Subject: Re: [LINUX:11053] Re: Apache`de Cookie ile Authentication & Servletperformansi (fwd)
From: Bilgi Kuflu (bilgi@bilgiyayinevi.com.tr)
Date: Sat 11 Dec 1999 - 12:27:32 EET
Merhaba,
Burak DAYIOĞLU wrote:
>
> ikisine birden yanıt vermek istedim...
>
> selami'nin söylediğinin yapılması benim argümanlarımı değiştirmiyor.
> Client'in yeni istemlerinde hangi ID'yi kullandığını nasıl bileceksiniz?
> Bir IP'yi tek bir istemci kullandığında problem olmuyor, çünkü her IP'yi
> bir oturum (session) ile ilişkilendiriyorsunuz. Eğer bir IP'yi birden
> fazla client paylaşıyor ise { (NAT/proxy) ya da multiuser-UNIX } ne
> olacak?
> Client'larda "ben kimim" bilgisini şifreli/şifresiz, gizli/açık bir
> biçimde
> saklamanız lazım...
>
Client tarafinda illahada bir bilginin saklanmasi gerektigi gorusune
katilmiyorum. Hele bu kesinlikle cookilerle olmamali. Eger cookie
yardimi ile olacaksa da o zaman cookileri de kesinlikle bir
authorizasyon araci olarak kullanmamak gerektigini dusunuyorum.
Cookieler siteye tekrar baglanan veya cookie yardimi ile sitede
dolasan kullanicilar icin bir on kimlik belgesi olabilir. Fakat
kolayca kopyalanabilir ve browser specific olmalari (bir cok kullanici
ev/is/laptop/palm gibi farkli makinalarindan baglanabilir) bende cokta
saglikli bir yontem olmadiklari gorusunu uyandiriyor. O yuzden cookie
sadece o oturum icin belki kullaniciyi sitede dolastirmaya
yarayabilir. Ama bazi sitelerin yaptigi gibi sadece cookieye dayanarak
eski bir kullaniciyi tanimak veya authorizasyon vermek ve hatta
alisveris yapmasini saglamak hepinizinde kabul edecegi gibi son derece
sakincali bir yontem (hala boyle yapan siteler varmi bilemiyorum ama
bir ara yaygin olarak kullaniliyordu).
Bu arada cookieyi sadece kullaniciyi bir oturum icin site genelinde
dolastimak icin kullanmakta bana cok efektif gelmiyor (fakat IIS
uzerinde en basit asp scriptin bile calisir calismaz bir aspsession id
cookie'si atamasida cazip gelmiyor degil). Cunku kullanicilar
cookielerin guvenlik aciklari konusunda okuduklari yazilar uzerine
cookieleri browserlarinda default olarak kapali tutuyor olabilirler
(bende boyle mesela). Onlari illaha da cookieye acmaya zorlamak ne
kadar dogru bilemiyorum.
> Devrim'in söylediği mümkün olabilir ama her sayfanın bir form olarak
> davranması gerekiyor. Şifreli kullanılsa bile formun içine onu gömmek
> her
> teknoloji ile mümkün olmayabilir. Örneğin PHP ile çok kolay iken
> cgi/html
> ile son derece zahmetli/meşaggatli (böyle mi yazılıyor? :) olabilir...
>
Bence en iyi yontem cookie ve session id'leri birarada kullanmak. Eger
kullanicinin cookieleri browserinda aciksa ne ala, kim oldugunu tahmin
ederim ama guvenebilmem icin mutlaka bir ikinci belgede isterim. Bu
sifre olabilir, baska birsey olabilir. Daha sonra ise sitede
dolasabilmeleri icin cookie de kullanilabilecegi gibi buna mecbur da
birakmam; bence en sagliklisi server side bir session id kullanmak.
Bunu da elimden geldigince sayfalarin icine gomerek gizlemeye
calisirim. Ama bu her durumda mumkun olmayacaktir. O yuzden session
id'lerinde tahmin edilebilecegini aklimdan cikarmam. Bundan dolayi
eger soz konusu olay ornegin sanal alisveris ise Selami Aksoy'un da
bahsettigi gibi bir kullanicinin session id tahmin edebilerek
alisveris sepetini sifirlamis olabilecegini veya diger bir
kullanicinin alisveris sepetine ulasabilecegini de goz onunde
bulundururum. Bu durumda da diger bir kullanicinin session id'sini ele
geciren kisinin o kullanicinin gerek kredi karti bilgilerine
ulasamamasi ve gerese kisisel bilgilerini rahatca degistirebilememesi
icin her turlu onlemi alirim.
Bu arada cookieler ve session id'ler disinda bir ucuncu yontemde varsa
bunu da duymaktan mutluluk duyarim..
Herkese iyi calismalar..
-- ====================================================================== Bilgi Kuflu mailto:posta@bilgiyayinevi.com.tr Bilgi Yayinevi http://www.bilgiyayinevi.com.tr ====================================================================== Listeden cikmak icin: unsub linux mesajini listeci@bilkent.edu.tr'a gonderiniz. Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin. Liste arsivinin adresi: http://listweb.bilkent.edu.tr/