Web sitesi Güvenliği, DOS - DDOS Saldırıları...
Web Uygulamalarında Login Sistemleri İçin Cookie Veya Session Kullanımı
Web Uygulamalarında Login Sistemleri İçin Cookie Veya Session Kullanımı
-
tahribat'ta bile session id'yi başka bir tarayıcıya kopyaladığımda sorunsuz çalıştı. ip'de çalışır mı bilmiyorum onu da deneyeceğim şimdi.
wordpress sistemler de default olarak session'u kullanmıyormuş böylece onaylamış oldum. açık kaynak olduğu için tmp klasörü de bazı shared hosting'lerde diğer kullanıcılar tarafından kolayca erişildiği için güvenlik açısından pek bir artısını görememişler sanırım.
-
hacı tbtdeki sessionu nasıl kaydettiğini bir söylesene
-
crafty bunu yazdı:
-----------------------------
hacı tbtdeki sessionu nasıl kaydettiğini bir söylesene
-----------------------------napcan? :) sessionu kaydetmiyorum sessionun idsini çektiği cookie'yi çekiyorum. o da ASP_xxx şeklinde kaydolmuş bir cookie. ve ip ile bağlantılı bir id ki bu başka ip'deki bilgisayara eklemeye çalışırsan sonuç alamayacağın anlamına geliyor bu. :)
-
Buremba bunu yazdı:
-----------------------------
crafty bunu yazdı:
-----------------------------
hacı tbtdeki sessionu nasıl kaydettiğini bir söylesene
-----------------------------napcan? :) sessionu kaydetmiyorum sessionun idsini çektiği cookie'yi çekiyorum. o da ASP_xxx şeklinde kaydolmuş bir cookie. ve ip ile bağlantılı bir id ki bu başka ip'deki bilgisayara eklemeye çalışırsan sonuç alamayacağın anlamına geliyor bu. :)
-----------------------------hacı naptın sen :D benim demek istediğim başka bişeydi. herneyse konuya geri dönelim. hoca bak şimdi sen örneğin tbtye bağlandığın andan itibaren sadece sana özel bir sessionid atanır. ve oturumun sonlanana kadar da bu bilgisayarında kayıtlı kalır. bu kullanıcının sen olduğunu doğrulamak amaçlıdır. sen bunu başka bilgisayara aktardığın an ip değiştiği için zaten otomatik olarak çalışmaz. iceriği zaten şifrelidir. ayrıca bunu daha güvenli yapmanın yolları da var. örneğin kullanıcının ip adresinin yanında tarayıcı özelliklerini vs. de kontrol ettirebilirsin. her durumda cookielerden cok daha güvenliklidir.
-
hocam sessionun içeriğine erişemem evet ama session id'mi değiştirebiliyorum. eğer adam localimde ise alırım ASPSESSION cookie'sini kendime eklerim ve çalışır. kendi session içeriğimi değiştirmemiş olurum ama aldığım idnin sessionuna sahip olurum.
ikinci bir ihtimal olarak da sadece cookie değerim olur olur benim. bu cookie'nin içeriği ilk mesajda yazdığım gibi olur. hash kısmında ip'yi browser'ı kullanıcı adını şifreyi ve expiration date'ini md5lerim. kullanıcı girer siteye her yenilemede cookieye bakar eşleştiririm ve doğru çıkarsa o baştaki kullanıcı adıyla giriş yaptırırım. cookie başka bilgisayarda da geçerli olmaz bu şekilde. içeriğe erişebiliyorsun evet ama bunu nasıl aşabilirsin hocam?
