Herkese merhaba,
Öncelikle programlama ve başlıkta geçen konularda pek iyi değilim. Öğrene öğrene...
Şimdi sorum şu:
Bir Rest APIgeliştiriyorum. Hatta epey yazdım bir şeyler.
Bu API ye, çeşitli etki alanlarından isteklerde bulunacak.
Bu noktada araştırdıkça öğrendim ki ( Open ID, oAuth2 vb. Protokoller mevcut )
Not: Bu protokolleri kullanmak istenmiyorum... sebebi ve detaylarına girmiyeceğim.
Sonra HTTP Auth metodları olduğunu fark ettim. Bu noktada bilgileri header de hashleyerek gönderiyoruz.
İyi tamam güzel, sonra okudukça çeşitli açıkları olduğunu öğrendim.
Bunlardan birtanesi de sunucuya gönderilen istekleri izlemek vs. Vs.
Ondan sonra aklıma ( yıllardır kullandığımız ) login metodları geldi.
Klasik : Kullanıcı Adını ve Şifresini form da doldurur ve ajax ile bu bilgiler post edilir.
Sonra düşündüm ki, madem rest api de bu kadar sorun çıkıyor da bizim login.php ye istekte bulubduğumuz ve kullanıcı bilgilerinin kabak gibi açık olduğu sorgularda neden sorun çıkmıyordu?
Yani demek istediğim superonline(.)net e girin. Giriş kısmından rasgele bilgileri doldurun. ID ve PW u bildiğimiz ajax ile post ediyor.
Şimdi bu superonline SSL kullanmıyor olsaydı, kullanıcı bilgileri hacklenebilir mi olacaktı?
Varsayalım ki öyle, o zaman form'u post etmek yerine: bilgileri get metodu ile taşısaydık ve backend de olup bitseydi her şey: yani sorguyu backend de yapsaydık gene de aynı açığı vermiş mi olacaktık?
Sunucu istekleri, Kullanıcı bilgileri, Authentication ve Hack!
3
●161
- 09-10-2019, 15:49:10"Kullanıcı bilgileri hacklenebilir SSL" olayını şöyle anlatayım SSL hizmeti aldığın zaman kullanıcı bilgileri gizleniyor birebir encryption oluyor diyebilirim. SSL olmasaydı çeşitli yönlendirmeler , XSS gibi açıklıklar ile kullanıcı bilgileri ele geçirilebilirdi.
https://teknolojiprojeleri.com/tekni...-nasil-calisir - 11-10-2019, 13:43:32Anladım yani teknik olarak ssl kullanmadan rest api auth 'u yapmamızın doğurduğu açık ile, bir php dosyasından bulunduğumuz isteğin doğuracağı açık arasında bir fark yok yani?Metiss adlı üyeden alıntı: mesajı görüntüle
Peki ilgi alanınıza giriyor mu bilmiyorum ama, web servisleri ile mobil uygulamalar arasındaki yetkilendirmeyi nasıl yapıyorlar? Daha doğrusu güvenliği nasıl sağlıyorlar?
Son bir soru, A sunucusundan B sunucusuna yapılan bir istekte. A da mı SSL olmalı B de mi?