<div>Oncelikle eski calisma arkadasimin bu kadar guvenlik odakli bir uygulama yaziyor olmasi kadar sevindirici bir sey olamaz. </div>
<div>Bir iki noktada yorum eklemek isterim. Uygulama/veritabani bazinda ekleyebilecegim birsey yok ama SSL derken kullanilan SSL versiyonuna ve cipher in min. 128 bit olmasina dikkat etmek lazim. Internet subesi olan bazi bankalara 40 bit SSL 
2.0 ile erisebilmek mumkun.</div>
<div>Sertifika yonetimi ile ilgili bir proses yoksa bunu onceden planlayip uygulama hayata gectiginde nevcut olmasini saglamak lazim. Bugun Turkiye&#39;deki buyuk bir banka nisan ayinda expire olmus sertifikasiyla hizmet vermeye devam ediyor internet subesinde. 
</div>
<div>&nbsp;</div>
<div>&nbsp;</div>
<div>Kaan<br>&nbsp;</div>
<div><span class="gmail_quote">On 6/8/07, <b class="gmail_sendername">volkan uzun</b> &lt;<a href="mailto:vuzun@csusb.edu">vuzun@csusb.edu</a>&gt; wrote:</span>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">
<div lang="EN-US" vlink="blue" link="blue">
<div>
<p><font face="Arial" color="navy" size="2"><span style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">Selamlar, </span></font></p>
<p><font face="Arial" color="navy" size="2"><span style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">Uzerinde calistigim bir projede oldukca paranoyak olmak zorundayim; cunku gazilerin (veterans) bazi kisisel bilgileri ( sosyal sigorta nosunu son &nbsp;4 hanesi, dogum tarihi, hastaliklari&nbsp; vs ) tutuluyor.
</span></font></p>
<p><font face="Arial" color="navy" size="2"><span style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">Uygulamayi bastan sonra <a onclick="return top.js.OpenExtLink(window,event,this)" href="http://asp.net/" target="_blank">
asp.net</a> 2.0, c#, framework 2.0, sql server 2005 ile gelistiriyorum.</span></font></p>
<p><font face="Arial" color="navy" size="2"><span style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">Simdi sizlerden oneri bekliyorum asagida yazdigim guvenlik amaciyla aldigim onlemler disinda yapilmasi gereken seyler sizce var midir ?
</span></font></p>
<p><font face="Arial" color="navy" size="2"><span style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">&nbsp;</span></font></p>
<ol style="MARGIN-TOP: 0in" type="1">
<li style="COLOR: navy"><font face="Arial" color="navy" size="2"><span style="FONT-SIZE: 10pt; FONT-FAMILY: Arial">Kullanicilar mutlaka authentication, ve authorization ile sisteme giris yapiyorlar, bu sistemi .net frameworkun membership provider ile hallediyorum. Bir admin acilan kullanici hesaplarini onayladiktan sonra hesaplar kullanilabilir hale geliyor. Sifreler ayda 1 kere kullanim disi oluyor, ve tekrar sifre yaratilmasi isteniyor. Sifreler hash olarak tutuluyor
</span></font> 
<li style="COLOR: navy"><font face="Arial" color="navy" size="2"><span style="FONT-SIZE: 10pt; FONT-FAMILY: Arial">Yonetici, her kullanici icin, sayfa bazinda hak tanima islemi yapabiliyor.</span></font> 
<li style="COLOR: navy"><font face="Arial" color="navy" size="2"><span style="FONT-SIZE: 10pt; FONT-FAMILY: Arial">Sisteme her giris/cikis, upload islemi, ve tum kayit silme islemleri loglaniyor ( bunu cok abartmadim veri tabani cildirmasin diye )
</span></font> 
<li style="COLOR: navy"><font face="Arial" color="navy" size="2"><span style="FONT-SIZE: 10pt; FONT-FAMILY: Arial">web.config'te connection string kismi sifreli.</span></font> 
<li style="COLOR: navy"><font face="Arial" color="navy" size="2"><span style="FONT-SIZE: 10pt; FONT-FAMILY: Arial">Kullanicilarin hassas bilgileri ( hastalik bilgileri, sosyal sigorta nolari, dogum tarihleri ) simetrik bir anahtarla sifrelendikten sonra veritabanina kayit ediliyor. Bu simetrik anahtar 
web.configte tutuluyor, web.config'in bu kismida sifreleniyor aspnet_regiis ile. Simetrik keyin bir kopyasi sunucularin bakimi yapan bir kisi tarafindan saklaniyor.Burada guvenlikten sorumlu bir arkadasimiz, simetrik keyi usb keyde saklamayi, ve her veri goruntulenmesi icin anahtardan tekrar okunmasini istedi ama pratikte bu imkansiz.
