Subject: [LINUX:11134] Re: Apache`de Cookie ile Authentication & Servletperformansi (fwd)
From: Bilgi Kuflu (bilgi@bilgiyayinevi.com.tr)
Date: Mon 13 Dec 1999 - 16:18:45 EET
Merhaba,
Burak DAYIOĞLU wrote:
>
> cookie'ler zaman limitli, bu nedenle kopyalanması ve/veya tarayıcıya
> özel olmasının herhangi bir problemi olduğunu düşünmüyorum. Eğer
> istemcilere gönderdiğim cookie'leri bir biçimde anlaşılmaz (scrambled)
> hale getirir ve deneme yanılma ile kendisine bir ID üretemeyeceği biçime
> getirirsem (pek zor değil) yeterince güvenli hale geliyor. Kimlik
> denetimi için kullanacağımız ideal biletten ne isteriz?
> a. Bileti başkasına veremesin
> b. Bilet bir süre sonra kendi kendisini iptal etsin
> c. Biletin üzerinde yazılanları kimse anlayamasın
> d. Bileti kimse kopya edemesin
>
> Bu özellikleri sağlayacak cookie'ler kullanmanın sakıncalı/riskli kısmı
> ne olabilir? Bu özelliklerin cookie'ler tarafından sağlanamayacak
> olanları nelerdir?
>
Butun bunlari session id de saglayabilir. Ustelik cookie dosyasi kopya
edilemezmi? Bence a ve d'yi session id de cookie de saglayamaz.
> > yarayabilir. Ama bazi sitelerin yaptigi gibi sadece cookieye dayanarak
> > eski bir kullaniciyi tanimak veya authorizasyon vermek ve hatta
>
> "eski"'nin ne kadar eski olduğu önemli... Uygulamaya göre cookie
> geçerlilik süresi olarak 1 saat bile uzun bir süre olabilir...
>
Eger cookie'yi kullaniciyi sitede dolastirmak icin kullaniyorsaniz
evet; bir saat bile uzun bir sure sayilabilir. Ancak cookie'yi bir
kullanici tanima yontemi olarak kullaniyorsaniz o zaman saatte bir
expire eden bir cookie'nin ne anlami var? Muhtemelen bir dahaki
baglanisimda eski cookiemin suresi doldugundan, yeni bir cookie
atanacak ve yeni bir kullanici mumalesi gorecegim. Tanima araci olarak
kullanildiginda "eski", "yeni" kavramlarinin pek bir fonksiyonu
oldugunu dusunmuyorum. Zira tanima araci olarak cookie'nin bir sure
sonra kendi kendini iptal etmesinin istenilen bir ozellik olacagini
dusunmuyorum. Huviyetinizi yenilemek icin saatte bir nufus idaresine
gittiginizi dusunsenize.. :)))
> > hepinizinde kabul edecegi gibi son derece
> > sakincali bir yontem (hala boyle yapan siteler varmi bilemiyorum ama
> > bir ara yaygin olarak kullaniliyordu).
>
> ben kabul etmiyorum... :)
>
Peki ben sizin cookies.txt dosyanizi kopyalasam ve o dosya ile siteye
kendi makinamdan tekrar baglansam ve sitede beni otomatik olarak
tanidigi icin, hicbir bilgi sormadan alisveris yapmama izin verse.
Bunun sizce bir sakincasi yokmu??
> > Cunku kullanicilar cookielerin guvenlik aciklari konusunda okuduklari
> > yazilar uzerine cookieleri browserlarinda default olarak kapali tutuyor
> > olabilirler (bende boyle mesela). Onlari illaha da cookieye acmaya zorlamak ne
> > kadar dogru bilemiyorum.
>
> cookie'lerin hatırladığım tek ciddi güvenlik problemleri ziyaret edilen
> eski sayfalara ilişkin bilgilerin istemciden alınabilmesi idi ve son
> 8-10 ay içinde cookie'lere ilişkin ciddi bir güvenlik probleminin ortaya
> çıkarıldığını anımsamıyorum.
> (bu zaten çok önemli değil, siz eminim
> javascript'i de iptal etmişsinizdir :)
:))) Evet, elimden gelse onuda iptal ederdim ama bircok sitede problem
yasardim ve sIkIci bir durum olurdu.
>
> > Bu arada cookieler ve session id'ler disinda bir ucuncu yontemde varsa
> > bunu da duymaktan mutluluk duyarim..
> > Herkese iyi calismalar..
>
> session id'lerinizi cookie'lerde güvenli bir biçimde saklayın... :)
>
Burada farkli fonksiyonlari birbirinden ayiralim bence. Session ID'ler
adindanda anlasilabilecegi gibi oturuma ozgudur. Kullanici siteden
ayrilinca isi de biter. O yuzden
1) Site genelinde kullaniciyi o oturum icin dolastirmak:
Cookie OK
SessionID OK
(eger cookie session id iceriyorsa zaten ikiside ayni sey)
2) Kayitli bir kullaniciyi bir sonraki ziyaretinde tanima yontemi
olarak:
Cookie OK (uzun surede expire ediyorsa tabii)
Session ID NO
(Session ID kullanici siteden ayrildiktan sonra iptal olacagindan bir
dahaki ziyarette kullanilamaz, baska bir tanitma yontemine de ihtiyac
vardir. Ornegin sifre)
3) Kayitli bir kullaniciya authorizasyon vermek icin
Cookie NO (Cookielerin guvenlik aciklari)
Session ID NO (2. maddedeki ayni sebepten oturu)
Tek basina veya bir arada cookie ve session id'lerin yeterli olacagina
inanmiyorum. Eger sitedee authorizasyona ihtiyac varsa mutlaka bir
baska yontem de olmali..
Herkese iyi calismalar..
-- ====================================================================== Bilgi Kuflu mailto:posta@bilgiyayinevi.com.tr Bilgi Yayinevi http://www.bilgiyayinevi.com.tr ====================================================================== Listeden cikmak icin: unsub linux mesajini listeci@bilkent.edu.tr'a gonderiniz. Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin. Liste arsivinin adresi: http://listweb.bilkent.edu.tr/