<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:st1="urn:schemas-microsoft-com:office:smarttags" xmlns="http://www.w3.org/TR/REC-html40">

<head>
<meta http-equiv=Content-Type content="text/html; charset=us-ascii">
<meta name=Generator content="Microsoft Word 11 (filtered medium)">
<!--[if !mso]>
<style>
v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}
</style>
<![endif]--><o:SmartTagType
 namespaceuri="urn:schemas-microsoft-com:office:smarttags" name="City"/>
<o:SmartTagType namespaceuri="urn:schemas-microsoft-com:office:smarttags"
 name="place"/>
<!--[if !mso]>
<style>
st1\:*{behavior:url(#default#ieooui) }
</style>
<![endif]-->
<style>
<!--
 /* Font Definitions */
 @font-face
        {font-family:Wingdings;
        panose-1:5 0 0 0 0 0 0 0 0 0;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
 /* Style Definitions */
 p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman";}
a:link, span.MsoHyperlink
        {color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {color:blue;
        text-decoration:underline;}
p
        {mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:12.0pt;
        font-family:"Times New Roman";}
span.EmailStyle19
        {mso-style-type:personal-reply;
        font-family:Arial;
        color:navy;}
@page Section1
        {size:8.5in 11.0in;
        margin:1.0in 1.25in 1.0in 1.25in;}
div.Section1
        {page:Section1;}
 /* List Definitions */
 @list l0
        {mso-list-id:471561159;
        mso-list-type:hybrid;
        mso-list-template-ids:-101708558 67698703 67698713 67698715 67698703 67698713 67698715 67698703 67698713 67698715;}
@list l0:level1
        {mso-level-tab-stop:.5in;
        mso-level-number-position:left;
        text-indent:-.25in;}
@list l1
        {mso-list-id:931818741;
        mso-list-template-ids:-1441122722;}
ol
        {margin-bottom:0in;}
ul
        {margin-bottom:0in;}
-->
</style>

</head>

<body lang=EN-US link=blue vlink=blue>

<div class=Section1>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'>Selamlar Kaan ( ve diger herkese ) <o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'>Biraz mecburiyetten yapiyorum </span></font><font
size=2 color=navy face=Wingdings><span style='font-size:10.0pt;font-family:
Wingdings;color:navy'>J</span></font><font size=2 color=navy face=Arial><span
style='font-size:10.0pt;font-family:Arial;color:navy'>, security officedeki
kisiler californiadaki regulationlari anlatan bir toplanti yaptilar, sanirim
6-7 ay once bir fbi calisaninin calinan laptopuyla birlikte kaybolan onbinlerce
gazi bilgisinden sonra sartlari iyice abartmislar. Mesela &#8220;United States
Department of Health and Human Services&#8221; (HIPAA) uygulamakla yukumlu
oldugumuz bir policysi var evlere senlik.<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'>Mesela ilginc policy sartlarini
listeleyim&nbsp; :<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'><o:p>&nbsp;</o:p></span></font></p>

<ol style='margin-top:0in' start=1 type=1>
 <li class=MsoNormal style='color:navy;mso-list:l0 level1 lfo2'><font size=2
     color=navy face=Arial><span style='font-size:10.0pt;font-family:Arial'>sisteme
     giris yapacak kisinin, ileride silinmesi istenirse ( mesela isten
     ayrildi/atildi, gorev tanimi degisti vs vs ), bu kisi sistemden silenemez,
     sadece tekrar giris yapmasi engellenmeli ki, gecmiste kimler veriye
     ulasabiliyordu gorebilelim<o:p></o:p></span></font></li>
 <li class=MsoNormal style='color:navy;mso-list:l0 level1 lfo2'><font size=2
     color=navy face=Arial><span style='font-size:10.0pt;font-family:Arial'>sisteme
     giris yapacak herkes discloure imzalamak zorunda, yeminlen bisi
     yapmayacaim gibi bisiler yaziyor.<o:p></o:p></span></font></li>
 <li class=MsoNormal style='color:navy;mso-list:l0 level1 lfo2'><font size=2
     color=navy face=Arial><span style='font-size:10.0pt;font-family:Arial'>veritabani
     yedeklendikten sonra yedeklenen medya nerede saklaniyor <o:p></o:p></span></font></li>
</ol>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'>En ilginc olarakta, fax guvenli mekanizma
sayiliyor, yani mesela sisteme giris yapilmasi icin bir gazinin her turlu gizli
bilgilerini iceren bir fax dokumani cekebilirsiniz, fax peer-to-peer sayildigi
icin guvenli ortam olarak varsayiliyor.<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'><o:p>&nbsp;</o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'>Ssl konusuna gelince kaan, bizim okulun
issue ettigi certifika 128 bytes/1024 bit su anda.<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'>Sizce baska nereye egilmem gerekir ?<o:p></o:p></span></font></p>

<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:
10.0pt;font-family:Arial;color:navy'><o:p>&nbsp;</o:p></span></font></p>

<div>

<div class=MsoNormal align=center style='text-align:center'><font size=3
face="Times New Roman"><span style='font-size:12.0pt'>

<hr size=3 width="100%" align=center tabindex=-1>

</span></font></div>

<p class=MsoNormal><b><font size=2 face=Tahoma><span style='font-size:10.0pt;
font-family:Tahoma;font-weight:bold'>From:</span></font></b><font size=2
face=Tahoma><span style='font-size:10.0pt;font-family:Tahoma'> Kaan Gunay
[mailto:kgunay@gmail.com] <br>
<b><span style='font-weight:bold'>Sent:</span></b> Friday, June 08, 2007 10:25
AM<br>
<b><span style='font-weight:bold'>To:</span></b> volkan uzun<br>
<b><span style='font-weight:bold'>Cc:</span></b> owasp-turkey@lists.owasp.org<br>
<b><span style='font-weight:bold'>Subject:</span></b> Re: [Owasp-turkey]
Onerileriniz</span></font><o:p></o:p></p>

</div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><o:p>&nbsp;</o:p></span></font></p>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>Oncelikle eski calisma arkadasimin bu kadar guvenlik odakli bir
uygulama yaziyor olmasi kadar sevindirici bir sey olamaz. <o:p></o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>Bir iki noktada yorum eklemek isterim. Uygulama/veritabani bazinda
ekleyebilecegim birsey yok ama SSL derken kullanilan SSL versiyonuna ve cipher
in min. 128 bit olmasina dikkat etmek lazim. Internet subesi olan bazi
bankalara 40 bit SSL 2.0 ile erisebilmek mumkun.<o:p></o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>Sertifika yonetimi ile ilgili bir proses yoksa bunu onceden planlayip
uygulama hayata gectiginde nevcut olmasini saglamak lazim. Bugun Turkiye'deki
buyuk bir banka nisan ayinda expire olmus sertifikasiyla hizmet vermeye devam
ediyor internet subesinde. <o:p></o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>&nbsp;<o:p></o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>&nbsp;<o:p></o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'>Kaan<br>
&nbsp;<o:p></o:p></span></font></p>

</div>

<div>

<p class=MsoNormal><span class=gmailquote><font size=3 face="Times New Roman"><span
style='font-size:12.0pt'>On 6/8/07, <b><span style='font-weight:bold'>volkan
uzun</span></b> &lt;<a href="mailto:vuzun@csusb.edu">vuzun@csusb.edu</a>&gt;
wrote:</span></font></span> <o:p></o:p></p>

<div vlink=blue link=blue>

<div>

<p><font size=2 color=navy face=Arial><span style='font-size:10.0pt;font-family:
Arial;color:navy'>Selamlar, </span></font><o:p></o:p></p>

<p><font size=2 color=navy face=Arial><span style='font-size:10.0pt;font-family:
Arial;color:navy'>Uzerinde calistigim bir projede oldukca paranoyak olmak
zorundayim; cunku gazilerin (veterans) bazi kisisel bilgileri ( sosyal sigorta
nosunu son &nbsp;4 hanesi, dogum tarihi, hastaliklari&nbsp; vs ) tutuluyor. </span></font><o:p></o:p></p>

<p><font size=2 color=navy face=Arial><span style='font-size:10.0pt;font-family:
Arial;color:navy'>Uygulamayi bastan sonra <a href="http://asp.net/"
target="_blank">asp.net</a> 2.0, c#, framework 2.0, sql server 2005 ile
gelistiriyorum.</span></font><o:p></o:p></p>

<p><font size=2 color=navy face=Arial><span style='font-size:10.0pt;font-family:
Arial;color:navy'>Simdi sizlerden oneri bekliyorum asagida yazdigim guvenlik
amaciyla aldigim onlemler disinda yapilmasi gereken seyler sizce var midir ? </span></font><o:p></o:p></p>

<p><font size=2 color=navy face=Arial><span style='font-size:10.0pt;font-family:
Arial;color:navy'>&nbsp;</span></font><o:p></o:p></p>

