Form tabanl─▒ web sitesi do─črulamas─▒ i├žin kesin k─▒lavuz [kapal─▒]


Al─▒nan cevaba git


Web siteleri i├žin form tabanl─▒ kimlik do─črulama

Y─▒─č─▒n Ta┼čmas─▒'n─▒n yaln─▒zca ├žok ├Âzel teknik sorular i├žin bir kaynak de─čil, ayn─▒ zamanda s─▒k kar┼č─▒la┼č─▒lan sorunlar─▒n varyasyonlar─▒n─▒n nas─▒l ├ž├Âz├╝lece─čine ili┼čkin genel k─▒lavuzlar i├žin de bir kaynak olmas─▒ gerekti─čine inan─▒yoruz. "Web siteleri i├žin form tabanl─▒ kimlik do─črulama" b├Âyle bir deneme i├žin iyi bir konu olmal─▒d─▒r.

Bu gibi konular─▒ i├žermelidir:

  • Nas─▒l giri┼č yap─▒l─▒r?
  • Nas─▒l ├ž─▒k─▒┼č yap─▒l─▒r?
  • Nas─▒l giri┼č yapabilirim?
  • ├çerezleri y├Ânetme (├Ânerilen ayarlar dahil)
  • SSL / HTTPS ┼čifreleme
  • ┼×ifreler nas─▒l saklan─▒r?
  • Gizli sorular─▒ kullanma
  • Unutulmu┼č kullan─▒c─▒ ad─▒ / ┼čifre i┼člevi
  • Siteler aras─▒ istek sahtecili─čini ├Ânlemek i├žin nonces kullan─▒m─▒ (CSRF)
  • OpenID
  • "Beni hat─▒rla" onay kutusu
  • Kullan─▒c─▒ adlar─▒n─▒ ve ┼čifreleri taray─▒c─▒ otomatik tamamlama
  • Gizli URL'ler ( ├Âzet URL taraf─▒ndan korunan genel URL )
  • ┼×ifre g├╝c├╝n├╝ kontrol etme
  • E-posta do─črulama
  • ve form tabanl─▒ kimlik do─črulamas─▒ hakk─▒nda ├žok daha fazlas─▒ ...

Gibi ┼čeyler i├žermemelidir:

  • Roller ve yetkilendirme
  • HTTP temel kimlik do─črulamas─▒

L├╝tfen bize yard─▒mc─▒ olun:

  1. Subtopics ├Ânerme
  2. Bu konuyla ilgili iyi makaleler sunmak
  3. Resmi cevab─▒ d├╝zenleme

5295









Cevap say─▒s─▒n─▒ say: 12






B├ľL├ťM I: Nas─▒l Giri┼č Yap─▒l─▒r?

Kimlik do─črulama i├žin de─čerleri sunucu taraf─▒nda bir komut dosyas─▒na POST yapan bir login + ┼čifre HTML formu olu┼čturmay─▒ zaten bildi─činizi varsayaca─č─▒z. A┼ča─č─▒daki b├Âl├╝mler, pratik pratik kimlik bilgisi ve en yayg─▒n g├╝venlik tuzaklar─▒ndan nas─▒l ka├ž─▒n─▒laca─č─▒ ile ilgili modelleri ele alacakt─▒r.

HTTPS'ye veya HTTPS'ye de─čil mi?

Ba─člant─▒ zaten g├╝venli de─čilse (yani, SSL / TLS kullanarak HTTPS ├╝zerinden t├╝nellenmi┼čse), giri┼č formu de─čerleriniz, taray─▒c─▒ ve web sunucusu aras─▒ndaki sat─▒rda dinleyen herkesin giri┼člerini okurken okuyabilecekleri olan a├ž─▒k metin olarak g├Ânderilir vasitasiyla. Bu t├╝r telefon dinleme, rutin olarak h├╝k├╝metler taraf─▒ndan yap─▒l─▒r, ancak genel olarak, ┼čunu s├Âylemek d─▒┼č─▒nda 'sahip olunan' kablolar─▒ ele almayaca─č─▒z: Sadece HTTPS kullan─▒n.

Temel olarak, oturum a├žma s─▒ras─▒nda telefon dinleme / paket koklamas─▒na kar┼č─▒ koruman─▒n tek pratik yolu HTTPS veya ba┼čka bir sertifika tabanl─▒ ┼čifreleme ┼čemas─▒ (├Ârne─čin, TLS ) veya kan─▒tlanm─▒┼č ve test edilmi┼č bir meydan okuma yan─▒t ┼čemas─▒ (├Ârne─čin, Diffie-Hellman) kullanmakt─▒r. tabanl─▒ SRP). Herhangi bir ba┼čka y├Ântem, gizli dinleyen bir sald─▒rgan taraf─▒ndan kolayca ├ž├Âz├╝lebilir .

Elbette, biraz pratik olmaya istekliysen, baz─▒ iki fakt├Ârl├╝ kimlik do─črulama ┼čemalar─▒ da kullanabilirsin (├Ârne─čin, Google Authenticator uygulamas─▒, fiziksel bir 'so─čuk sava┼č tarz─▒' kod kitab─▒ veya bir RSA anahtar ├╝reticisi dongle). Do─čru uygulan─▒rsa, bu g├╝venli olmayan bir ba─člant─▒da bile i┼če yarayabilir, ancak bir dev'in SSL'yi de─čil, iki fakt├Ârl├╝ kimlik do─črulamay─▒ uygulamaya istekli olaca─č─▒n─▒ hayal etmek zor.

(Yapmay─▒n) Kendi JavaScript ┼čifrelemenizi / karma i┼čleminizi yap─▒n

Web sitenize alg─▒lanan (┼čimdi ka├ž─▒n─▒labilir ) maliyet ve teknik zorluklar g├Âz ├Ân├╝ne al─▒nd─▒─č─▒nda, web sitenize SSL sertifikas─▒ koyman─▒n maliyeti ve teknik zorluklar─▒ g├Âz ├Ân├╝ne al─▒nd─▒─č─▒nda , baz─▒ geli┼čtiriciler g├╝venli olmayan bir kablo ├╝zerinden net metin giri┼člerini ge├žirmemek i├žin kendi taray─▒c─▒ i├ži karma ya da ┼čifreleme ┼čemalar─▒n─▒ d├Ând├╝rme e─čilimindedir.

