0
Kayıt Ol

PHP login sistemi ve POST işlemleri hakkında birkaç soru

16

373

  • 24-09-2021, 14:28:17
    #10
    ghergedan
    ghergedan
    mkozdogan adlı üyeden alıntı: mesajı görüntüle
    PhpSessionID ne demek bilmiyorsunuz sanırım? Halbuki ben sadece basit bir varsayım yazmıştım. Biraz daha açalım.
    Bir kullanıcı, diğer bir kullanıcının “PHPSESSID” değerini biliyorsa o halde, o kişinin oturumunu da bilmiş olur. Yani X kişisi kendi tarayıcısında Y kişisinin “PHPSESSID” değerini girer ve o kişinin oturumuna giriş sağlamış olur.

    Örnek video


    Dileyen internette açık kaynaklarda phpsessionid güvenliği hakkında detaylı bilgiler okuyabilir.
    Phpsessionid için iyi kurgulanmamış bir güvenlik senaryosunda, bu bilginizi elde eden birisi bilgiyi javascript ile taçlandırırsa, o halde bu olay benim bahsettiğimden de büyük bir güvenlik açığına dönüşür.
    İlk mesajınıza bakılırsa session kullanımının doğrudan güvenlik açığı oluşturduğu varsayımında bulunmuşsunuz gibi anlaşılıyor. Böyle bir durum söz konusu değil. Neyi neden kodladığınızı bilmiyorsanız, session id'ye gelene kadar bir sürü güvenlik zaafiyeti yaratmışsınızdır zaten. PHPSESSID değeri çerez yapılandırması doğruysa öyle kolay ulaşılabilecek bir şey değil. Açıkçası ne ilk mesajdaki tavsiyeyi anlayabildim, ne de bu gönderiyle arasındaki bağlantıyı. Evet, ne yaptığınızı bilmiyorsanız güvenlik açığı yaratabilirsiniz. Eee. Session kullanmayalım mı? Mesaj nedir yani.
  • 24-09-2021, 16:18:01
    #11
    mkozdogan
    mkozdogan
    ghergedan adlı üyeden alıntı: mesajı görüntüle
    İlk mesajınıza bakılırsa session kullanımının doğrudan güvenlik açığı oluşturduğu varsayımında bulunmuşsunuz gibi anlaşılıyor. Böyle bir durum söz konusu değil. Neyi neden kodladığınızı bilmiyorsanız, session id'ye gelene kadar bir sürü güvenlik zaafiyeti yaratmışsınızdır zaten. PHPSESSID değeri çerez yapılandırması doğruysa öyle kolay ulaşılabilecek bir şey değil. Açıkçası ne ilk mesajdaki tavsiyeyi anlayabildim, ne de bu gönderiyle arasındaki bağlantıyı. Evet, ne yaptığınızı bilmiyorsanız güvenlik açığı yaratabilirsiniz. Eee. Session kullanmayalım mı? Mesaj nedir yani.
    Yazdığınız hiç bir kelimede soruyu soran arkadaşa atfen bir cevap vermemişsiniz.
    Tam olarak neye itiraz ettiğinizi de yazmamışsınız? "Neyi neden kodladığınızı bilmiyorsanız" sözünüz ile beni hedefliyorsanız, sizin gibi ergenler arasında yapılan bu tür mizahi yorumlara cevap yazmıyorum.
    İtiraz ettiğiniz bir şey varsa ve daha iyi bildiğinizi düşünüyorsanız polemik çıkarıcı -kişisel görüşlerinizi- beyan etmek yerine, bildiğiniz daha iyi şey her ne ise onu paylaşmanızı salık veririm.
    Zira; siz de, "kime? ne?" yazdığınızı bilmiyorsunuz.
  • 25-09-2021, 00:33:30
    #12
    ghergedan
    ghergedan
    mkozdogan adlı üyeden alıntı: mesajı görüntüle
    Yazdığınız hiç bir kelimede soruyu soran arkadaşa atfen bir cevap vermemişsiniz.
    Tam olarak neye itiraz ettiğinizi de yazmamışsınız? "Neyi neden kodladığınızı bilmiyorsanız" sözünüz ile beni hedefliyorsanız, sizin gibi ergenler arasında yapılan bu tür mizahi yorumlara cevap yazmıyorum.
    İtiraz ettiğiniz bir şey varsa ve daha iyi bildiğinizi düşünüyorsanız polemik çıkarıcı -kişisel görüşlerinizi- beyan etmek yerine, bildiğiniz daha iyi şey her ne ise onu paylaşmanızı salık veririm.
    Zira; siz de, "kime? ne?" yazdığınızı bilmiyorsunuz.
    Soruyu soran arkadaşa cevap vermek gibi bir düşüncem yoktu zaten. Tam olarak aynı şeyi size sordum. Soruyu soran arkadaşa konuyla alakalı anlamlı hiçbir cevap vermediniz, yazdıklarınızdan ne çıkartmamız gerekiyor diye sordum. Şimdi bu gönderiyi de görünce yaşadığınız kavram kargaşasının sebebi çok net anlaşılıyor.