<ol start=1 type=1>
 <li class=MsoNormal style='color:navy;mso-margin-top-alt:auto;mso-margin-bottom-alt:
     auto;mso-list:l1 level1 lfo1'><font size=2 color=navy face=Arial><span
     style='font-size:10.0pt;font-family:Arial'>Kullanicilar mutlaka
     authentication, ve authorization ile sisteme giris yapiyorlar, bu sistemi
     .net frameworkun membership provider ile hallediyorum. Bir admin acilan
     kullanici hesaplarini onayladiktan sonra hesaplar kullanilabilir hale
     geliyor. Sifreler ayda 1 kere kullanim disi oluyor, ve tekrar sifre
     yaratilmasi isteniyor. Sifreler hash olarak tutuluyor </span></font><o:p></o:p></li>
 <li class=MsoNormal style='color:navy;mso-margin-top-alt:auto;mso-margin-bottom-alt:
     auto;mso-list:l1 level1 lfo1'><font size=2 color=navy face=Arial><span
     style='font-size:10.0pt;font-family:Arial'>Yonetici, her kullanici icin,
     sayfa bazinda hak tanima islemi yapabiliyor.</span></font> <o:p></o:p></li>
 <li class=MsoNormal style='color:navy;mso-margin-top-alt:auto;mso-margin-bottom-alt:
     auto;mso-list:l1 level1 lfo1'><font size=2 color=navy face=Arial><span
     style='font-size:10.0pt;font-family:Arial'>Sisteme her giris/cikis, upload
     islemi, ve tum kayit silme islemleri loglaniyor ( bunu cok abartmadim veri
     tabani cildirmasin diye ) </span></font><o:p></o:p></li>
 <li class=MsoNormal style='color:navy;mso-margin-top-alt:auto;mso-margin-bottom-alt:
     auto;mso-list:l1 level1 lfo1'><font size=2 color=navy face=Arial><span
     style='font-size:10.0pt;font-family:Arial'>web.config'te connection string
     kismi sifreli.</span></font> <o:p></o:p></li>
 <li class=MsoNormal style='color:navy;mso-margin-top-alt:auto;mso-margin-bottom-alt:
     auto;mso-list:l1 level1 lfo1'><font size=2 color=navy face=Arial><span
     style='font-size:10.0pt;font-family:Arial'>Kullanicilarin hassas bilgileri
     ( hastalik bilgileri, sosyal sigorta nolari, dogum tarihleri ) simetrik
     bir anahtarla sifrelendikten sonra veritabanina kayit ediliyor. Bu
     simetrik anahtar web.configte tutuluyor, web.config'in bu kismida
     sifreleniyor aspnet_regiis ile. Simetrik keyin bir kopyasi sunucularin
     bakimi yapan bir kisi tarafindan saklaniyor.Burada guvenlikten sorumlu bir
     arkadasimiz, simetrik keyi usb keyde saklamayi, ve her veri goruntulenmesi
     icin anahtardan tekrar okunmasini istedi ama pratikte bu imkansiz. </span></font><o:p></o:p></li>
 <li class=MsoNormal style='color:navy;mso-margin-top-alt:auto;mso-margin-bottom-alt:
     auto;mso-list:l1 level1 lfo1'><font size=2 color=navy face=Arial><span
     style='font-size:10.0pt;font-family:Arial'>veritabaninda henuz yapmadim
     ama yapmayi dusundugum sql server 2005'in sundugu bir imkan olan,
     veritabani seviyesinde sifreleme kullanilacak.. </span></font><o:p></o:p></li>
 <li class=MsoNormal style='color:navy;mso-margin-top-alt:auto;mso-margin-bottom-alt:
     auto;mso-list:l1 level1 lfo1'><font size=2 color=navy face=Arial><span
     style='font-size:10.0pt;font-family:Arial'>Her turlu veri girisi Server.HtmlEncode
     ile encode yapilarak sisteme kayit ediliyor.</span></font> <o:p></o:p></li>
 <li class=MsoNormal style='color:navy;mso-margin-top-alt:auto;mso-margin-bottom-alt:
     auto;mso-list:l1 level1 lfo1'><font size=2 color=navy face=Arial><span
     style='font-size:10.0pt;font-family:Arial'>Her turlu dosya upload
     isleminde zip islemi yapiliyor.</span></font> <o:p></o:p></li>
 <li class=MsoNormal style='color:navy;mso-margin-top-alt:auto;mso-margin-bottom-alt:
     auto;mso-list:l1 level1 lfo1'><font size=2 color=navy face=Arial><span
     style='font-size:10.0pt;font-family:Arial'>tum sql sorgu islemleri stored
     procedure kullanildi, dinamik sql kesinlikle kullanilmadi, veriler
     veritabanindan cekilirken sadece gerekli kolonlar cekiliyor. </span></font><o:p></o:p></li>
 <li class=MsoNormal style='color:navy;mso-margin-top-alt:auto;mso-margin-bottom-alt:
     auto;mso-list:l1 level1 lfo1'><font size=2 color=navy face=Arial><span
     style='font-size:10.0pt;font-family:Arial'>web sunucusu ile veri tabani
     birbirine cross kablo ile bagli ve aralarinda nat ip adresi var ( bu
     californiada zorunlu bir uygulama gazi bilgileri icin ). </span></font><o:p></o:p></li>
 <li class=MsoNormal style='color:navy;mso-margin-top-alt:auto;mso-margin-bottom-alt:
     auto;mso-list:l1 level1 lfo1'><font size=2 color=navy face=Arial><span
     style='font-size:10.0pt;font-family:Arial'>web sunucusu ve veri tabani bu
     uygulama disinda baska hicbir uygulamayi barindirmiyor ( bu da baska bir
     zorunluluk ) </span></font><o:p></o:p></li>
 <li class=MsoNormal style='color:navy;mso-margin-top-alt:auto;mso-margin-bottom-alt:
     auto;mso-list:l1 level1 lfo1'><font size=2 color=navy face=Arial><span
     style='font-size:10.0pt;font-family:Arial'>web sunucusuna calistigim yerin
     verdigi bir sertifika yuklu ve sadece (ssl) https:// ile erisime izin var.
     </span></font><o:p></o:p></li>
 <li class=MsoNormal style='color:navy;mso-margin-top-alt:auto;mso-margin-bottom-alt:
     auto;mso-list:l1 level1 lfo1'><font size=2 color=navy face=Arial><span
     style='font-size:10.0pt;font-family:Arial'>web sunucusuna erisim hakki
     olan 4 kisinin kullandigi notebooklarda vpn yuklu, ve vpn ile sisteme
     girince aldiklari sabit ipler, iis uzerinde authenticated olan tek ipler.
     Vpn sifreleri sistem admininin sorumlulugu altinda </span></font><o:p></o:p></li>
 <li class=MsoNormal style='color:navy;mso-margin-top-alt:auto;mso-margin-bottom-alt:
     auto;mso-list:l1 level1 lfo1'><font size=2 color=navy face=Arial><span
     style='font-size:10.0pt;font-family:Arial'>vpn kullanmadan sisteme giris
     yok. ( iis authentaticanda geri cevriliyorlar )</span></font> <o:p></o:p></li>
</ol>

