Forum
merhabalar herkese,
database de tutulan uniqueidentifier (guid) kişi kayıtlarının id bilgisini paylaşmanın sakıncaları nelerdir ?
Örneğin 5 ali güner var dolayısıyla benzersiz olan id leri. bir web sitesinde oturup açıp kişi bilgilerini düzenleyecek insanlar var. her div de ayrı kişiler var ve div idleri misal database deki kişi idleri ile aynı. bunun veri güvenliği ve başkaca konularda bir sakıncası olabilir mi?
misal bu forumda galiba tek ben ali güner im. ikinci bir ali güner olduğunu düşünelim ve siz birimizden birine mesaj göndereceksiniz. sistemin sizin tıklamanızı nasıl ayırt etmesini istersiniz ?
1) arkaplanda database de yer alan kişi id leri internet browserına aktarılıp bir div id olarak gösterilince düzenleme isteği ile birlikte <div id=a43fb4...... gibi id bilgisinin taşınması ile rahatlıkla server tarafında isguid(xxx) ile talep xss saldırılarına karşı ön filtreden geçirilir ve sql server a sorgu koşulu olarak gönderilir.
2) ve en önemlisi bunun dışında kullanılan başkaca ve sağlıklı yöntemler var mıdır ? bu arada session ile dinamik id göndermeyi de düşündüm ama çok ram gerektiriyor 🙁
hürmetler.
merhaba,
daha önce hatırlatmışmıydım bilmiyorum gereksiz takıntılar boşa zaman kaybıdır. Windows bile dunyada crackli kulkanılıyor ıse sızın div içine yazdıgınız id nin hiç bir önemi yoktur. Zaten onu edit etme yetkisi verdiğiniz kişi zaten bir login sayfasından içeri girecek eğer şifresini kaybetti ise ve illegal kişiler içeri girdi ise geçmiş ola... XSS saldırısı yapan kişi her ne olursa olsun içeri giriş yapması lazım user id leri değilde user şifrelerini sağlama alınmalıdır.
2 ) sağlıklı yöntem çalışan ve rüştünü ispat eden yöntemdir. Bir çok tersine düzüne mühendislikler zaman içinde tecrübe edilmiş abuk sabuk kod bloklarımız mevcut 🙂
özetle user role ve auth sisteminiz doğru işler ve kullanıcılarınız 1234567 gibi şifreler vermediği sürece sorun %50 azalır
saygılar
Token based auth kısmınıda arastırabılırsınız
ProfectSoft Yazılım ve Danışmanlık Hizmetleri
LogPusher & Bifyou E-Commerce System
www.profectsoft.com