Bu asil bir d├╝┼č├╝nce olsa da , yukar─▒dakilerden biriyle birle┼čtirilmedi─či s├╝rece esasen faydas─▒zd─▒r (ve bir g├╝venlik a├ž─▒─č─▒ olabilir ) - yani, hatt─▒ g├╝├žl├╝ ┼čifreleme ile sa─člamla┼čt─▒rmak veya denenmi┼č ve test edilmi┼č bir kar┼č─▒-cevap kullanarak mekanizma (bunun ne oldu─čunu bilmiyorsan─▒z, sadece kan─▒tlanmas─▒ en zor, tasarlaman─▒n en zor ve dijital g├╝venlik kavramlar─▒n─▒ uygulaman─▒n en zor olanlardan biri oldu─čunu ├Â─črenin).

┼×ifrenin ┼čifrenin if┼ča edilmesine kar┼č─▒ etkili olabilece─či do─čru olsa da, sald─▒r─▒lar─▒, Ortadaki Adam sald─▒r─▒lar─▒ / korsanl─▒klar─▒n─▒ tekrarlamaya a├ž─▒kt─▒r (e─čer bir sald─▒rgan g├╝venli olmayan HTML sayfan─▒za eri┼čmeden ├Ânce birka├ž bayt enjekte edebilirse). taray─▒c─▒da, basit├že JavaScript'teki karmas─▒n─▒ a├ž─▒klayabilir) veya kaba kuvvetli sald─▒r─▒lar─▒ (sald─▒rgan─▒ hem kullan─▒c─▒ ad─▒, hem de ┼čifreli ┼čifreyi verdi─činizden beri) yorumlayabilir.

CAPTCHAS insanl─▒─ča kar┼č─▒

CAPTCHA belirli bir sald─▒r─▒ kategorisini engellemek i├žindir: otomatik operat├Âr / kaba kuvvet deneme ve yan─▒lma, insan operat├Ârs├╝z. Bunun ger├žek bir tehdit oldu─čuna dair hi├žbir ┼č├╝phe yoktur, ancak bir CAPTCHA gerektirmeyen, ├Âzellikle de uygun ┼čekilde tasarlanm─▒┼č sunucu taraf─▒ oturum a├žma azaltma d├╝zenleri gerektirmeyen, sorunsuz bir ┼čekilde ba┼č etmenin yollar─▒ vard─▒r - bunlar─▒ daha sonra tart─▒┼čaca─č─▒z.

CAPTCHA uygulamalar─▒n─▒n ayn─▒ ┼čekilde yarat─▒lmad─▒─č─▒n─▒ bilin; genellikle insani ├ž├Âz├╝lemezler, ├žo─ču asl─▒nda botlara kar┼č─▒ etkisizdir, hepsi ucuz ├╝├ž├╝nc├╝ d├╝nya i┼č├žili─čine kar┼č─▒ etkisizdir ( OWASP'a g├Âre , mevcut terleme oran─▒ 500 test ba┼č─▒na 12 dolar) ve baz─▒ uygulamalar olabilir. Baz─▒ ├╝lkelerde teknik olarak yasa d─▒┼č─▒ (bkz. OWASP Kimlik Do─črulama Hile Sayfas─▒ ). Bir CAPTCHA kullanman─▒z gerekiyorsa, Google'─▒n reCAPTCHA's─▒n─▒ kullan─▒n , ├ž├╝nk├╝ tan─▒m─▒ gere─či OCR zor oldu─čundan (zaten OCR'yu yanl─▒┼č s─▒n─▒fland─▒r─▒lm─▒┼č kitap taramalar─▒ kulland─▒─č─▒ndan) ve kullan─▒c─▒ dostu olmak i├žin ├žok ├žaba sarfeder.

┼×ahsen, CAPTCHAS'─▒ can s─▒k─▒c─▒ bulmaya meyilliyim ve bunlar─▒ yaln─▒zca bir kullan─▒c─▒ birka├ž kez giri┼č yapamad─▒─č─▒nda ve azaltma gecikmeleri maksimuma ├ž─▒kt─▒─č─▒nda son ├žare olarak kullan─▒yorum. Bu kabul edilebilir olmak i├žin nadiren ger├žekle┼čecek ve sistemi bir b├╝t├╝n olarak g├╝├žlendirecektir.

┼×ifreleri Saklamak / Giri┼čleri Do─črulamak

Bu, son y─▒llarda g├Ârd├╝─č├╝m├╝z y├╝ksek d├╝zeyde tan─▒t─▒lan bilgisayar korsanl─▒klar─▒ ve kullan─▒c─▒ veri s─▒z─▒nt─▒lar─▒ndan sonra ortak bilgi olabilir, ancak ┼čunu s├Âylemek gerekir: ┼×ifreleri veritaban─▒n─▒zda a├ž─▒k metin olarak saklamay─▒n. Kullan─▒c─▒ veritabanlar─▒, SQL enjeksiyonu yoluyla d├╝zenli olarak sald─▒r─▒ya u─črulur, s─▒zd─▒r─▒l─▒r veya toplan─▒r ve e─čer ham, d├╝z metinli ┼čifreleri sakl─▒yorsan─▒z, oturum a├žma g├╝venli─činiz i├žin an─▒nda oyun biter.