<p><font size=2 color=navy face=Arial><span style='font-size:10.0pt;font-family:
Arial;color:navy'>&nbsp;</span></font><o:p></o:p></p>

<p><font size=2 color=navy face=Arial><span style='font-size:10.0pt;font-family:
Arial;color:navy'>simdi tek aradigim sey bunlara ekstra olarak, ziplenmis
dosyayi nasil imzalarim, buna digital olarak imza atabilirsem, upload <st1:City
w:st="on"><st1:place w:st="on">eden</st1:place></st1:City> kisinin bir
bilgisini imza icine atabilirmiyim ? </span></font><o:p></o:p></p>

<p><font size=2 color=navy face=Arial><span style='font-size:10.0pt;font-family:
Arial;color:navy'>Baska onerdiginiz, acik gordugunuz bir kisim var mi ?</span></font><o:p></o:p></p>

<p><font size=2 color=navy face=Arial><span style='font-size:10.0pt;font-family:
Arial;color:navy'>&nbsp;</span></font><o:p></o:p></p>

</div>

</div>

<p class=MsoNormal style='margin-bottom:12.0pt'><font size=3
face="Times New Roman"><span style='font-size:12.0pt'><br>
_______________________________________________<br>
Owasp-turkey mailing list<br>
<a href="mailto:Owasp-turkey@lists.owasp.org">Owasp-turkey@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-turkey" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-turkey</a><o:p></o:p></span></font></p>

</div>

<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:
12.0pt'><o:p>&nbsp;</o:p></span></font></p>

</div>

</body>

</html>