kullanıcı hatırlama için başka alternatif ??

deggial · 19/03/2008, 14:24

-- Kullanıcıyı hatırlamak için sadece cookie dosyası kontolü kullanıyorum.

-- Session kullanmıyorum. (kullanmak istemiyorum)

-- Cookie içerisine kullanıcıAdı, rasgele üretilmiş 256 karakterlik bir şifre (DB'de de aynı rasgele şifre kayıtlı, kullanıcı şifresi değil)kaydediyorum. Kullanıcı girişini bu ikisi + IP adresi kontrol ettirerek gerçekleştiriyorum.

-- Sorun şurada; IP adresi sandığımdan çok güncellenen bir şeymiş aslında.. Herkesi benim gibi modemini 7 gün 24 saat açık bırakır bilirdim ancak öyle değilmiş.

-- IP kontrolünü çıkarayım diyorum sistemden, ancak bu sefer de eğer birisi başkasının cookie'sini bilgisayarına kopyalarsa, üye hesaplarını çalması mümkün olacak.
Soru1: ya da mümkün olmayacak mı?? cookie dosyarını dışardan bulup cookie klasörüne atmakla çalışır hale gelirler mi, yoksa tarayıcılar bu ihtimali düşünüp cookie'leri indexliyor ve sonradan eklenmiş cookie'leri devre dışı bırakıyor mu??
Eğer soru1'in cevabı "yok öyle bişey" ise; Soru2: IP adresi yerine, 3üncü kontrol olarak kullanıcının bilgisayarından ne kaydettirebilirim?? "Request." sınıfı içinde her kullanıcıda unique olan bir bilgi bulmam mümkün müdür??

anov · 19/03/2008, 14:34

XSS ile oturum çalınmasını (document.cookie) hatta şimdi adres çubuğuna
javascript:alert(document.cookie) yazarak şu anda kullandığın oturumu görebilirsin ceviz.net te.

Bunu engellemek istiyorsan ie 7 ve .net 2.0 la birlikte gündeme gelen (sanırım ff 2 de vardır) HttpOnly cookie kullanabilirsin. Kullanımı basit:

cookie.HttpOnly = true;

Bu çeşit cookie leri javascript tarafından okunamaz. Eğer kullanıcının kendisinin kopyalamasından çekiniyorsan, bence çekinmen yersiz. Oturumu kapattığı zaman silersin olur biter?

Kolay gelsin.

deggial · 19/03/2008, 15:02

@anov
Teşekkürler.

Ancak cookie'nin javascript tarafından okunabilmesi sorun değil aslında.. hatta okunamazsa sorun olur, sayfa içerisinde javascriptin kullanacağı, kullanıcı girişi harici bazı bilgileri daha kaydediyorum.

Asıl açıklamaya çalıştığım kısım, en sonda senin de söylediğin cookie dosyasının kullanıcıdan çalınması ihtimali.. Sonuçta kullanıcı Çıkış yapmak istemiyor, yarın siteye geldiğinde hatırlanmak istiyor, bu da cookie'nin saklanması gerektiği anlamına gelir. Bilgisayara sızmış bir trojan cookie dosyasını çalarsa ve cookie dosyası başka bilgisayardaki cookie klasörüne atılırsa, hacker diye tabir ettiğimiz bu arkadaş insansı varlık, çaldığı cookie ile hesabı da çalmış olacak. Bu ihtimal yüzünden cookie'deki unique şifre yanında bir de IP kontrolü yapıyorum şu anda... ama IP'yi kaldırmam gerekiyor, zira hatırlanma süresini çok kısaltıyor...

Siteye kullanıcıdan ilk istek geldiğinde Javascript ile MAC adresini cookie'ye kaydedip, daha sonra istenen sayfaya geri döndüren bir ara sayfa yapmayı düşündüm az önce.. Onu araştırıyorum ancak sıkıntı var sanırım bu konuda da.. ActiveX'e signture gerekiyormuş ve Firefox'da da çalışmıyormuş sanırım... Bakınıyorum ama mümkün görünmüyor..

