Subject: [LINUX:11122] Re: Apache`de Cookie ile Authentication & Servletperformansi (fwd)
From: Burak DAYIOĞLU (burak@eti.cc.hun.edu.tr)
Date: Mon 13 Dec 1999 - 12:11:54 EET
Bilgi Kuflu wrote:
> Client tarafinda illahada bir bilginin saklanmasi gerektigi gorusune
> katilmiyorum. Hele bu kesinlikle cookilerle olmamali. Eger cookie
> yardimi ile olacaksa da o zaman cookileri de kesinlikle bir
> authorizasyon araci olarak kullanmamak gerektigini dusunuyorum.
cookie'ler zaman limitli, bu nedenle kopyalanması ve/veya tarayıcıya
özel olmasının herhangi bir problemi olduğunu düşünmüyorum. Eğer
istemcilere gönderdiğim cookie'leri bir biçimde anlaşılmaz (scrambled)
hale getirir ve deneme yanılma ile kendisine bir ID üretemeyeceği biçime
getirirsem (pek zor değil) yeterince güvenli hale geliyor. Kimlik
denetimi için kullanacağımız ideal biletten ne isteriz?
a. Bileti başkasına veremesin
b. Bilet bir süre sonra kendi kendisini iptal etsin
c. Biletin üzerinde yazılanları kimse anlayamasın
d. Bileti kimse kopya edemesin
Bu özellikleri sağlayacak cookie'ler kullanmanın sakıncalı/riskli kısmı
ne olabilir? Bu özelliklerin cookie'ler tarafından sağlanamayacak
olanları nelerdir?
> yarayabilir. Ama bazi sitelerin yaptigi gibi sadece cookieye dayanarak
> eski bir kullaniciyi tanimak veya authorizasyon vermek ve hatta
"eski"'nin ne kadar eski olduğu önemli... Uygulamaya göre cookie
geçerlilik süresi olarak 1 saat bile uzun bir süre olabilir...
> hepinizinde kabul edecegi gibi son derece
> sakincali bir yontem (hala boyle yapan siteler varmi bilemiyorum ama
> bir ara yaygin olarak kullaniliyordu).
ben kabul etmiyorum... :)
> Cunku kullanicilar cookielerin guvenlik aciklari konusunda okuduklari
> yazilar uzerine cookieleri browserlarinda default olarak kapali tutuyor
> olabilirler (bende boyle mesela). Onlari illaha da cookieye acmaya zorlamak ne
> kadar dogru bilemiyorum.
cookie'lerin hatırladığım tek ciddi güvenlik problemleri ziyaret edilen
eski sayfalara ilişkin bilgilerin istemciden alınabilmesi idi ve son
8-10 ay içinde cookie'lere ilişkin ciddi bir güvenlik probleminin ortaya
çıkarıldığını anımsamıyorum. (bu zaten çok önemli değil, siz eminim
javascript'i de iptal etmişsinizdir :)
> Bu arada cookieler ve session id'ler disinda bir ucuncu yontemde varsa
> bunu da duymaktan mutluluk duyarim..
> Herkese iyi calismalar..
session id'lerinizi cookie'lerde güvenli bir biçimde saklayın... :)
selamlar,
-bd
Listeden cikmak icin:
unsub linux
mesajini listeci@bilkent.edu.tr'a gonderiniz.
Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin.
Liste arsivinin adresi: http://listweb.bilkent.edu.tr/