├ľyleyse, ┼čifreyi kaydedemiyorsan─▒z, giri┼č formundan POST'lu giri┼č + ┼čifre kombinasyonunun do─čru oldu─čunu nas─▒l kontrol edersiniz? Cevap, bir anahtar t├╝retme i┼člevi kullanarak ├Âzetliyor . Ne zaman yeni bir kullan─▒c─▒ olu┼čturulursa veya bir ┼čifre de─či┼čtirilsin, ┼čifreyi al ve Argon2, bcrypt, scrypt veya PBKDF2 gibi bir KDF ile ├žal─▒┼čt─▒r, cleartext ┼čifresini ("correcthorsebatterystaple") uzun, rastgele g├Âr├╝n├╝ml├╝ bir dizeye ├ževirerek , veritaban─▒nda saklamak ├žok daha g├╝venlidir. Bir giri┼či do─črulamak i├žin, girilen ┼čifrenizde ayn─▒ hash i┼člevini ├žal─▒┼čt─▒r─▒n, bu kez tuzu ekleyin ve elde edilen hash dizesini veritaban─▒n─▒zda depolanan de─čerle kar┼č─▒la┼čt─▒r─▒n. Argon2, bcrypt ve scrypt, tuzu zaten karma ile saklar. Daha ayr─▒nt─▒l─▒ bilgi i├žin sec.stackexchange adresindeki bu makaleye g├Âz at─▒n.

Bir tuzun kullan─▒lmas─▒n─▒n sebebi, kendi ba┼č─▒na toplaman─▒n yeterli olmamas─▒d─▒r - karma─▒ g├Âkku┼ča─č─▒ tablolar─▒na kar┼č─▒ korumak i├žin 'tuz' denilen bir tane eklemek istersiniz . Bir tuz, bir sald─▒rgan─▒n bir ┼čifre tahmin sald─▒r─▒s─▒ ger├žekle┼čtirmesi durumunda, t├╝m veritaban─▒n─▒n bir ├žal─▒┼čt─▒rmada taranmas─▒n─▒ ├Ânleyerek, tam olarak ayn─▒ hash de─čeriyle depolanmas─▒n─▒ ├Ânleyen iki ┼čifreyi etkili bir ┼čekilde ├Ânler.

Kullan─▒c─▒ taraf─▒ndan se├žilen ┼čifreler yeterince g├╝├žl├╝ olmad─▒─č─▒ndan (genellikle yeterli entropi i├žermiyorsa) ve ┼čifre tahmin etme sald─▒r─▒s─▒, k─▒sa s├╝rede hashlere eri┼čimi olan bir sald─▒rgan taraf─▒ndan tamamlanabildi─či i├žin ┼čifreleme karma ┼čifresi kullan─▒lmamal─▒d─▒r. Bu nedenle KDF'lerin kullan─▒lmas─▒ - bunlar etkili bir ┼čekilde "anahtar─▒ uzat─▒r" , bu da bir sald─▒rgan─▒n tahmin etti─či her ┼čifre tahmininin karma algoritman─▒n ├žoklu tekrarlar─▒na neden oldu─ču anlam─▒na gelir, ├Ârne─čin 10.000 kez, sald─▒rgan─▒n ┼čifreyi 10.000 kez daha yava┼č tahmin etmesine neden olur.

Oturum verileri - "Spiderman69 olarak giri┼č yapt─▒n─▒z"

Sunucu, kullan─▒c─▒ veritaban─▒n─▒za kar┼č─▒ giri┼č ve ┼čifreyi do─črulad─▒ktan ve bir e┼čle┼čme buldu─čunda, sistem, taray─▒c─▒n─▒n kimli─činin do─čruland─▒─č─▒n─▒ hat─▒rlamak i├žin bir yola ihtiya├ž duyar. Bu ger├žek, yaln─▒zca oturum verilerinde yaln─▒zca sunucu taraf─▒nda depolanmal─▒d─▒r.

Oturum verilerini bilmiyorsan─▒z, i┼čte b├Âyle ├žal─▒┼č─▒r: Rastgele olu┼čturulmu┼č tek bir dize s├╝resi dolmu┼č bir ├žerezde depolan─▒r ve sunucuda depolanan veri koleksiyonuna - oturum verisine - referans vermek i├žin kullan─▒l─▒r. Bir MVC ├žer├ževesi kullan─▒yorsan─▒z, bu ┼č├╝phesiz zaten ele al─▒nm─▒┼čt─▒r.

M├╝mk├╝nse, oturum ├žerezinin taray─▒c─▒ya g├Ânderildi─činde ayarlanan g├╝venli ve Yaln─▒zca HTTP bayraklar─▒na sahip oldu─čundan emin olun. HttpOnly bayra─č─▒, XSS sald─▒r─▒s─▒ yoluyla okunan tan─▒mlama bilgisine kar┼č─▒ bir miktar koruma sa─člar. G├╝venli bayrak, ├žerezin yaln─▒zca HTTPS ├╝zerinden geri g├Ânderilmesini sa─člar ve bu nedenle a─č koklama sald─▒r─▒lar─▒na kar┼č─▒ korur. ├çerezin de─čeri tahmin edilebilir olmamal─▒d─▒r. Var olmayan bir oturuma at─▒fta bulunan bir ├žerez sunuldu─čunda, oturumun sabitlenmesini ├Ânlemek i├žin de─čeri derhal de─či┼čtirilmelidir .

II. KISIM: Oturum A├ž─▒lmadan Nas─▒l Kalabiliriz - Rezil "Beni Hat─▒rla" Onay Kutusu

Kal─▒c─▒ Giri┼č ├çerezleri ("beni hat─▒rla" i┼člevselli─či) tehlikeli bir b├Âlgedir; Bir yandan, kullan─▒c─▒lar onlar─▒ nas─▒l kullanacaklar─▒n─▒ anlad─▒klar─▒nda, tamamen geleneksel giri┼čler kadar g├╝venlidirler; ve di─čer taraftan, dikkatsiz kullan─▒c─▒lar─▒n ellerinde, onlar─▒ halka a├ž─▒k bilgisayarlarda kullanabilen ve ├ž─▒k─▒┼č yapmay─▒ unutabilen ve taray─▒c─▒ ├žerezlerinin ne oldu─čunu ya da nas─▒l silece─čini bilemeyen ├žok b├╝y├╝k bir g├╝venlik riskidir.

┼×ahsen, d├╝zenli olarak ziyaret etti─čim web siteleri i├žin kal─▒c─▒ giri┼čler yapmay─▒ seviyorum, ancak onlar─▒ g├╝venli bir ┼čekilde nas─▒l kullanaca─č─▒m─▒ biliyorum. Kullan─▒c─▒lar─▒n─▒z─▒n ayn─▒ ┼čeyi bildi─činden eminseniz, kal─▒c─▒ giri┼čleri temiz bir vicdanla kullanabilirsiniz. Olmazsa - ├Âyleyse, giri┼č bilgileriyle dikkatsiz olan kullan─▒c─▒lar─▒n sald─▒r─▒ya u─črad─▒klar─▒nda kendilerine getirdikleri felsefesine abone olabilirsiniz. Bizim kullan─▒c─▒lar─▒m─▒z─▒n evlerine gitmemiz ve y├╝z maskesi olu┼čturan t├╝m Post-It notlar─▒n─▒n, monit├Ârlerinin kenar─▒nda s─▒raya koyduklar─▒ ┼čifrelerle kopar─▒lmas─▒ gibi bir ┼čey de─čil.

Tabii ki, baz─▒ sistemler hacklenecek herhangi bir hesaba sahip olamazlar ; Bu t├╝r sistemler i├žin, kal─▒c─▒ giri┼člere sahip oldu─čunuzu hakl─▒ g├Âsteremezsiniz.

Kal─▒c─▒ giri┼č ├žerezleri uygulamaya karar verirseniz, i┼čte b├Âyle yapars─▒n─▒z:

  1. ─░lk ├Ânce, Paragon Giri┼čimi'nin konuyla ilgili makalesini okumak i├žin biraz zaman ay─▒r─▒n . Bir s├╝r├╝ ├Â─čeyi do─čru yapman─▒z gerekecek ve makale, her birini a├ž─▒klamak i├žin harika bir i┼č ├ž─▒kar─▒yor.

  2. Ve sadece en yayg─▒n tuzaklardan birini tekrarlamak i├žin, VER─░TABANIZDA, SADECE B─░R HASH ─░├ç─░NDE K─░┼×─░SEL G─░R─░┼× KEKL─░─×─░N─░ (TOKEN) SAKMAYIN! Giri┼č belirteci ┼×ifre E┼čde─čeridir, bu nedenle bir sald─▒rgan veritaban─▒n─▒z─▒ ele ge├žirirse, belirte├žleri herhangi bir hesaba giri┼č yapmak i├žin, t─▒pk─▒ a├ž─▒k metin giri┼č-┼čifre kombinasyonlar─▒ gibi temizlerler. Bu nedenle, kal─▒c─▒ oturum a├žma belirte├žlerini depolarken karma kullan─▒n ( https://security.stackexchange.com/a/63438/5002 uyar─▒nca zay─▒f bir karma bu ama├ž i├žin gayet iyi sonu├ž verir).

B├ľL├ťM III: Gizli Sorular─▒ Kullanma

'Gizli sorular' uygulamay─▒n . 'Gizli sorular' ├Âzelli─či g├╝venlik kar┼č─▒t─▒ bir kal─▒pt─▒r. MUST-READ listesinden 4 numaral─▒ linkten makaleyi okuyun. Sarah PalinÔÇÖe Yahoo! Bir ├Ânceki ba┼čkanl─▒k kampanyas─▒ s─▒ras─▒nda e-posta hesab─▒ hacklendi ├ž├╝nk├╝ g├╝venlik sorusunun cevab─▒ ... "Wasilla Lisesi" idi!

Kullan─▒c─▒ taraf─▒ndan belirlenen sorularla bile, ├žo─ču kullan─▒c─▒n─▒n birini se├žmesi olas─▒d─▒r:

  • Anne k─▒zl─▒k soyad─▒ veya favori evcil hayvan gibi bir 'standart' gizli soru

  • Herhangi birinin blogundan, LinkedIn profilinden veya benzerlerinden kald─▒rabilece─či basit bir trivia par├žas─▒

  • Cevap vermesi daha kolay olan herhangi bir soru ┼čifrelerini tahmin etmekten daha kolayd─▒r. Hangi, iyi bir ┼čifre i├žin, hayal edebilece─činiz her soru

Sonu├ž olarak, g├╝venlik sorular─▒ do─čal olarak t├╝m form ve varyasyonlar─▒nda do─čal olarak g├╝vensizdir ve herhangi bir nedenle bir do─črulama plan─▒nda kullan─▒lmamal─▒d─▒r.

G├╝venlik sorular─▒n─▒n vah┼či do─čada bile var olmas─▒n─▒n as─▒l nedeni, bir yeniden etkinle┼čtirme koduna ula┼čmak i├žin e-postalar─▒na eri┼čemeyen kullan─▒c─▒lardan gelen birka├ž destek ├ža─čr─▒s─▒n─▒n maliyetini uygun ┼čekilde kurtarmalar─▒d─▒r. Bu g├╝venlik pahas─▒na ve Sarah Palin ├╝n├╝. Buna de─čer? Muhtemelen de─čil.

B├ľL├ťM IV: Unutulan Parola ─░┼člevselli─či

Unutulmu┼č / kay─▒p kullan─▒c─▒ ┼čifrelerini ele almak i├žin neden hi├žbir zaman g├╝venlik sorular─▒n─▒ kullanmaman─▒z gerekti─činden bahsettim ; ayn─▒ zamanda kullan─▒c─▒lara ger├žek ┼čifrelerini asla e-postayla g├Ândermemelisiniz demeden de ge├žerli. Bu alanda ka├ž─▒n─▒lmas─▒ gereken en az iki tane ├žok yayg─▒n tuzak vard─▒r:

  1. Etmeyin s─▒f─▒rlamak bir autogenerated g├╝├žl├╝ ┼čifre unutulmu┼č bir parola - s├Âz, parlak sar─▒ ├╝zerine Post-It onlar─▒n monit├Âr├╝n kenar─▒nda - B├Âyle ┼čifreleri kullan─▒c─▒ya bunu de─či┼čtirmek veya yere yazmak gerekir anlam─▒na gelir hat─▒rlamak herkesin bildi─či gibi zor. Yeni bir ┼čifre belirlemek yerine, kullan─▒c─▒lar─▒n derhal yenilerini se├žmelerine izin verin - ki bu zaten ne yapmak istediklerini. (Bunun bir istisnas─▒, kullan─▒c─▒lar, normalde yazmadan hat─▒rlamak imkans─▒z olan ┼čifreleri saklamak / y├Ânetmek i├žin evrensel olarak bir ┼čifre y├Âneticisi kullan─▒yorsa olabilir).

  2. Daima veritaban─▒nda kay─▒p ┼čifre kodunu / jetonunu kullan─▒n. TEKRAR , bu kod bir Parola E┼čde─čerinin ba┼čka bir ├Ârne─čidir, bu nedenle bir sald─▒rgan─▒n veritaban─▒n─▒z─▒ ele ge├žirmesi durumunda kar─▒┼čt─▒r─▒lmal─▒d─▒r. Kay─▒p bir ┼čifre kodu istendi─činde, d├╝z metin kodunu kullan─▒c─▒n─▒n e-posta adresine g├Ânderin, ard─▒ndan karma yap─▒n, karma veri taban─▒na kaydedin - ve orijinali at─▒n . T─▒pk─▒ bir ┼čifre veya kal─▒c─▒ bir giri┼č belirteci gibi.

Son bir not: 'Kay─▒p parola kodunu' girmek i├žin aray├╝z├╝n├╝z├╝n en az─▒ndan giri┼č formunuzun kendisi kadar g├╝venli oldu─čundan emin olun, aksi halde sald─▒rgan eri┼čim sa─člamak i├žin bunu kullan─▒r. ├çok uzun 'kay─▒p ┼čifre kodlar─▒' (├Ârne─čin, b├╝y├╝k / k├╝├ž├╝k harf duyarl─▒ 16 alfasay─▒sal karakter) olu┼čturdu─čunuzdan emin olmak iyi bir ba┼člang─▒├žt─▒r, ancak giri┼č formunun kendisi i├žin yapt─▒─č─▒n─▒z ayn─▒ k─▒s─▒tlama ┼čemas─▒n─▒ eklemeyi d├╝┼č├╝n├╝n.

B├ľL├ťM V: Parola G├╝c├╝n├╝n Kontrol├╝

─░lk ├Ânce, bir ger├žeklik kontrol├╝ i├žin bu k├╝├ž├╝k makaleyi okumak isteyeceksiniz: En yayg─▒n 500 ┼čifre

Tamam, belki de liste herhangi bir yerde herhangi bir sistemdeki en yayg─▒n ┼čifrelerden olu┼čan kanonik bir liste de─čildir , ancak zorla uygulanan bir politika olmad─▒─č─▒nda, insanlar─▒n ne kadar zay─▒f bir ┼čekilde ┼čifrelerini se├žeceklerinin iyi bir g├Âstergesidir. Ayr─▒ca, liste, yeni ├žal─▒nan ┼čifrelerle ilgili kamuya a├ž─▒k analizlerle kar┼č─▒la┼čt─▒rd─▒─č─▒n─▒zda, eve korkun├ž bir ┼čekilde yakla┼č─▒yor.

Yani: Minimum ┼čifre g├╝c├╝ gereksinimi olmadan, kullan─▒c─▒lar─▒n% 2'si en yayg─▒n 20 ┼čifreden birini kullan─▒r. Anlam─▒: Bir sald─▒rgan sadece 20 giri┼čimde bulunursa, web sitenizdeki 50 hesaptan 1'i k─▒r─▒labilir.

Bunu engellemek, bir parolan─▒n entropisinin hesaplanmas─▒n─▒ ve ard─▒ndan bir e┼čik uygulanmas─▒n─▒ gerektirir. Ulusal Standartlar ve Teknoloji Enstit├╝s├╝ (NIST) ├ľzel Yay─▒n 800-63 bir dizi ├žok iyi ├Âneriye sahiptir. Bu, bir s├Âzl├╝k ve klavye d├╝zeni analizi (├Ârne─čin, 'qwertyuiop' k├Ât├╝ bir ┼čifredir) ile birle┼čtirildi─činde, k├Ât├╝ se├žilmi┼č t├╝m ┼čifrelerin% 99'unu 18 bit entropi d├╝zeyinde reddedebilir . Sadece ┼čifre g├╝c├╝n├╝ hesaplamak ve bir kullan─▒c─▒ya g├Ârsel g├╝├ž ├Âl├žer kullanmak, iyi fakat yetersizdir. Zorunlu olmad─▒k├ža, bir├žok kullan─▒c─▒ bunu g├Ârmezden gelecektir.

Entropi ┼čifrelerinin kullan─▒m kolayl─▒─č─▒ konusunda canland─▒r─▒c─▒ bir g├Âr├╝n├╝m i├žin , Randall Munroe'nin Password Strength xkcd'i ┼čiddetle tavsiye ediyoruz.

Kullan─▒c─▒lar─▒n ┼čifrelerini, genel veri ihlallerinde tehlikeye giren ┼čifrelere kar┼č─▒ kontrol etmek i├žin Troy Hunt'in Pwned API'sini kullan─▒n.

B├ľL├ťM VI: ├çok Daha Fazlas─▒ - Veya: H─▒zl─▒ Ate┼člemeli Giri┼čim Giri┼čimlerini ├ľnleme

─░lk olarak, say─▒lara bir g├Âz at─▒n: ┼×ifre Kurtarma H─▒zlar─▒ - ┼×ifreniz ne kadar s├╝re dayan─▒r?

Bu ba─člant─▒daki tablolara bakmak i├žin zaman─▒n─▒z yoksa, i┼čte bunlar─▒n listesi:

  1. Bu s├╝rer neredeyse hi├žbir zaman bir abak├╝s ile ├žatlama olsan─▒z bile, zay─▒f bir parolay─▒ ├ž├Âzmek

  2. B├╝y├╝k - k├╝├ž├╝k harf duyarl─▒ de─čilse, alfan├╝merik 9 karakterli bir ┼čifreyi k─▒rmak neredeyse zaman almaz

  3. Bu s├╝rer neredeyse hi├žbir zaman ├ç├╝nk├╝ e─čer karma┼č─▒k, semboller-ve-harfler-ve-say─▒, b├╝y├╝k ve k├╝├ž├╝k harf-┼čifresini k─▒rmak i├žin daha az 8 karakter uzunlu─čunda (bir masa├╝st├╝ bilgisayar bir konuda 7 karakterden t├╝m KEYSPACE kadar arama yapabilirsiniz g├╝nlerce hatta saatlerce)

  4. Ancak, saniyede bir kez denemeyle s─▒n─▒rl─▒ olsayd─▒n─▒z , 6 karakterlik bir ┼čifreyi bile k─▒rmak i├žin zaman harcayamazd─▒ !

Peki bu rakamlardan ne ├Â─črenebiliriz? Pekala, ├žok, ama en ├Ânemli k─▒sma odaklanabiliriz: ├çok say─▒da h─▒zl─▒ ate┼č pe┼č pe┼če oturum a├žma giri┼čiminin (yani kaba kuvvet sald─▒r─▒s─▒) engellenmesi ger├žekten zor de─čil. Fakat do─čru olan─▒ engellemek g├Âr├╝nd├╝─č├╝ kadar kolay de─čildir.

Genel olarak konu┼čursak, kaba kuvvet sald─▒r─▒lar─▒na (ve s├Âzl├╝k sald─▒r─▒lar─▒na) kar┼č─▒ etkili olan ├╝├ž se├žene─činiz vard─▒r , ancak zaten g├╝├žl├╝ parolalar politikas─▒ uygulad─▒─č─▒n─▒z i├žin , bunlar─▒n bir sorun olmamas─▒ gerekir :

  • N ba┼čar─▒s─▒z denemeden sonra bir CAPTCHA sunun (cehennem kadar can s─▒k─▒c─▒ ve genellikle etkisiz - ama burada kendimi tekrar ediyorum)

  • Hesaplar─▒n kilitlenmesi ve N ba┼čar─▒s─▒z denemeden sonra e-posta do─črulamas─▒ gerektiren (bu, ger├žekle┼čmeyi bekleyen bir DoS sald─▒r─▒s─▒d─▒r)

  • Ve son olarak, oturum a├žmay─▒ azaltma : yani, N ba┼čar─▒s─▒z denemelerinden sonra yap─▒lan giri┼čimler aras─▒nda bir zaman gecikmesi ayarlamak (evet, DoS sald─▒r─▒lar─▒ hala m├╝mk├╝n, ama en az─▒ndan onlar ├žok daha az muhtemel ve ├žekilmeleri ├žok daha karma┼č─▒k).

En iyi uygulama # 1: Ba┼čar─▒s─▒z deneme say─▒s─▒ ile birlikte artan k─▒sa bir gecikme, ├Ârne─čin:

  • 1 ba┼čar─▒s─▒z deneme = gecikme yok
  • 2 ba┼čar─▒s─▒z deneme = 2 saniye gecikme
  • 3 ba┼čar─▒s─▒z deneme = 4 sn gecikme
  • 4 ba┼čar─▒s─▒z deneme = 8 sn gecikme
  • 5 ba┼čar─▒s─▒z deneme = 16 saniye gecikme
  • vb.

Bu ┼čemaya sald─▒ran DoS ├žok pratik olmaz ├ž├╝nk├╝ sonu├žta kilitlenme s├╝resi ├Ânceki kilitlenme s├╝relerinin toplam─▒ndan biraz daha b├╝y├╝kt├╝r.

A├ž─▒kl─▒─ča kavu┼čturmak i├žin: Gecikme, yan─▒t─▒ taray─▒c─▒ya d├Ând├╝rmeden ├Ânce bir gecikme de─čildir . Belirli bir hesaba giri┼č veya belirli bir IP adresinden giri┼č yapma giri┼čimlerinin hi├ž bir zaman kabul edilmeyece─či veya de─čerlendirilmedi─či zaman a┼č─▒m─▒ veya refrakter s├╝resi gibi. Yani, do─čru kimlik bilgileri ba┼čar─▒l─▒ bir oturum a├žma i┼čleminde geri d├Ânmeyecek ve hatal─▒ kimlik bilgileri gecikme art─▒┼č─▒n─▒ tetiklemeyecektir.

En iyi uygulama # 2: N ba┼čar─▒s─▒z denemeden sonra ge├žerli olan orta uzunluktaki bir gecikme s├╝resi:

  • 1-4 ba┼čar─▒s─▒z deneme = gecikme yok
  • 5 ba┼čar─▒s─▒z deneme = 15-30 dk gecikme

Bu ┼čemaya sald─▒ran DoS olduk├ža pratik olurdu, ancak kesinlikle yap─▒labilir. Ayr─▒ca, bu kadar uzun bir gecikmenin me┼čru bir kullan─▒c─▒ i├žin ├žok can s─▒k─▒c─▒ olabilece─čini unutmamak gerekebilir. Unutkan kullan─▒c─▒lar senden ho┼članmayacaklar.

En iyi uygulama # 3: ─░ki yakla┼č─▒m─▒n birle┼čtirilmesi - N ba┼čar─▒s─▒z denemeden sonra ge├žerli olan sabit, k─▒sa bir zaman gecikmesi.