19/03/2008, 14:24	#1 (permalink)
deggial Finwë Noldor Eldar Üyelik Tarihi: 10/2005 Mesaj: 330	kullanıcı hatırlama için başka alternatif ?? -- Kullanıcıyı hatırlamak için sadece cookie dosyası kontolü kullanıyorum. -- Session kullanmıyorum. (kullanmak istemiyorum) -- Cookie içerisine kullanıcıAdı, rasgele üretilmiş 256 karakterlik bir şifre (DB'de de aynı rasgele şifre kayıtlı, kullanıcı şifresi değil)kaydediyorum. Kullanıcı girişini bu ikisi + IP adresi kontrol ettirerek gerçekleştiriyorum. -- Sorun şurada; IP adresi sandığımdan çok güncellenen bir şeymiş aslında.. Herkesi benim gibi modemini 7 gün 24 saat açık bırakır bilirdim ancak öyle değilmiş. -- IP kontrolünü çıkarayım diyorum sistemden, ancak bu sefer de eğer birisi başkasının cookie'sini bilgisayarına kopyalarsa, üye hesaplarını çalması mümkün olacak. Soru1: ya da mümkün olmayacak mı?? cookie dosyarını dışardan bulup cookie klasörüne atmakla çalışır hale gelirler mi, yoksa tarayıcılar bu ihtimali düşünüp cookie'leri indexliyor ve sonradan eklenmiş cookie'leri devre dışı bırakıyor mu?? Eğer soru1'in cevabı "yok öyle bişey" ise; Soru2: IP adresi yerine, 3üncü kontrol olarak kullanıcının bilgisayarından ne kaydettirebilirim?? "Request." sınıfı içinde her kullanıcıda unique olan bir bilgi bulmam mümkün müdür??

19/03/2008, 14:34	#2 (permalink)
anov Varlığa izin veren boşluk Üyelik Tarihi: 04/2004 Yer: İstanbul Mesaj: 2,824	XSS ile oturum çalınmasını (document.cookie) hatta şimdi adres çubuğuna javascript:alert(document.cookie) yazarak şu anda kullandığın oturumu görebilirsin ceviz.net te. Bunu engellemek istiyorsan ie 7 ve .net 2.0 la birlikte gündeme gelen (sanırım ff 2 de vardır) HttpOnly cookie kullanabilirsin. Kullanımı basit: cookie.HttpOnly = true; Bu çeşit cookie leri javascript tarafından okunamaz. Eğer kullanıcının kendisinin kopyalamasından çekiniyorsan, bence çekinmen yersiz. Oturumu kapattığı zaman silersin olur biter? Kolay gelsin. __________________ Ceviz Viki \| Vikipedi \| VikiKitap \| VikiKaynak \| VikiSözlük \| VikiSöz \| Wikipedia \| Wikibooks

Benzer Konular
Konu	Konuyu açana göre	Forum	Cevap	En Son Mesaj
Sorgu İle Bir Kullanıcı Grubunu Komple Başka Gruba Aktarma	Cihan KARACA	Veritabanları & SQL	2	01/02/2008 15:24
asp.net te "Kaydedilemedi; şu anda başka bir kullanıcı tarafından kilitlenmiş" hatası	seramist	ASP.NET / Silverlight / Moonlight	2	30/01/2008 14:24
Modüller için Kullanıcı Yetkilendirmeleri	vol	PHP	2	13/06/2007 02:15
alert(''); için alternatif	pegassi	Javascript / DHTML / Ajax	1	05/05/2007 01:50
XP - Formmail ve Sifre Hatırlama,	tankire	Windows	5	05/10/2004 17:49

19/03/2008, 15:02	#3 (permalink)
deggial Finwë Noldor Eldar Üyelik Tarihi: 10/2005 Mesaj: 330	@anov Teşekkürler. Ancak cookie'nin javascript tarafından okunabilmesi sorun değil aslında.. hatta okunamazsa sorun olur, sayfa içerisinde javascriptin kullanacağı, kullanıcı girişi harici bazı bilgileri daha kaydediyorum. Asıl açıklamaya çalıştığım kısım, en sonda senin de söylediğin cookie dosyasının kullanıcıdan çalınması ihtimali.. Sonuçta kullanıcı Çıkış yapmak istemiyor, yarın siteye geldiğinde hatırlanmak istiyor, bu da cookie'nin saklanması gerektiği anlamına gelir. Bilgisayara sızmış bir trojan cookie dosyasını çalarsa ve cookie dosyası başka bilgisayardaki cookie klasörüne atılırsa, hacker diye tabir ettiğimiz bu arkadaş insansı varlık, çaldığı cookie ile hesabı da çalmış olacak. Bu ihtimal yüzünden cookie'deki unique şifre yanında bir de IP kontrolü yapıyorum şu anda... ama IP'yi kaldırmam gerekiyor, zira hatırlanma süresini çok kısaltıyor... Siteye kullanıcıdan ilk istek geldiğinde Javascript ile MAC adresini cookie'ye kaydedip, daha sonra istenen sayfaya geri döndüren bir ara sayfa yapmayı düşündüm az önce.. Onu araştırıyorum ancak sıkıntı var sanırım bu konuda da.. ActiveX'e signture gerekiyormuş ve Firefox'da da çalışmıyormuş sanırım... Bakınıyorum ama mümkün görünmüyor..

Seçenekler
Yazdırmaya Uygun Sayfa Sayfayı E-posta İle Gönder