Anasayfa » Forum

uniqueidentifier id...
 
Bildirimler
Hepsini Temizle

uniqueidentifier id deşifre

 Anonim

merhabalar herkese,

database de tutulan uniqueidentifier (guid) kişi kayıtlarının id bilgisini paylaşmanın sakıncaları nelerdir ?

Örneğin 5 ali güner var dolayısıyla benzersiz olan id leri. bir web sitesinde oturup açıp kişi bilgilerini düzenleyecek insanlar var. her div de ayrı kişiler var ve div idleri misal database deki kişi idleri ile aynı. bunun veri güvenliği ve başkaca konularda bir sakıncası olabilir mi?

misal bu forumda galiba tek ben ali güner im. ikinci bir ali güner olduğunu düşünelim ve siz birimizden birine mesaj göndereceksiniz. sistemin sizin tıklamanızı nasıl ayırt etmesini istersiniz ?

1) arkaplanda database de yer alan kişi id leri internet browserına aktarılıp bir div id olarak gösterilince düzenleme isteği ile birlikte <div id=a43fb4...... gibi id bilgisinin taşınması ile rahatlıkla server tarafında isguid(xxx) ile talep xss saldırılarına karşı ön filtreden geçirilir ve sql server a sorgu koşulu olarak gönderilir.

 

2) ve en önemlisi bunun dışında kullanılan başkaca ve sağlıklı yöntemler var mıdır ? bu arada session ile dinamik id göndermeyi de düşündüm ama çok ram gerektiriyor 🙁

 

hürmetler.

Alıntı
Topic starter Gönderildi : 27/02/2017 22:06
oldmember
(@yavuzfilizlibay)
Üye

Merhaba Ali bey

Öncelikle forumda teksiniz 🙂 1 nolu yöntem uygun bencede, sürekli dinamik id gönderecek kadar bir durum var mıdır, mesela banka mı bu site, bu kadar kritik security ihtiyacı yok ise, security i optimum seviyede kullanmak daha iyidir.

CevapAlıntı
Gönderildi : 28/02/2017 01:26
Erdem SELÇUK
(@eravse)
Saygın Üye Forum Yöneticisi

merhaba,

 

daha önce hatırlatmışmıydım bilmiyorum gereksiz takıntılar boşa zaman kaybıdır. Windows bile dunyada crackli kulkanılıyor ıse sızın div içine yazdıgınız id nin hiç bir önemi yoktur. Zaten onu edit etme yetkisi verdiğiniz kişi zaten bir login sayfasından içeri girecek eğer şifresini kaybetti ise ve illegal kişiler içeri girdi ise geçmiş ola... XSS saldırısı yapan kişi her ne olursa olsun içeri giriş yapması lazım user id leri değilde user şifrelerini sağlama alınmalıdır.

 

2 ) sağlıklı yöntem çalışan ve rüştünü ispat eden yöntemdir. Bir çok tersine düzüne mühendislikler zaman içinde tecrübe edilmiş abuk sabuk kod bloklarımız mevcut 🙂

özetle user role ve auth sisteminiz doğru işler ve kullanıcılarınız 1234567 gibi şifreler vermediği sürece sorun %50 azalır

saygılar

Token based auth kısmınıda arastırabılırsınız

 

 

ProfectSoft Yazılım ve Danışmanlık Hizmetleri
LogPusher & Bifyou E-Commerce System
www.profectsoft.com

CevapAlıntı
Gönderildi : 28/02/2017 02:51
Paylaş: