Syg.




4 Eylül 2012 02:18 tarihinde Oğuzhan YILMAZ <aspsrc at gmail.com> yazdı:

> Selamlar Bünyamin,
>
> Evet. Aslında oldukça direndim eklememek için fakat sistem yöneticileri
> uygulamada fazla zaman geçiriyorlar 20 dakikada bir user/pass girmek
> sinirlerini bozuyor. Session timeout'u arttırdığım zamanda çok kullanıcılı
> sistemlerde masraflı olabiliyor (performans). Sanırım opsiyonlu yapmak
> (şimdi aklıma geldi) saldırı alanını daraltacaktır. En azından "remember
> me" özelliğini açarsanız biz karışmayız deriz :)
>
> Yeni sürümde ekleyeceğiz malesef.
> Dediğin gibi IP + TIME + USERNAME + SALT'ı encode edip aynısını da server
> tarafın da veritabanına yazıp, eşleştirp üzerine validasyonlarla
> güçlendirmeyi düşünüyorum. Zaman ve IP'yi kısıtlama olarak kullanacağım
> belki User-Agent'da eklenebilir veya ayrı bir referans numarası tanımlayıp
> ordanda bir kriter ekleyebilirim.
>
> Bunlar yeterli olur mu? (Saldırı çeşitlerinin tamamını bilmediğimden.)
>
> Oğuzhan
>
>
>
> 4 Eylül 2012 01:59 tarihinde Bunyamin Demir <bunyamindemir at gmail.com>yazdı:
>
> Oğuzhan selam,
>>
>> Öncelikle sevimsiz bir özelliği aktif etmeye çalıştığını söyleyeyim.
>> Çünkü istemci taraflı veri saklamak zorunda kalacaksın -ki bu da
>> kullanıcının bilgisayarına guvenmek demektir (hatalı bir yaklaşım
>> uygulamacı açısından). Fakat yine de eklenecek bir özellik ise COOKIE de
>> yeterli uzunluk ve karmaşıklıkta bir token bırak. Eğer bunu kullanacak
>> kişiler sabit IP kullanıyor ise veritabanında ilgili token değerini IP ile
>> sakla ve her geldiğinde kontrol et. Süre hesabınını da sunucu tarafında
>> tutmanı öneririm. Eğer COOKIE de tutacaksan da encrypted(token+time)
>> şeklinde şifreli metin olarak saklaman iyi olacaktır.
>>
>> Tekrar söylüyorum; doğası gereği güvenli bir feature değildir.
>>
>> Not: Liste de sorun var sanırım, attığım mail hata olarak geri döndü,
>> tekrar gönderiyorum. Çift alanlar için özür dilerim.
>>
>> Syg.
>>
>>
>> 4 Eylül 2012 01:46 tarihinde Oğuzhan YILMAZ <aspsrc at gmail.com> yazdı:
>>
>>>  Selamlar,
>>>
>>> Bizim uygulamadaki (.net + mvc3 ile oluşturulmuş web uygulaması) login
>>> kısmına herkesin bildiği şu klasik "Remember Me" özelliğini ekleyeceğiz.
>>> Yani bir cookies yardımı ile belirli bir süre tekrar user/pass girmesine
>>> gerek kalmadan session alabilecek.
>>>
>>> Şimdi ordan burdan okuyup bir anti-pattern çıkartma ihtimaline karşı
>>> önce tavsiyeleri veya döküman önerilerini alayım dedim ;)
>>>
>>> Bu doğrultura önerileriniz neler olur?
>>>
>>> Saygılar,
>>> __
>>> Oğuzhan
>>>
>>>
>>> _______________________________________________
>>> Owasp-turkey mailing list
>>> Owasp-turkey at lists.owasp.org
>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>
>>>
>>
>>
>> --
>> Bünyamin Demir
>> OWASP-Turkey Chapter Lead
>> http://www.webguvenligi.org
>> http://www.owasp.org/index.php/Turkey
>>
>> Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>
>> _______________________________________________
>> Owasp-turkey mailing list
>> Owasp-turkey at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>
>>
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>


-- 
Bünyamin Demir
OWASP-Turkey Chapter Lead
http://www.webguvenligi.org
http://www.owasp.org/index.php/Turkey

Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
https://lists.owasp.org/mailman/listinfo/owasp-turkey
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.owasp.org/pipermail/owasp-turkey/attachments/20120904/6378de79/attachment-0001.html>


More information about the Owasp-turkey mailing list