Subject: [LINUX:11179] Re: Apache`de Cookie ile Authentication & Servletperformansi (fwd)
From: Burak DAYIOĞLU (burak@eti.cc.hun.edu.tr)
Date: Tue 14 Dec 1999 - 13:28:47 EET
merhaba,
Sanırım söylediklerimde bir şeyler yanlış anlaşıldı. Ben kullanıcının
web temelli bir yazılıma login authentication'ının cookie'ler ya da
session id'ler (?) ile yapılabileceğini zaten öne sürmedim; bu amaçla
web sunucu tarafından sağlanan authentication mekanizması en doğrusu
olacaktır.
Ancak; login authentication sonrasındaki her işlem esnasında
kullanıcının tanımlanması (hangi adam ne tarafa gidiyor vb.) işinde
cookie'lerin kullanılabileceğini öngörüyorum; bu benim seçimim... :)
> > a. Bileti başkasına veremesin
> > b. Bilet bir süre sonra kendi kendisini iptal etsin
> > c. Biletin üzerinde yazılanları kimse anlayamasın
> > d. Bileti kimse kopya edemesin
> >
> > Bu özellikleri sağlayacak cookie'ler kullanmanın sakıncalı/riskli kısmı
> > ne olabilir? Bu özelliklerin cookie'ler tarafından sağlanamayacak
> > olanları nelerdir?
> Butun bunlari session id de saglayabilir. Ustelik cookie dosyasi kopya
> edilemezmi? Bence a ve d'yi session id de cookie de saglayamaz.
Cookie'ler ile a ve d sağlanabilir; IP adresine göre cookie'leri özel
kılabilirsiniz bu
farklı bilgisayarlara kopyalanmasını engeller. Aynı zamanda web
sunucusuna login auth için
kullanılan username'i de cookie'nin içine gömebilirsiniz; o zaman aynı
UNIX makinasındaki
farklı kullanıcılar da kullanamaz...
> Eger cookie'yi kullaniciyi sitede dolastirmak icin kullaniyorsaniz
> evet; bir saat bile uzun bir sure sayilabilir. Ancak cookie'yi bir
> kullanici tanima yontemi olarak kullaniyorsaniz o zaman saatte bir
> expire eden bir cookie'nin ne anlami var? Muhtemelen bir dahaki
> baglanisimda eski cookiemin suresi doldugundan, yeni bir cookie
> atanacak ve yeni bir kullanici mumalesi gorecegim. Tanima araci olarak
> kullanildiginda "eski", "yeni" kavramlarinin pek bir fonksiyonu
> oldugunu dusunmuyorum. Zira tanima araci olarak cookie'nin bir sure
> sonra kendi kendini iptal etmesinin istenilen bir ozellik olacagini
> dusunmuyorum. Huviyetinizi yenilemek icin saatte bir nufus idaresine
> gittiginizi dusunsenize.. :)))
cookie'yi güvenlik denetimi için değil, iz denetimi için kullanıyorum.
Ancak iz denetiminin de güvenli olmasını sağlamaya çalışıyorum...
> Peki ben sizin cookies.txt dosyanizi kopyalasam ve o dosya ile siteye
> kendi makinamdan tekrar baglansam ve sitede beni otomatik olarak
> tanidigi icin, hicbir bilgi sormadan alisveris yapmama izin verse.
> Bunun sizce bir sakincasi yokmu??
:) yukarıda anlattım...
> Burada farkli fonksiyonlari birbirinden ayiralim bence. Session ID'ler
> adindanda anlasilabilecegi gibi oturuma ozgudur. Kullanici siteden
> ayrilinca isi de biter. O yuzden
cookie'leri de tümüyle aynı amaçla kullanıyorum... :)
Her neyse; daha fazla uzatmak boşuna... Siz de konuya yeterince
hakimsiniz ve tartışma giderek yoğurt yiyiş tarzlarımız arasında
"benimki seninkini döver"'e dönüyor...
sevgiler,
-bd
Listeden cikmak icin:
unsub linux
mesajini listeci@bilkent.edu.tr'a gonderiniz.
Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin.
Liste arsivinin adresi: http://listweb.bilkent.edu.tr/