</span></font> 
<li style="COLOR: navy"><font face="Arial" color="navy" size="2"><span style="FONT-SIZE: 10pt; FONT-FAMILY: Arial">veritabaninda henuz yapmadim ama yapmayi dusundugum sql server 2005'in sundugu bir imkan olan, veritabani seviyesinde sifreleme kullanilacak..
</span></font> 
<li style="COLOR: navy"><font face="Arial" color="navy" size="2"><span style="FONT-SIZE: 10pt; FONT-FAMILY: Arial">Her turlu veri girisi Server.HtmlEncode ile encode yapilarak sisteme kayit ediliyor.</span></font> 
<li style="COLOR: navy"><font face="Arial" color="navy" size="2"><span style="FONT-SIZE: 10pt; FONT-FAMILY: Arial">Her turlu dosya upload isleminde zip islemi yapiliyor.</span></font> 
<li style="COLOR: navy"><font face="Arial" color="navy" size="2"><span style="FONT-SIZE: 10pt; FONT-FAMILY: Arial">tum sql sorgu islemleri stored procedure kullanildi, dinamik sql kesinlikle kullanilmadi, veriler veritabanindan cekilirken sadece gerekli kolonlar cekiliyor.
</span></font> 
<li style="COLOR: navy"><font face="Arial" color="navy" size="2"><span style="FONT-SIZE: 10pt; FONT-FAMILY: Arial">web sunucusu ile veri tabani birbirine cross kablo ile bagli ve aralarinda nat ip adresi var ( bu californiada zorunlu bir uygulama gazi bilgileri icin ).
</span></font> 
<li style="COLOR: navy"><font face="Arial" color="navy" size="2"><span style="FONT-SIZE: 10pt; FONT-FAMILY: Arial">web sunucusu ve veri tabani bu uygulama disinda baska hicbir uygulamayi barindirmiyor ( bu da baska bir zorunluluk )
</span></font> 
<li style="COLOR: navy"><font face="Arial" color="navy" size="2"><span style="FONT-SIZE: 10pt; FONT-FAMILY: Arial">web sunucusuna calistigim yerin verdigi bir sertifika yuklu ve sadece (ssl) https:// ile erisime izin var.
</span></font> 
<li style="COLOR: navy"><font face="Arial" color="navy" size="2"><span style="FONT-SIZE: 10pt; FONT-FAMILY: Arial">web sunucusuna erisim hakki olan 4 kisinin kullandigi notebooklarda vpn yuklu, ve vpn ile sisteme girince aldiklari sabit ipler, iis uzerinde authenticated olan tek ipler. Vpn sifreleri sistem admininin sorumlulugu altinda
</span></font> 
<li style="COLOR: navy"><font face="Arial" color="navy" size="2"><span style="FONT-SIZE: 10pt; FONT-FAMILY: Arial">vpn kullanmadan sisteme giris yok. ( iis authentaticanda geri cevriliyorlar )</span></font> </li></li></li>
</li></li></li></li></li></li></li></li></li></li></li></ol>
<p><font face="Arial" color="navy" size="2"><span style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">&nbsp;</span></font></p>
<p><font face="Arial" color="navy" size="2"><span style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">simdi tek aradigim sey bunlara ekstra olarak, ziplenmis dosyayi nasil imzalarim, buna digital olarak imza atabilirsem, upload eden kisinin bir bilgisini imza icine atabilirmiyim ?
</span></font></p>
<p><font face="Arial" color="navy" size="2"><span style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">Baska onerdiginiz, acik gordugunuz bir kisim var mi ?</span></font></p>
<p><font face="Arial" color="navy" size="2"><span style="FONT-SIZE: 10pt; COLOR: navy; FONT-FAMILY: Arial">&nbsp;</span></font></p></div></div><br>_______________________________________________<br>Owasp-turkey mailing list<br>
<a onclick="return top.js.OpenExtLink(window,event,this)" href="mailto:Owasp-turkey@lists.owasp.org">Owasp-turkey@lists.owasp.org</a><br><a onclick="return top.js.OpenExtLink(window,event,this)" href="https://lists.owasp.org/mailman/listinfo/owasp-turkey" target="_blank">
https://lists.owasp.org/mailman/listinfo/owasp-turkey</a><br><br></blockquote></div><br>