  • 1-4 ba┼čar─▒s─▒z deneme = gecikme yok
  • 5+ ba┼čar─▒s─▒z deneme = 20 sn gecikme

Veya, sabit bir ├╝st s─▒n─▒r ile artan bir gecikme, ├Ârne─čin:

  • 1 ba┼čar─▒s─▒z deneme = 5 sn gecikme
  • 2 ba┼čar─▒s─▒z deneme = 15 sn gecikme
  • 3+ ba┼čar─▒s─▒z deneme = 45 sn gecikme

Bu son ┼čema, OWASP en iyi uygulamalar ├Ânerilerinden (MUST-READ listesinden 1. link) al─▒nm─▒┼čt─▒r ve ku┼čkusuz k─▒s─▒tlay─▒c─▒ tarafta olsa bile en iyi uygulama olarak d├╝┼č├╝n├╝lmelidir.

Ancak, bir kural olarak, ┼čunu s├Âyleyebilirim ki: ┼čifre politikan─▒z ne kadar g├╝├žl├╝yse, kullan─▒c─▒lar─▒ gecikmelerle o kadar az zorlars─▒n─▒z. G├╝├žl├╝ (b├╝y├╝k / k├╝├ž├╝k harf duyarl─▒ alfan├╝merikler + gerekli say─▒lar ve semboller) 9+ karakterli ┼čifreler gerektiriyorsa, kullan─▒c─▒lara azaltmay─▒ etkinle┼čtirmeden ├Ânce 2-4 gecikmeli olmayan ┼čifre giri┼čimi verebilirsiniz.

Bu son oturum a├žma azaltma d├╝zenine sald─▒ran DoS ├žok pratik olmazd─▒ . Ve son bir dokunu┼č olarak, her zaman kal─▒c─▒ (├žerez) giri┼člerin (ve / veya CAPTCHA onayl─▒ bir giri┼č formu) ge├žmesine izin verin, b├Âylece me┼čru kullan─▒c─▒lar sald─▒r─▒ devam ederken ertelenmez . Bu ┼čekilde, pratik olmayan DoS sald─▒r─▒s─▒ son derece pratik olmayan bir sald─▒r─▒ haline gelir .

Ek olarak, en cazip giri┼č noktalar─▒ olan y├Ânetici hesaplar─▒na daha agresif bir ┼čekilde k─▒sma yapmak mant─▒kl─▒ geliyor.

B├ľL├ťM VII: Da─č─▒t─▒lm─▒┼č Brute Force Sald─▒r─▒lar─▒

T─▒pk─▒ bir yana, daha geli┼čmi┼č sald─▒rganlar 'faaliyetlerini yayarak' giri┼čleri engellemeye ├žal─▒┼čacaklar:

  • IP adresinin i┼čaretlenmesini ├Ânlemek i├žin giri┼čimlerin botnet ├╝zerine da─č─▒t─▒lmas─▒

  • Bir kullan─▒c─▒ se├žmek ve 50.000 en yayg─▒n ┼čifreyi denemek yerine (kullanamayaca─č─▒m─▒z, kullanamad─▒klar─▒), en yayg─▒n ┼čifreyi se├žecek ve 50.000 kullan─▒c─▒ya kar┼č─▒ deneyeceklerdir. Bu ┼čekilde, yaln─▒zca CAPTCHA'lar ve oturum a├žma azaltma gibi maksimum denemeler yapmakla kalmazlar, ba┼čar─▒ ┼čanslar─▒ da artar, ├ž├╝nk├╝ en yayg─▒n 1 numaral─▒ ┼čifre 49,995'ten ├žok daha fazlad─▒r

  • Her kullan─▒c─▒ hesab─▒ i├žin oturum a├žma isteklerini, ├Ârne─čin, 30 saniye arayla, radar─▒n alt─▒ndan gizlice girmek

Burada, en iyi uygulama , ba┼čar─▒s─▒z oturum a├žma say─▒s─▒n─▒ sistem genelinde g├╝nl├╝─če kaydetmek ve sitenizin hatal─▒ oturum a├žma s─▒kl─▒─č─▒n─▒n ortalama ├žal─▒┼čmas─▒n─▒ kullanarak t├╝m kullan─▒c─▒lara uygulayaca─č─▒n─▒z ├╝st s─▒n─▒r─▒n temelini olu┼čturmakt─▒r.

Çok soyut? Tekrar ifade etmeme izin ver:

Sitenizin son 3 ay i├žinde g├╝nde ortalama 120 k├Ât├╝ giri┼č yapt─▒─č─▒n─▒ varsayal─▒m. Bunu kullanarak (ortalama ├žal─▒┼čan), sisteminiz genel limiti 3 kat─▒na ayarlayabilir - yani. 360 saatlik 24 saatlik bir denemede ba┼čar─▒s─▒z oldu. Ard─▒ndan, t├╝m hesaplardaki toplam ba┼čar─▒s─▒z deneme say─▒s─▒ bir g├╝n i├žinde bu say─▒y─▒ a┼čarsa (veya daha da iyisi, h─▒zlanma oran─▒n─▒ izleyin ve hesaplanan bir e┼čikte tetikleyin), sistem genelinde oturum a├žma k─▒s─▒tlamas─▒n─▒ etkinle┼čtirir - T├ťM kullan─▒c─▒lar i├žin k─▒sa gecikmeler anlam─▒na gelir (Yine de, ├žerez giri┼čleri ve / veya yedek CAPTCHA giri┼čleri hari├ž).

Ayr─▒ca daha ayr─▒nt─▒l─▒ bilgi i├žeren bir soru ve da─č─▒t─▒lm─▒┼č kaba kuvvet sald─▒r─▒lar─▒n─▒ engellemede zorlu tuzaklardan nas─▒l uzak durulaca─č─▒na dair ger├žekten iyi bir tart─▒┼čma yay─▒nlad─▒m .

