Subject: [LINUX:11139] Re: Apache`de Cookie ile Authentication & Serv letperformansi (fwd)
From: Umut Ceyhan (Garanti Teknoloji) (UmutCe@garanti.com.tr)
Date: Mon 13 Dec 1999 - 18:42:15 EET
Selam.
Servlet API 1.X serisinde multithreading ozelligi vardi. Ancak 2.2 serisinde artik tek servlet instance'i kullanilacak. Yani ThreadSafeModel interface'ini implement etme geregi ortadan kalkti. Herhangi bir anda her servlet'in sadece 1 instance'i VM'de tutulacak.
Bunun da daha az sistem kaynagi kullanimi demek olacagi malum.
CGI scriptlerinin kaybi, her request'te ortaya cikan load edilme sürecinin getirdigi yük. Servlet'lerde ise process memory'de oldugundan bu zaman kaybi soz konusu degil. Tek sorun Java dilinin VM'e dayanan ve byte-code'dan interpret edilerek calistirilmasinin getirdigi nisbi bir yavaslik. Internet gibi hiz konusunda modem + hat kalitesi + isp cikisi vs. gibi pek cok parametrenin söz konusu oldugu ortamlarda servlet'ler gerek development kolayligi gerekse Java dilinin sagladigi pek cok avantaj sayesinde one cikiyor.
Ayrica servletlerden olusan sitenizi bu gün Windows NT'de yarin Linux'da calistirabilmek de cok cazip görünüyor.
Umut Ceyhan
umutce@garanti.com.tr
-----Original Message-----
From: Burak DAYIOĞLU [mailto:burak@eti.cc.hun.edu.tr]
Sent: Monday, December 13, 1999 11:59 AM
To: Multiple recipients of list LINUX
Subject: [LINUX:11122] Re: Apache`de Cookie ile Authentication &
Servletperformansi (fwd)
Bilgi Kuflu wrote:
> Client tarafinda illahada bir bilginin saklanmasi gerektigi gorusune
> katilmiyorum. Hele bu kesinlikle cookilerle olmamali. Eger cookie
> yardimi ile olacaksa da o zaman cookileri de kesinlikle bir
> authorizasyon araci olarak kullanmamak gerektigini dusunuyorum.
cookie'ler zaman limitli, bu nedenle kopyalanması ve/veya tarayıcıya
özel olmasının herhangi bir problemi olduğunu düşünmüyorum. Eğer
istemcilere gönderdiğim cookie'leri bir biçimde anlaşılmaz (scrambled)
hale getirir ve deneme yanılma ile kendisine bir ID üretemeyeceği biçime
getirirsem (pek zor değil) yeterince güvenli hale geliyor. Kimlik
denetimi için kullanacağımız ideal biletten ne isteriz?
a. Bileti başkasına veremesin
b. Bilet bir süre sonra kendi kendisini iptal etsin
c. Biletin üzerinde yazılanları kimse anlayamasın
d. Bileti kimse kopya edemesin
Bu özellikleri sağlayacak cookie'ler kullanmanın sakıncalı/riskli kısmı
ne olabilir? Bu özelliklerin cookie'ler tarafından sağlanamayacak
olanları nelerdir?
> yarayabilir. Ama bazi sitelerin yaptigi gibi sadece cookieye dayanarak
> eski bir kullaniciyi tanimak veya authorizasyon vermek ve hatta
"eski"'nin ne kadar eski olduğu önemli... Uygulamaya göre cookie
geçerlilik süresi olarak 1 saat bile uzun bir süre olabilir...
> hepinizinde kabul edecegi gibi son derece
> sakincali bir yontem (hala boyle yapan siteler varmi bilemiyorum ama
> bir ara yaygin olarak kullaniliyordu).
ben kabul etmiyorum... :)
> Cunku kullanicilar cookielerin guvenlik aciklari konusunda okuduklari
> yazilar uzerine cookieleri browserlarinda default olarak kapali tutuyor
> olabilirler (bende boyle mesela). Onlari illaha da cookieye acmaya zorlamak ne
> kadar dogru bilemiyorum.
cookie'lerin hatırladığım tek ciddi güvenlik problemleri ziyaret edilen
eski sayfalara ilişkin bilgilerin istemciden alınabilmesi idi ve son
8-10 ay içinde cookie'lere ilişkin ciddi bir güvenlik probleminin ortaya
çıkarıldığını anımsamıyorum. (bu zaten çok önemli değil, siz eminim
javascript'i de iptal etmişsinizdir :)
> Bu arada cookieler ve session id'ler disinda bir ucuncu yontemde varsa
> bunu da duymaktan mutluluk duyarim..
> Herkese iyi calismalar..
session id'lerinizi cookie'lerde güvenli bir biçimde saklayın... :)
selamlar,
-bd
Listeden cikmak icin:
unsub linux
mesajini listeci@bilkent.edu.tr'a gonderiniz.
Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin.
Liste arsivinin adresi: http://listweb.bilkent.edu.tr/
Listeden cikmak icin:
unsub linux
mesajini listeci@bilkent.edu.tr'a gonderiniz.
Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin.
Liste arsivinin adresi: http://listweb.bilkent.edu.tr/