Push Notification(Bildirim) İle Şifre Hatırlatma Olur Mu ?
-
Connected2.me mantığında bir uygulama geliştirmekteyim. Uygulamaya kayıt olurken kullanıcı adı, mail adresi ve şifre girmesi gerekiyor.
Uygulama içerisinde kişilerin sadece kullanıcı adı bilenecek. Bende diyorumki şifre hatırlatma kısmı için mail veya sms göndermek yerine push notification göndereyim.
Mesela şifremi unuttum kısmına girdiğinde mail adresini ve kullanıcı adını yazacak. Daha sonra server o telefona "Şifreniz xxxx" tarzında bildirim yollayacak.
Arkadaşlar güvenlik açığı olur diyor ama karşıdaki kişinin sadece kullanıcı adını biliyor olacaksınız. Email adresini bilmediğiniz sürece size bildirim gelmeyecek.
Bu konu hakkında görüşlerinizi almak istiyorum.
Edit : Kayıt olunan mail ile telefondaki mailide karşılaştırabilirim. Ya da cihaz idsini alırım. Birşeyler yaparım ama yapıcam bunu. Sizce nasıl olur ?
h0rtl4kk tarafından 06/Tem/17 01:55 tarihinde düzenlenmiştir -
mail yollama da güvenlik mantıgı ( günümüzde biraz kırılmış olsada ) ek bir şifre ihtiyacıdır. yani kullanıcı şifremi unuttum dediğinde( daha önceden ona ait olduğunu onayladığı -aktivasyon kodu v.s ile- mail şifresini bilmesi gerekir ) bu mail adresine sen güvenebilirsin o maile giriyorsa bu hesap onundur diye. Ama günümüzde akıllı telefonların büyük bölümünde mai senkronizasyonu açık tuttuğumuz için zaten o telefonu eline geçiren şifremi unuttum dediğinde mail uygulaması notificaiton düşürüyor. Yani zaten aslında dolaylı yoldan senin yaptığının aynısını yapıyor. Yapabilirsin bence bir açık olmaz ama şuna dikkat et kullanıcı adı ve mail adresini girip şfiremi unuttum dediğinde bunu söyleyen telefon id si ile(artık mac no mi alırsın yoksa başka bir şey mi bilemiyorum ) sende o kullanıcının telefon id si aynı olmalı olsun. Demek istediğim şu;
mağdur un bilgileri
tel id : 10
kullanıcı adı: kul
mail : kulmail@mail.com
çalmaya çalışan kişi
tel id 10 dan farklı doğal olarak
kul ve kulmail@mail.com adreslerini girdiğinde
10 nolu tele gitsin notification .
-
adama parolasını plain-text oalrak mı göndereceksin? dbde parolaları şifrelemiyor musun
-
Hayir sifrelemiyorum. Ilk defa mysql ve socketli bir uygulama gelistirdigim icin baslangicda basit tutmayi dusunuyorum.
-
h0rtl4kk bunu yazdı
Hayir sifrelemiyorum. Ilk defa mysql ve socketli bir uygulama gelistirdigim icin baslangicda basit tutmayi dusunuyorum.
Uygulamayı ne kadar basit tutuyorsanız tutun hocam ama parolaları şifrelemeden veritabanında tutmak mantıksız bir hareket olur. Kesinlikle parolalar geri döndürülemez şekilde hashlenerek tutulmalı, kontroller bunun üzerinden yapılmalı.
Parolasını unutan kullanıcı için "Parolanız xxxx" yerine "Parola sıfırlamak için tbt.com/bir_süre_sonra_işlevsiz_hale_gelecek_benzersiz_ve_tahmin_edilemez_link" şeklinde bir url ile halletmenizi tavsiye ederim.
Asıl sorunuz için de yalnızca e-posta adresine güvenerek parola sıfırlama linkini göndermek iyi bir tercih olmayacaktır. Ben, e-posta adresini bildiğim her kullanıcının parolasını sıfırlayabilirim bu şekilde. Bildirim gönderilen kişiyi kesin bir şekilde doğrulayabiliyorsanız push notification mantıklı olabilir.
-
Adam şifresini unuttuğunda push-notification ile one-time-password yollasana adam onunla girip şifresini değiştirsin
-
sandman bunu yazdı
Adam şifresini unuttuğunda push-notification ile one-time-password yollasana adam onunla girip şifresini değiştirsin
Hocam bu bile tehlikeli oluyor . Sen tek seferlik şifre vermen ile normal link veya şifreyi göndermen aynı muhabbete çıkıyor sonuçta şifre havada tek kullanımlık bile olsa.
Benim yaptığım sistemimde SMS var sms ile doğrulama kodu gönderiyorum Gelen doğrulama kodunu O an APP de bulunan url tıkladktan sonra tekrar yazıyor içerisine eğer doğru ise yeni şifre girişi isteniyor. Şeklinde.
Sende bunun gibi birşeyler kurgulayablirsin.
Ama BlackApple'nin dediği gibi db de şifrele şifreleri
-
sandman bunu yazdı
Adam şifresini unuttuğunda push-notification ile one-time-password yollasana adam onunla girip şifresini değiştirsin
Hocam bu bile tehlikeli oluyor . Sen tek seferlik şifre vermen ile normal link veya şifreyi göndermen aynı muhabbete çıkıyor sonuçta şifre havada tek kullanımlık bile olsa.
Benim yaptığım sistemimde SMS var sms ile doğrulama kodu gönderiyorum Gelen doğrulama kodunu O an APP de bulunan url tıkladktan sonra tekrar yazıyor içerisine eğer doğru ise yeni şifre girişi isteniyor. Şeklinde.
Sende bunun gibi birşeyler kurgulayablirsin.
Ama BlackApple'nin dediği gibi db de şifrele şifreleri
-
Yorumlariniz icin tesekkurler. Isin icine webi katmak istemiyorum acikcasi. Yani bir web sitesi yapmak istemiyorumki web tasarim bilgimde yok. Uygulama uzerinden islemleri yapmak istiyorum.
Baska bir projede gonderilen mailler spama dusuyordu yada iletilemiyordu. Serverin ipsini birisimi kullaniyormus karalistedemiymis oyle bir sorun vardi.
Bu yuzden bildirim sistemi ile sifre hatirlatmayi dusundum. Birseyler deneyeyim egerki saglam bir sistem olusturursam konuyu gunceller sizlerede bilgi veririm.
-
Hocam uygulaman snifflenip push ettiğin kısım çözülebilir. Fcm ile gönderiyorsun farzedelim bu kez kayıt olduğu kanal taklit edilebilir. Yani böyle bir şey sıkıntı. Ama daha farklı bir şey düşünebilirsin bildirim ile.