[Owasp-turkey] Remember Me?

Oğuzhan YILMAZ aspsrc at gmail.com
Tue Sep 4 11:57:26 UTC 2012


Değerli tavsiyelerin için Teşşekürler Bünyamin, dediğin mantıklı bu
doğrultuda ilerliyorum.

Oğuzhan



4 Eylül 2012 14:52 tarihinde Bunyamin Demir <bunyamindemir at gmail.com> yazdı:

> Selam Oğuzhan,
>
> IP değişmez ise saldırı yüzeyini düşürmüş oluyorsun aslında. Fakat IP'nin
> değişmeyeceği her zaman garanti mi emin değilim. Gerçi senin yazdığın
> uygulama için bu göz önünde bulundurulabilir.
>
> Eğer tüm veriyi kullanıcı tarafında saklayacaksan (IP,TIME,USERNAME,SALT)
> bunları encode değil, encrypted gönder. SALT'ı da göndermene gerek yok
> aslıda. Zira bir hashing algoritması kullanmayacaksın, kesinlikle
> encryption algoritması olmalı. Fakat SALT'ı şu amaç ile kullanabilirsin;
> her bir kullanıcı için bir "remember me" token'ı oluşur ve bu veritabanında
> tutulur. Bu token SALT gibi IP,TIME ve USERNAME ile encrypted edilerek
> istemci de saklanabilir. İstemciden sana gelen veriden username, ip ve
> token bilgisini çıkartır, veritabanından eşlersen, doğru ise izin verir,
> değilse yeniden girişini istersin. Hatta böyle yapsan, username bilgisini
> bile göndermene gerek olmayabilir (IP,TIME, TOKEN) yeterli olur gibi. Tabi
> veritabanında bu TOKEN kime ait, ne kadar zaman yaşacak bilgileri tutulup,
> karşılaştırılmalı. Belli bir günden sonra yaşayan kayıtlar da ara ara
> silinmeli v.s.
>
> Bunlar yeterli olur gibi. Şayet uzak kaçamıyorsan :).
>
> Syg.
>
>
>
>
> 4 Eylül 2012 02:18 tarihinde Oğuzhan YILMAZ <aspsrc at gmail.com> yazdı:
>
> Selamlar Bünyamin,
>>
>> Evet. Aslında oldukça direndim eklememek için fakat sistem yöneticileri
>> uygulamada fazla zaman geçiriyorlar 20 dakikada bir user/pass girmek
>> sinirlerini bozuyor. Session timeout'u arttırdığım zamanda çok kullanıcılı
>> sistemlerde masraflı olabiliyor (performans). Sanırım opsiyonlu yapmak
>> (şimdi aklıma geldi) saldırı alanını daraltacaktır. En azından "remember
>> me" özelliğini açarsanız biz karışmayız deriz :)
>>
>> Yeni sürümde ekleyeceğiz malesef.
>> Dediğin gibi IP + TIME + USERNAME + SALT'ı encode edip aynısını da server
>> tarafın da veritabanına yazıp, eşleştirp üzerine validasyonlarla
>> güçlendirmeyi düşünüyorum. Zaman ve IP'yi kısıtlama olarak kullanacağım
>> belki User-Agent'da eklenebilir veya ayrı bir referans numarası tanımlayıp
>> ordanda bir kriter ekleyebilirim.
>>
>> Bunlar yeterli olur mu? (Saldırı çeşitlerinin tamamını bilmediğimden.)
>>
>> Oğuzhan
>>
>>
>>
>> 4 Eylül 2012 01:59 tarihinde Bunyamin Demir <bunyamindemir at gmail.com>yazdı:
>>
>> Oğuzhan selam,
>>>
>>> Öncelikle sevimsiz bir özelliği aktif etmeye çalıştığını söyleyeyim.
>>> Çünkü istemci taraflı veri saklamak zorunda kalacaksın -ki bu da
>>> kullanıcının bilgisayarına guvenmek demektir (hatalı bir yaklaşım
>>> uygulamacı açısından). Fakat yine de eklenecek bir özellik ise COOKIE de
>>> yeterli uzunluk ve karmaşıklıkta bir token bırak. Eğer bunu kullanacak
>>> kişiler sabit IP kullanıyor ise veritabanında ilgili token değerini IP ile
>>> sakla ve her geldiğinde kontrol et. Süre hesabınını da sunucu tarafında
>>> tutmanı öneririm. Eğer COOKIE de tutacaksan da encrypted(token+time)
>>> şeklinde şifreli metin olarak saklaman iyi olacaktır.
>>>
>>> Tekrar söylüyorum; doğası gereği güvenli bir feature değildir.
>>>
>>> Not: Liste de sorun var sanırım, attığım mail hata olarak geri döndü,
>>> tekrar gönderiyorum. Çift alanlar için özür dilerim.
>>>
>>> Syg.
>>>
>>>
>>> 4 Eylül 2012 01:46 tarihinde Oğuzhan YILMAZ <aspsrc at gmail.com> yazdı:
>>>
>>>>  Selamlar,
>>>>
>>>> Bizim uygulamadaki (.net + mvc3 ile oluşturulmuş web uygulaması) login
>>>> kısmına herkesin bildiği şu klasik "Remember Me" özelliğini ekleyeceğiz.
>>>> Yani bir cookies yardımı ile belirli bir süre tekrar user/pass girmesine
>>>> gerek kalmadan session alabilecek.
>>>>
>>>> Şimdi ordan burdan okuyup bir anti-pattern çıkartma ihtimaline karşı
>>>> önce tavsiyeleri veya döküman önerilerini alayım dedim ;)
>>>>
>>>> Bu doğrultura önerileriniz neler olur?
>>>>
>>>> Saygılar,
>>>> __
>>>> Oğuzhan
>>>>
>>>>
>>>> _______________________________________________
>>>> Owasp-turkey mailing list
>>>> Owasp-turkey at lists.owasp.org
>>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>>
>>>>
>>>
>>>
>>> --
>>> Bünyamin Demir
>>> OWASP-Turkey Chapter Lead
>>> http://www.webguvenligi.org
>>> http://www.owasp.org/index.php/Turkey
>>>
>>> Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>
>>> _______________________________________________
>>> Owasp-turkey mailing list
>>> Owasp-turkey at lists.owasp.org
>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>
>>>
>>
>> _______________________________________________
>> Owasp-turkey mailing list
>> Owasp-turkey at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>
>>
>
>
> --
> Bünyamin Demir
> OWASP-Turkey Chapter Lead
> http://www.webguvenligi.org
> http://www.owasp.org/index.php/Turkey
>
> Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>
-------------- sonraki b?l?m --------------
Bir HTML eklentisi temizlendi...
URL: <http://lists.owasp.org/pipermail/owasp-turkey/attachments/20120904/b6bd9acc/attachment.html>


More information about the Owasp-turkey mailing list