-
Buremba bunu yazdı:
-----------------------------
hocam sessionun içeriğine erişemem evet ama session id'mi değiştirebiliyorum. eğer adam localimde ise alırım ASPSESSION cookie'sini kendime eklerim ve çalışır. kendi session içeriğimi değiştirmemiş olurum ama aldığım idnin sessionuna sahip olurum.
ikinci bir ihtimal olarak da sadece cookie değerim olur olur benim. bu cookie'nin içeriği ilk mesajda yazdığım gibi olur. hash kısmında ip'yi browser'ı kullanıcı adını şifreyi ve expiration date'ini md5lerim. kullanıcı girer siteye her yenilemede cookieye bakar eşleştiririm ve doğru çıkarsa o baştaki kullanıcı adıyla giriş yaptırırım. cookie başka bilgisayarda da geçerli olmaz bu şekilde. içeriğe erişebiliyorsun evet ama bunu nasıl aşabilirsin hocam?
-----------------------------hacı problem şurada başlıyor ben senin cookie ni alıp ip ve exp datesini değiştirip md5 ile şifreler dosyanı düzenlerim ve o şekilde kullanırım ;)
-
crafty bunu yazdı:
-----------------------------
Buremba bunu yazdı:
-----------------------------
hocam sessionun içeriğine erişemem evet ama session id'mi değiştirebiliyorum. eğer adam localimde ise alırım ASPSESSION cookie'sini kendime eklerim ve çalışır. kendi session içeriğimi değiştirmemiş olurum ama aldığım idnin sessionuna sahip olurum.
ikinci bir ihtimal olarak da sadece cookie değerim olur olur benim. bu cookie'nin içeriği ilk mesajda yazdığım gibi olur. hash kısmında ip'yi browser'ı kullanıcı adını şifreyi ve expiration date'ini md5lerim. kullanıcı girer siteye her yenilemede cookieye bakar eşleştiririm ve doğru çıkarsa o baştaki kullanıcı adıyla giriş yaptırırım. cookie başka bilgisayarda da geçerli olmaz bu şekilde. içeriğe erişebiliyorsun evet ama bunu nasıl aşabilirsin hocam?
-----------------------------hacı problem şurada başlıyor ben senin cookie ni alıp ip ve exp datesini değiştirip md5 ile şifreler dosyanı düzenlerim ve o şekilde kullanırım ;)
-----------------------------hacı hepsini yan yana koyup php'deki hash_hmac fonksiyonu ile şifreliyorum. işin içinde hash_hmac'deki unique key var ve nasıl yan yan koyduğumu bilmiyorsun. :) peki hangisi daha hızlıdır?
-
hacı şöyle bişi var şimdi session daha hızlı çalışır. cokie ile sürekli kontrol etmen gerekecek ama sessionda bir kez yükliceksin adam gidene kadar hafızada kalacak. sen direk md5 ile şifrelicem deyince ben ona göre yazdım hacı...
-
crafty bunu yazdı:
-----------------------------
hacı şöyle bişi var şimdi session daha hızlı çalışır. cokie ile sürekli kontrol etmen gerekecek ama sessionda bir kez yükliceksin adam gidene kadar hafızada kalacak. sen direk md5 ile şifrelicem deyince ben ona göre yazdım hacı...
-----------------------------hocam iki farklı versiyonunu yazdım 10000 kere döngüyle çalıştırdım ve cookie ile çalışan 5 kat hızlı olarak sonuç verdi. :) dediğine gelince cookie browser header'larının içinde olduğundan ip almayla veya browser bilgilerini almakla eşdeğer. sadece fazladan bir select sorgusu yapıyorsun şifreyi çekmek için. eğer cache'e alırsan o da sorun olmuyor.
session dosyaları ise ramde filan tutulmuyor olacak ki sen sessionu çektiğinde cookiedeki PHPSESSION değerini alıyor ve tmp/ dizinine gidip ordan bilgiyi çekiyor.
fena taktım ben bu işe. :) eğer twitter'ı filan incelersen özel birşey yapmamışlarsa şayet onlar da session kullanmıyorlar. şimdi wordpress'e mail atıyorum ben de neden session kullanmıyorsunuz diye. bakalım ne cevap gelecek. :)