[Owasp-turkey] Remember Me?

Canberk BOLAT canberk.bolat at gmail.com
Tue Sep 4 13:21:59 UTC 2012


Selamlar Oğuzhan,

Bu arada Facebook'ta da guzel bir feature gormustum onuda uyarlayabilirsin,
kullanıcıya acik biraktigi oturumlari gosteriyordu ve istediklerinin expire
olmasina imkan sagliyordu, biraz daha kontrolu kullaniciya verebilirsin.
Ornegin X mekanda internete girdi ama emin degil Beni Hatirla secip
secmediginden, bu sayede girip kontrol edip sonlandirabilir en azindan.


4 Eylül 2012 14:57 tarihinde Oğuzhan YILMAZ <aspsrc at gmail.com> yazdı:

> Değerli tavsiyelerin için Teşşekürler Bünyamin, dediğin mantıklı bu
> doğrultuda ilerliyorum.
>
> Oğuzhan
>
>
>
> 4 Eylül 2012 14:52 tarihinde Bunyamin Demir <bunyamindemir at gmail.com>yazdı:
>
> Selam Oğuzhan,
>>
>> IP değişmez ise saldırı yüzeyini düşürmüş oluyorsun aslında. Fakat IP'nin
>> değişmeyeceği her zaman garanti mi emin değilim. Gerçi senin yazdığın
>> uygulama için bu göz önünde bulundurulabilir.
>>
>> Eğer tüm veriyi kullanıcı tarafında saklayacaksan (IP,TIME,USERNAME,SALT)
>> bunları encode değil, encrypted gönder. SALT'ı da göndermene gerek yok
>> aslıda. Zira bir hashing algoritması kullanmayacaksın, kesinlikle
>> encryption algoritması olmalı. Fakat SALT'ı şu amaç ile kullanabilirsin;
>> her bir kullanıcı için bir "remember me" token'ı oluşur ve bu veritabanında
>> tutulur. Bu token SALT gibi IP,TIME ve USERNAME ile encrypted edilerek
>> istemci de saklanabilir. İstemciden sana gelen veriden username, ip ve
>> token bilgisini çıkartır, veritabanından eşlersen, doğru ise izin verir,
>> değilse yeniden girişini istersin. Hatta böyle yapsan, username bilgisini
>> bile göndermene gerek olmayabilir (IP,TIME, TOKEN) yeterli olur gibi. Tabi
>> veritabanında bu TOKEN kime ait, ne kadar zaman yaşacak bilgileri tutulup,
>> karşılaştırılmalı. Belli bir günden sonra yaşayan kayıtlar da ara ara
>> silinmeli v.s.
>>
>> Bunlar yeterli olur gibi. Şayet uzak kaçamıyorsan :).
>>
>> Syg.
>>
>>
>>
>>
>> 4 Eylül 2012 02:18 tarihinde Oğuzhan YILMAZ <aspsrc at gmail.com> yazdı:
>>
>> Selamlar Bünyamin,
>>>
>>> Evet. Aslında oldukça direndim eklememek için fakat sistem yöneticileri
>>> uygulamada fazla zaman geçiriyorlar 20 dakikada bir user/pass girmek
>>> sinirlerini bozuyor. Session timeout'u arttırdığım zamanda çok kullanıcılı
>>> sistemlerde masraflı olabiliyor (performans). Sanırım opsiyonlu yapmak
>>> (şimdi aklıma geldi) saldırı alanını daraltacaktır. En azından "remember
>>> me" özelliğini açarsanız biz karışmayız deriz :)
>>>
>>> Yeni sürümde ekleyeceğiz malesef.
>>> Dediğin gibi IP + TIME + USERNAME + SALT'ı encode edip aynısını da
>>> server tarafın da veritabanına yazıp, eşleştirp üzerine validasyonlarla
>>> güçlendirmeyi düşünüyorum. Zaman ve IP'yi kısıtlama olarak kullanacağım
>>> belki User-Agent'da eklenebilir veya ayrı bir referans numarası tanımlayıp
>>> ordanda bir kriter ekleyebilirim.
>>>
>>> Bunlar yeterli olur mu? (Saldırı çeşitlerinin tamamını bilmediğimden.)
>>>
>>> Oğuzhan
>>>
>>>
>>>
>>> 4 Eylül 2012 01:59 tarihinde Bunyamin Demir <bunyamindemir at gmail.com>yazdı:
>>>
>>> Oğuzhan selam,
>>>>
>>>> Öncelikle sevimsiz bir özelliği aktif etmeye çalıştığını söyleyeyim.
>>>> Çünkü istemci taraflı veri saklamak zorunda kalacaksın -ki bu da
>>>> kullanıcının bilgisayarına guvenmek demektir (hatalı bir yaklaşım
>>>> uygulamacı açısından). Fakat yine de eklenecek bir özellik ise COOKIE de
>>>> yeterli uzunluk ve karmaşıklıkta bir token bırak. Eğer bunu kullanacak
>>>> kişiler sabit IP kullanıyor ise veritabanında ilgili token değerini IP ile
>>>> sakla ve her geldiğinde kontrol et. Süre hesabınını da sunucu tarafında
>>>> tutmanı öneririm. Eğer COOKIE de tutacaksan da encrypted(token+time)
>>>> şeklinde şifreli metin olarak saklaman iyi olacaktır.
>>>>
>>>> Tekrar söylüyorum; doğası gereği güvenli bir feature değildir.
>>>>
>>>> Not: Liste de sorun var sanırım, attığım mail hata olarak geri döndü,
>>>> tekrar gönderiyorum. Çift alanlar için özür dilerim.
>>>>
>>>> Syg.
>>>>
>>>>
>>>> 4 Eylül 2012 01:46 tarihinde Oğuzhan YILMAZ <aspsrc at gmail.com> yazdı:
>>>>
>>>>>  Selamlar,
>>>>>
>>>>> Bizim uygulamadaki (.net + mvc3 ile oluşturulmuş web uygulaması) login
>>>>> kısmına herkesin bildiği şu klasik "Remember Me" özelliğini ekleyeceğiz.
>>>>> Yani bir cookies yardımı ile belirli bir süre tekrar user/pass girmesine
>>>>> gerek kalmadan session alabilecek.
>>>>>
>>>>> Şimdi ordan burdan okuyup bir anti-pattern çıkartma ihtimaline karşı
>>>>> önce tavsiyeleri veya döküman önerilerini alayım dedim ;)
>>>>>
>>>>> Bu doğrultura önerileriniz neler olur?
>>>>>
>>>>> Saygılar,
>>>>> __
>>>>> Oğuzhan
>>>>>
>>>>>
>>>>> _______________________________________________
>>>>> Owasp-turkey mailing list
>>>>> Owasp-turkey at lists.owasp.org
>>>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>>>
>>>>>
>>>>
>>>>
>>>> --
>>>> Bünyamin Demir
>>>> OWASP-Turkey Chapter Lead
>>>> http://www.webguvenligi.org
>>>> http://www.owasp.org/index.php/Turkey
>>>>
>>>> Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
>>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>>
>>>> _______________________________________________
>>>> Owasp-turkey mailing list
>>>> Owasp-turkey at lists.owasp.org
>>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>>
>>>>
>>>
>>> _______________________________________________
>>> Owasp-turkey mailing list
>>> Owasp-turkey at lists.owasp.org
>>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>>
>>>
>>
>>
>> --
>> Bünyamin Demir
>> OWASP-Turkey Chapter Lead
>> http://www.webguvenligi.org
>> http://www.owasp.org/index.php/Turkey
>>
>> Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>
>> _______________________________________________
>> Owasp-turkey mailing list
>> Owasp-turkey at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>
>>
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>


-- 
Canberk Bolat
Security Researcher
http://twitter.com/cnbrkbolat
http://cbolat.blogspot.com
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.owasp.org/pipermail/owasp-turkey/attachments/20120904/a4ff44e7/attachment.html>


More information about the Owasp-turkey mailing list