[HypNotic]

Arkadaşlar bir forum var.(adı bende sakLı)Buna giriş yapıyorum.Daha sonra her girişimde beni aktif gösteriyor.Foruma cevaplar yazıp konular açabiliyorum ama Daha sonra cookieleri bi inceledim.Kullanıcı adım, şifrem hepsi yazıyor.Kullanıcı adını değiştirince o kullanıcı ile giriyor.Acaba localhost olduğu için mi yapıyor bilmiyorum ama bunun için bi guvenlik kodu ya da başka turlu korunmak için cookie yazma kodu var mı?? (ASP)

[soul]

cookie ye kullanıcı adı ve şifre yazılır.
Cookieden okunan veri kullanıc adı ve şifre kontrol ettirilirerek bu sorun çözülür.

Cookie de ve database de md5 şifreler kullanılarak güvenlik arttırılması önemlidir. Bu sayede cookie de şifreler okunamaz.

[absconder]

kendi algoritmalarınla karmaşıklaştırıp, cookie yi inceleyenin anlamayacağı şekilde yazarsan problemin giderilmiş olacaktır...

oldukça kullanışlı bir encripter üzerinde çalışıyorum

böylece cookie/request olaylarını encript/decript yaparak güvenli kullanabileceksiniz...

az kaldı... [=azzzz sonra gibi oldu yahu ]

[HypNotic]

İyi @absconder hocam bekliyoruz...

[HypNotic]

Alıntı:

soul tarafından gönderilen mesaj:

cookie ye kullanıcı adı ve şifre yazılır.
Cookieden okunan veri kullanıc adı ve şifre kontrol ettirilirerek bu sorun çözülür.

Cookie de ve database de md5 şifreler kullanılarak güvenlik arttırılması önemlidir. Bu sayede cookie de şifreler okunamaz.

Tamam hocam da bu md5 i nasıL yapcaz??Hem o md5 i çözen programlar da var euehe :P

[neo_neuro]

Zaten teknik olarak bakarsan cozumu olmayan bir sifre koyman zor. Yeterince zamanın ve birkac islemciye sahip birkac makinan varsa brute force yollari ardına kadar acik

[soul]

Hocam şimdi md5 hash şifrelemedir, tek yönlü kısacası geri dönüşü yoktur.

Dolayısıyla ziyaretçin şifre seçerken seçtiği şifreyi veritabanına md5 yapıp kaydedersin bu sayede şifre db de md5 tutulur. Login kısmında da girilen şifreyi md5 e çevirir ve db ile karşılaştırırsın.

Bunun bir çok avantajı vardır cookilerde vs. md5 i tutulur, database birnin eline geçse bile şifrelere ulaşamaz.
Bazı sitelerde şifrenizi geri istediğinizde şifrenizin değişme sebebi budur, çünkü sistem dahi sizin şifrenizi bilmemektedir.

ASP ile md5;
http://users.bigpond.net.au/mrjolly/software/aspmd5.zip

JS ile md5;
http://pajhome.org.uk/crypt/md5/
JS ile md5 çok önemlidir kullanıcını şifresini inputa girdikten sonra submit kısmında bu script çalıştırııralarak şifreyi POST tan md5 ile aracılığı geçirirsiniz bu sayede sniffer dediğimiz (detaylı bilgi : http://ferruh.mavituna.com/article.asp?111#hd3hd1) olaydan ciddi şekilde bir koruma geliştirmiş olursunuz. Bu işlem SSL içermeyen bölgeler için kullanılabilir. SSL varsa zaten gereksiz olur.

PHP için md5;
md5() fonskiyonu yeterli.

encode işlemi ise farklıdır decode u olduğundan her türlü encode bir şekilde decode edilebilir ancak hash algoritmalar md5 gibi geri çevirilemez olduğundan çok daha güvenlidir.

[soul]

Alıntı:

Rå® tarafından gönderilen mesaj:

Tamam hocam da bu md5 i nasıL yapcaz??Hem o md5 i çözen programlar da var euehe :P

bunu henüz gördüm;
Şöyle ki evet md5 de çözülebilir ancak deneme yanılma yöntemiyle dolayısıyla bir md5 i çözmek aylarınızı alabilir. Dolayısıyla aklı başında insanlar genelde md5 çözmeye çalışmazlar.

[HypNotic]

Tamam @soul hocam sağoLun

http://members.optusnet.com.au/~mrjo...are/aspmd5.zip ASP için md5 buraya taşınmıştır.