    mkozdogan adlı üyeden alıntı: mesajı görüntüle
    Yaptığım stres testlerinde, teknik düzeydeki Auth sorunları büyük ölçüde API ve GCaptcha v3 ile tamamen ortadan kalkmış görünüyor. Birini aşsanız, diğeri aşılmıyor.
    Hatta Ajax veya JQuery ile voltran yaptıklarında yöntemler de inanılmaz zorlaşıyor, güvenlik koridorunda neler yapıldığını anlamak baş ağrıtıyor.
    Server side - front end uygulamaları bunca teknolojik gelişim göstermişken, siz neden rest API yazmıyorsunuz?
    Burada sorunun çözümüyle alakalı ne anlatmaya çalışıyorsunuz tam olarak? Konu Rest Api'a nereden geldi?

    mkozdogan adlı üyeden alıntı: mesajı görüntüle
    Zira session bilgisine ulaşan geri kalan tüm yetkilere ulaşır. (gerçi api token'ina ulaşan da ulaşabiliyor ama. en azından refresh time özelliği var )
    ve burada tamamen kodlamaya bağlı oluşabilecek bir güvenlik açığı senaryosu oluşturarak ne anlatmaya, soruyu soran arkadaşa nasıl yardımcı olmaya çalışıyorsunuz?

    Görüyorum ki hem niyet okuyorsunuz, hem de kişiliğinizle alakalı herhangi bir yorum yapmamama rağmen; ergen gibi bir ifade kullanarak olayı kişiselleştirip, aklınızca aşağılamaya çalışıyorsunuz. Hazır olayı kişiselleştirmişken söyleyeyim, anlaşılan kendinizi ifade etmekte sorunlar yaşıyorsunuz. Sorun değil. Tartışmayız, olur biter. Bu arada siz kimsiniz? İngiltere prensiyle mi konuşuyorum?
  • 25-09-2021, 00:37:53
    #13
    mkozdogan
    mkozdogan
    Sidejacking ve fiddler'i hiç duymadığınızı varsayıyorum. Yazacaklarım bu kadar.
  • 25-09-2021, 00:45:09
    #14
    ghergedan
    ghergedan
    mkozdogan adlı üyeden alıntı: mesajı görüntüle
    Sidejacking ve fiddler'i hiç duymadığınızı varsayıyorum. Yazacaklarım bu kadar.
    Varsaymaktan başka bir şey yapmıyormuşsunuz gibi görünüyor zaten.
  • 25-09-2021, 00:50:55
    #15
    mkozdogan
    mkozdogan
    ghergedan adlı üyeden alıntı: mesajı görüntüle
    Varsaymaktan başka bir şey yapmıyormuşsunuz gibi görünüyor zaten.

    Ben arkadaşın bu sorusuna atfen, bir cevap verdim. Siz neyi anlatıyorsunuz? Neye itiraz ettiniz?
  • 25-09-2021, 00:54:08
    #16
    ghergedan
    ghergedan
    mkozdogan adlı üyeden alıntı: mesajı görüntüle

    Ben arkadaşın bu sorusuna atfen, bir cevap verdim. Siz neyi anlatıyorsunuz?
    Ha anladım, siz halen yazdıklarınızın bu soruya cevap olduğunu düşünüyorsunuz. Peki, çok özür diliyorum. Tamamen benim hatam.
  • 25-09-2021, 01:02:47
    #17
    mkozdogan
    mkozdogan
    ghergedan adlı üyeden alıntı: mesajı görüntüle
    Ha anladım, siz halen yazdıklarınızın bu soruya cevap olduğunu düşünüyorsunuz. Peki, çok özür diliyorum. Tamamen benim hatam.
    Yazdıklarımı tekrar tekrar okudum. Size polemik başlatacak boyutta hatalı bir şey yazmadığımı görüyorum. Sizin kişiliğinize atfen de, herhangi bir iletim yok. Polemikvari konuşmayı siz başlattınız. Aynı edep düzeyine inmeden cevap vermeye çalıştım.
    Her neyi yanlış anladıysanız, onu kendiniz için düzeltirsiniz. Böylece özür dilemeye "ihtiyaç" duymazsınız.