SSL sertifikası kullanmayan sitelerde parolanın korunması

İyi günler Ali bey,

SSL sertifikasının olması siteye elbette bir güven duygusu verecektir. Evet bir çok web uygulamalrında herhangi bir sertifikasyon ve https protokolü kullanılmıyor. Kayıtlar normal bir şekilde gerçekleştiriliyor ve veri tabalarına aktarılıyor. Çok gerek olmadığı için kullanılmıyordur. Çünkü sertifika almanın da bir maliyeti var. Yıllık belli bir ücret karşılığında alınan bir işlem bu. Ücretsiz olsa herkes kullanmak ister. Günümüzde en çok kullanım aşaması e-tcaret olarak görünüyor velakin kullanmaları zorunlu çünki sanal pos başvurularında güvemlik sertifikası ve https protokolü olmadan başvuruyu sonuçlandıramıyorlar.

Çalışmalarınıda başarılar dilerim. Projeniz bitince haberdar ediniz.

İyi günler Ali bey,

SSL sertifikasının olması siteye elbette bir güven duygusu verecektir. Evet bir çok web uygulamalrında herhangi bir sertifikasyon ve https protokolü kullanılmıyor. Kayıtlar normal bir şekilde gerçekleştiriliyor ve veri tabalarına aktarılıyor. Çok gerek olmadığı için kullanılmıyordur. Çünkü sertifika almanın da bir maliyeti var. Yıllık belli bir ücret karşılığında alınan bir işlem bu. Ücretsiz olsa herkes kullanmak ister. Günümüzde en çok kullanım aşaması e-tcaret olarak görünüyor velakin kullanmaları zorunlu çünki sanal pos başvurularında güvemlik sertifikası ve https protokolü olmadan başvuruyu sonuçlandıramıyorlar.

Çalışmalarınıda başarılar dilerim. Projeniz bitince haberdar ediniz.

Teşekkür ederim sağolun iyi dilekleriniz için.

Şöyle bir sorunum var izninizle, herkesin üye olacağı bir site tasarlıyorum. Üye olan herkese ayrı bir klasör açıyorum ve blog gibi herkesin ayrı bir sitesi oluyor. Ama kullanıcılar kendi domainleri üzerinden de bağlanabiliyorlar.

Onca para verip SSL sertifikası aldım. Lâkin herkes kendi domaini üzerinden hesabına erişmek istiyor ve bilirsiniz herkes ssl almıyor domaini için.

Benim siteme erişmeden kendi domainleri üzerinden mesajlarını okumak istiyorlar, ayarlarına erişmek istiyorlar.

Sorum şudur, login panelini ajax ile kendi sitemden getirsem, kullanıcı güven içerisinde kendi şifresini yazarak sisteme güvenli bir bağlantı (https) üzerinden otantike olabilirler mi?

Yani onun kendi domaini üzerindeki kullanıcı şifre <div> ini ben kendi sitemden sunsam yani arkaplanda kullandığım <div> kullanıcı paneli ajax ile https üzerinden ssl sertifikasına sahip olduğum sitem üzerinden getirsem güvenli ssl bağlantısını kullanmış olur o kişi de, değil mi ?

Hürmetler.

Kendi domain adresine de ssl sertifikası alması gerekiyor sanırsam. Mesela blogger da kullaniciadi.blogger.com olarak kullanmak istersen https protokolünü kullanabiliyorsun; ama kendi domain adresini yönlendirdiğinde https protokolünü kullanamıyosun diye biliyorum. Şu anda değişti mi bilmiyorum. Şöyle bir uygulama yapabilirsiniz. Domain adresini yönlendiren isterse sertifikasını yükleyip https protokolünü kullanabilir.

Sizin siteniz üzerinden üyelik açtırmak veya kayıtları yaptırmak istiyorlarsanız div ile https protokolünden div değil de iframe olarak çekilebilir. Ama bu sefer http protokolünden https protokolünden veri çekilince sorun çıkarıyor bunuda java yardımı ile atlatabilirsiniz sanırsam. 

 

Kendi domain adresine de ssl sertifikası alması gerekiyor sanırsam. Mesela blogger da kullaniciadi.blogger.com olarak kullanmak istersen https protokolünü kullanabiliyorsun; ama kendi domain adresini yönlendirdiğinde https protokolünü kullanamıyosun diye biliyorum. Şu anda değişti mi bilmiyorum. Şöyle bir uygulama yapabilirsiniz. Domain adresini yönlendiren isterse sertifikasını yükleyip https protokolünü kullanabilir.

Sizin siteniz üzerinden üyelik açtırmak veya kayıtları yaptırmak istiyorlarsanız div ile https protokolünden div değil de iframe olarak çekilebilir. Ama bu sefer http protokolünden https protokolünden veri çekilince sorun çıkarıyor bunuda java yardımı ile atlatabilirsiniz sanırsam. 

 

 

Sayın Zülfü Bey; bir hafta önce bir sistem uzmanına mail gönderdim, kendisine tekrar mail yolladım ama maile sanırım geç yanıt veriyor. Yanıttan zaten ne sorduğum rahatlıkla anlaşılabilir;

Blogger gibi hizmetler her blog / site için ayrı bir hosting oluşturmuyor. Sınırsız sayıda alan adına yanıt veren tek bir uygulama var (web sitesi).
Bu uygulama, uygulamanın çağırıldığı ada göre (ozeldomain.com.tr veya blogum.blogsport.com.tr gibi) bir yanıt oluşturuyor.

Zülfü Üstadım, ben güvenlik ve sistem yapılandırmasını bilmediğimden azure'dan büyük bir web servis paketi satın alıyorum -azure tarafında tecrübeniz yok ise, büyük bir hosting gibi düşünebilirsiniz- ve eğer sanal server kiralar isem, bunun yapılandırmasını ve mekanizmasını bilmiyorum açıkçası.

Yukarıda (mavi kısım) da bana verilen yanıtta, bir server oluştur, dns kayıtları ile sana talep edilen domaine göre tek bir noktadan yanıt ver diyor.

Ama eğer server kiralar isem güvenlik tarafı benim için büyük bir sorun oluşturacaktır.

Web tasarımım neredeyse bitmek üzere ve ben hala seçenek konusunda kararsızım.

Çünkü ben bahsi geçen sistem ve ağ eğitmenine, her müşteri için ayrı mini bir hosting (azure da web application diye geçiyor) açıp, kendi ana hostingim ile bağlantı üzerinden bilgi alışverişi yapacağım konusunda soru sormuştum;

müşterinin domaininin yönleneceği mini hosting <------------------------------> web sitemi barındıran ana hosting

şeklinde bir diagram düşünebilirsiniz.

içimi dökmek istiyorum; 🙂 özellikler şu şekilde;

1) kullanıcılar kendi domainleri üzerinden benim web sitemi kullansınlar. her kullanıcıya ayrı bir web hizmeti vermek istiyorum.

2) benim siteme girmeden, kullanıcı ismi parolası yazıp kendi sitelerinden kendilerine gelen bildirimleri, mesajları görebilsinler, okuyabilsinler

3) google indexlerken kopya içerik muamelesi yapmasın yani ona gösterdiğim içeriği google a göstermeyeyim

uygulamak istediğim çözümler ve karşılaştığım problemler ise şunlar;

3'den başlıyorum, bunu google bot robotu gelince geldiği tarayıcı bilgisi ve ip bilgisinden anlıyorum ve ulaşmak istediği Request.ServerVariables["HTTP_HOST"] ile anlıyorum. eğer kullanıcın domainin den geliyorsa içeriği sunuyorum ama direkt benim sitem üzerinden kullanıcı klasörüne yani web sitesine erişmek istiyorsa engelliyorum (bu ne kadar doğru bir yöntemdir meçhul)

2) gelen bildirimleri, mesajları okumalarını istiyorum, ayrıca kendi sitelerinden şifre ve parola ile giriş yapsınlar istiyorum, hangi yöntem kullanılırsa kullanılsın (ayrı hosting açma, tek bir server kiralamak, alias / frame ile yönlendirme) ne olursa olsun ssl sertifikası kimse almayacaktır (şart koşarsam kaybeden bizim gibiler olur) müşteri azalır.

iframe kullanılırsa diğer sitelerin referans etmemesi için güvenlik nedeniyle kullanılan Header set X-Frame-Options DENY özelliğinden dolayı ulaşamayacaklar.

öte yandan https ile kısmi (partial) view gibi bir kullanıcı login de koymak isterim çünkü dediğim gibi bunu ajax ile sağlamaya çalışacağım, ne denli başarılı olurum bilemiyorum, ama tek server da olsa, alias / frame de olsa yüzlerce hosting de olsa ssl sertifikası kullanmaz iseler riske girer kullanıcı bilgileri. bu güvenliği ve tedbiri sağlamaya çalışıyorum.

1) işte ana sorun bu. evet ben de tek bir server kiralamak isterim. tek bir ana uygulama üzerinden hangi domain ile talep edildiğine bakarak ona göre yanıt vermek isterim ama (daha önce başka bir konu üzerinde sizinle de konuşmuştuk, hatta siz de demiştiniz onlarca güvenlik personeliniz olması gerekir diye) böyle bir masraf da yapamam ve kendim de bilmiyorum server yapılandırmasını...

ayrı ayrı mini hosting paketleri alsam;

alınan hosting paketleri ile satın aldığım mega hosting paketini nasıl konuşturacağım (yani http üzerinden mi bir web service gibi)

yani müşteriye ayırdığım hosting paketi benim sitem ile nasıl iletişim içerisinde olacak ?

müşterininKendiSitesi.com.tr (hosting) ---------------------------> benimKendiSitem.com.tr/müşteriler/ID/müşterilerininSitesi

gibi bir protokol üzerinden mi ?

Tek server olsa aynı site müşterininKendiSitesi.com.tr domainin isteğini görüp ona göre yanıt verirdi mavi renkli yanıttaki gibi.

Ama ayrı ayrı hostingler var ise iş / durum daha da karmaşık hale geliyor.

Mavi renkli yanıtın aksine tek bir web sitesi olmadıkları için ana siteyi google veya başkası ziyaret ederse o vakit

benimKendiSitem.com.tr/müşteriler/ID/müşterlninSitesi alanını / içeriğini kapatmam gerekiyor yani sadece müşterininKendiSitesi.com.tr üzerinden gelen taleplere yanıt vermesi gerekiyor. Bunu da dediğim gibi Request.ServerVariables["HTTP_POST"] ile anlıyorum.

Siz de kendi düşüncelerinizi söyleyerek fikir verebilirseniz memnun olurum.