0
Kayıt Ol

Şifreleme Sorusu

26

1.626

  • 21-09-2013, 12:30:09
    #19
    tolgay007
    tolgay007
    Hyperion adlı üyeden alıntı: mesajı görüntüle
    Sonucta benden baska bi kişi adina yolluyorum

    GT-I9200 cihazımdan Tapatalk 4 ile gönderildi
    Başka bir kişi adına nasıl yolluyorsun hocam ? Sadece şifresini bildiğin kişinin adına yollarsın.

    PsiCat adlı üyeden alıntı: mesajı görüntüle
    Güvenlik önemli bir mevzubahis ise neden soket bağlantısını da oluşturacağınız bir PHP dosyası ile kurup, kullanıcı düğmeye tıkladığında, işlemlerinizi kullanıcıya hiç bir bilgi vermeden yapmıyorsunuz? Özel bir nedeniniz varsa, sabit bir token sandığınız kadar güvenilir olmayabilir. PHP ile soket bağlantısı kurmayacak bile olsanız kullanıcı adını, o an ki zaman ile birlikte şifreleyip dinamik bir hash oluşturun. Sunucuda kullanıcı adı ile zaman damgası birlikte elinizde olsun. Hem belirli bir zamanı geçen paketleri kabul etmemiş hem de kullanıcıya dinamik bir hash vermiş olursunuz. Başka bir kullanıcıya ait hash çalınsa da kısa bir zaman sonra geçersiz olmuş olur. Algoritmanız bir şekilde zayıf bile olsa, tam zaman bilinmeden, saldırganın elinde 1 değil, 2 bilinmeyen olur.

    Nasıl bir yapı kullandığınızı bilmiyorum ancak diğer bir geçerli çözüm eğer kullanıcılar aslında üye ise, şifreler hem hash hem salt ile şifrelendi ise bir API oluşturun. Soket ile hem kullanıcı adını hem de hash değerini gönderin. İsterseniz bu değerleri de şifreleyebilirsiniz. Soket sunucusu API üzerinden kullanıcı adı ve hash değerini kontrol eder ve kesin çözüm elinizde olur.
    Sistem yapısı gereği dinamik hash olmaması gerekiyor,sorun orada zaten
  • 21-09-2013, 16:10:43
    #20
    Hyperion
    Hyperion
    Üyeliği durduruldu
    tolgay007 adlı üyeden alıntı: mesajı görüntüle
    Başka bir kişi adına nasıl yolluyorsun hocam ? Sadece şifresini bildiğin kişinin adına yollarsın.

    Sistem yapısı gereği dinamik hash olmaması gerekiyor,sorun orada zaten
    Şifre ile alakası yok konunun kullanıcı index.php ye girdiğinde username session dan gelmiyor mu, token de ordan oluşturulmuyor mu Bu session denilen olay da client tarafında PHPSESSID adlı bir cookie ile taşınıyor eğer bu taşınan PHPSESSID cookie sini çalıp kendi browserime eklersem sistem beni başka bir kullanıcı olarak görür, dolayısıyla başka bi kişi adına giriş yapmış olurum
  • 21-09-2013, 16:25:27
    #21
    tolgay007
    tolgay007
    Hyperion adlı üyeden alıntı: mesajı görüntüle
    Şifre ile alakası yok konunun kullanıcı index.php ye girdiğinde username session dan gelmiyor mu, token de ordan oluşturulmuyor mu Bu session denilen olay da client tarafında PHPSESSID adlı bir cookie ile taşınıyor eğer bu taşınan PHPSESSID cookie sini çalıp kendi browserime eklersem sistem beni başka bir kullanıcı olarak görür, dolayısıyla başka bi kişi adına giriş yapmış olurum
    Tamamda,bu her site için geçerli değil mi ? Yani bu bahsettiğim konu ile pek alakalı gelmedi bana ondan diyorum.Giriş yaparsanız herşeyi yaparsınız zaten onda bir problem yok.Browser ne yapabiliyorsa robotda aynısını yapabiliyor zaten
  • 21-09-2013, 16:26:14
    #22
    Hyperion
    Hyperion
    Üyeliği durduruldu
    tolgay007 adlı üyeden alıntı: mesajı görüntüle
    Tamamda,bu her site için geçerli değil mi ? Yani bu bahsettiğim konu ile pek alakalı gelmedi bana ondan diyorum.Giriş yaparsanız herşeyi yaparsınız zaten onda bir problem yok.Browser ne yapabiliyorsa robotda aynısını yapabiliyor zaten
    Token in pek koruyucu bi yani yok yani onu demek istedim .d

    GT-I9200 cihazımdan Tapatalk 4 ile gönderildi
  • 21-09-2013, 16:28:18
    #23
    tolgay007
    tolgay007
    Hyperion adlı üyeden alıntı: mesajı görüntüle
    Token in pek koruyucu bi yani yok yani onu demek istedim .d

    GT-I9200 cihazımdan Tapatalk 4 ile gönderildi
    Yani tabiki,ama sizde o cookie i alamazsınız zaten aynı ağda vs olmadığı sürece ?
  • 21-09-2013, 16:28:43
    #24
    Hyperion
    Hyperion
    Üyeliği durduruldu
    Iki kere md5 le gec yeterli olur

    Edit: İlla aynı ağda olmamıza gerek yok xss falan ile de alınır

    GT-I9200 cihazımdan Tapatalk 4 ile gönderildi
  • 21-09-2013, 17:22:48
    #25
    tolgay007
    tolgay007
    Hyperion adlı üyeden alıntı: mesajı görüntüle
    Iki kere md5 le gec yeterli olur

    Edit: İlla aynı ağda olmamıza gerek yok xss falan ile de alınır

    GT-I9200 cihazımdan Tapatalk 4 ile gönderildi
    İki kere md5 lersem bir daha çözemem onu,sokette çözülmesi lazım Aes şifreleme yapıyorum.
  • 21-09-2013, 17:23:29
    #26
    Hyperion
    Hyperion
    Üyeliği durduruldu
    Sokette de sifreler iki sifreyi karsilastirirsin

    GT-I9200 cihazımdan Tapatalk 4 ile gönderildi
  • 21-09-2013, 19:01:13
    #27
    tolgay007
    tolgay007
    Hyperion adlı üyeden alıntı: mesajı görüntüle
    Sokette de sifreler iki sifreyi karsilastirirsin

    GT-I9200 cihazımdan Tapatalk 4 ile gönderildi
    Bu benim niye aklıma geldi bilmiyorumda Şimdi nodejs kullanıyorum,dedimki javascriptte taklalar atacağıma şifreleme yapmak veya çözmek için,soket gelen verileri alsın,kendi yazdığım bir php sayfasına post ediyor,orda şifre çözülüp alındıktan sonra veriler eşleşiyorsa işlem devam ediyor.

    Post işlemi sokette yapıldığı için hangi url ye istek yaptığımıda göremiyor kullanıcı,zaten görsede pek bir şey değiştirmez,Aes i çözemeyecek zaten keyi bilmedikten sonra.