B├ľL├ťM VIII: ─░ki Fakt├Ârl├╝ Kimlik Do─črulama ve Kimlik Do─črulama Sa─člay─▒c─▒lar─▒

K├Ât├╝ye kullanma, yaz─▒lan ve kaybedilen ┼čifreler, anahtarlar─▒n ├žal─▒nd─▒─č─▒ diz├╝st├╝ bilgisayarlar veya oturum a├žma yapan ki┼čilere kimlik av─▒ sitelerine girip girmeme konusunda kimlik bilgilerinden ├Âd├╝n verilebilir. Oturum a├žma, bir telefon g├Âr├╝┼čmesinden al─▒nan tek kullan─▒ml─▒k kodlar, SMS mesaj─▒, uygulama veya donan─▒m kilidi gibi bant d─▒┼č─▒ fakt├Ârleri kullanan iki fakt├Ârl├╝ kimlik do─črulamas─▒ ile daha da korunabilir. Birka├ž sa─člay─▒c─▒, iki fakt├Ârl├╝ kimlik do─črulama hizmetleri sunar.

Kimlik do─črulama, ba┼čka bir sa─člay─▒c─▒n─▒n kimlik bilgileri toplama i┼člemlerini ger├žekle┼čtirdi─či tek oturum a├žma hizmetine tamamen devredilebilir. Bu, sorunu g├╝venilir bir ├╝├ž├╝nc├╝ tarafa iter. Hem Google hem de Twitter standartlara dayal─▒ SSO hizmetleri sunarken, Facebook da benzer bir ├Âzel ├ž├Âz├╝m sunar.

MUST READ L─░NKLER Web Kimlik Do─črulama Hakk─▒nda

  1. Kimlik do─črulama i├žin OWASP Rehberi / OWASP Kimlik Do─črulama Hile Sayfas─▒
  2. Web'de M├╝┼čteri Kimlik Do─črulaman─▒n Yap─▒lmas─▒ ve Yap─▒lmamas─▒ Gerekenler (├žok okunakl─▒ MIT ara┼čt─▒rma raporu)
  3. Wikipedia: HTTP ├žerezi
  4. Geri d├Ân├╝┼č do─črulama i├žin ki┼čisel bilgi sorular─▒: Facebook d├Âneminde g├╝venlik sorular─▒ (├žok okunabilir Berkeley ara┼čt─▒rma makalesi)

3702







Kesin Makale

Kimlik bilgileri g├Ânderme

Kimlik bilgilerini% 100 g├╝venli bir ┼čekilde g├Ândermenin tek pratik yolu SSL kullanmakt─▒r . JavaScript'i karma olarak kullanmak parola g├╝venli de─čildir. ─░stemci taraf─▒ ┼čifre hash i├žin ortak tuzaklar:

  • ─░stemci ile sunucu aras─▒ndaki ba─člant─▒ ┼čifrelenmemi┼čse, yapt─▒─č─▒n─▒z her ┼čey ortadaki adam sald─▒r─▒lar─▒na kar┼č─▒ savunmas─▒zd─▒r . Sald─▒rgan, karma┼čay─▒ k─▒rmak veya t├╝m kimlik bilgilerini sunucular─▒na g├Ândermek i├žin gelen javascript'i de─či┼čtirebilir, m├╝┼čteri yan─▒tlar─▒n─▒ dinleyebilir ve kullan─▒c─▒lar─▒ m├╝kemmel ┼čekilde taklit edebilir vb. Vb. G├╝venilir Sertifika Yetkilileri ile SSL, MitM sald─▒r─▒lar─▒n─▒ ├Ânlemek i├žin tasarlanm─▒┼čt─▒r.
  • Sunucuda ek, fazladan ├žal─▒┼čma yapmazsan─▒z , sunucu taraf─▒ndan al─▒nan karma ┼čifre daha az g├╝venlidir .

SRP ad─▒nda ba┼čka bir g├╝venli y├Ântem var , ancak patentli ( serbest├že lisansl─▒ olmas─▒na ra─čmen ) ve mevcut birka├ž iyi uygulama var.

┼×ifreleri kaydetme

┼×ifreleri hi├žbir zaman veritaban─▒nda d├╝z metin olarak saklamay─▒n. Kendi sitenizin g├╝venli─čini ├Ânemsemiyor olsan─▒z bile. Baz─▒ kullan─▒c─▒lar─▒n─▒z─▒n ├ževrimi├ži banka hesaplar─▒n─▒n parolas─▒n─▒ tekrar kullanaca─č─▒n─▒ varsayal─▒m. ├ľyleyse, karma ┼čifreyi sakla ve orijinali at. Parolan─▒n eri┼čim g├╝nl├╝klerinde veya uygulama g├╝nl├╝klerinde g├Âr├╝nmedi─činden emin olun. OWASP , yeni uygulamalar i├žin ilk tercihiniz olarak Argon2 kullanman─▒z─▒ ├Ânerir . Bu mevcut de─čilse, bunun yerine PBKDF2 veya komut dosyas─▒ kullan─▒lmal─▒d─▒r. Ve son olarak, yukar─▒dakilerden hi├žbiri uygun de─čilse, bcrypt kullan─▒n.

Hash'ler kendi ba┼člar─▒na da g├╝vensizdir. ├ľrne─čin, ayn─▒ ┼čifreler ayn─▒ hassalar anlam─▒na gelir - bu hash arama tablolar─▒n─▒ ayn─▒ anda bir├žok ┼čifreyi k─▒rman─▒n etkili bir yolu yapar. Bunun yerine, tuzlu kar─▒┼č─▒ma saklay─▒n . Tuz, karma i┼čleminden ├Ânce parolaya eklenen bir dizedir - kullan─▒c─▒ ba┼č─▒na farkl─▒ (rastgele) bir tuz kullan─▒n. Tuz, halka a├ž─▒k bir de─čerdir, bu nedenle veritaban─▒ndaki karma ile saklayabilirsiniz. Bu konuda daha fazla bilgi i├žin buraya bak─▒n─▒z .

Bu, kullan─▒c─▒ya unutulan ┼čifrelerini g├Ânderemeyece─činiz anlam─▒na gelir (├ž├╝nk├╝ yaln─▒zca karma de─čeriniz vard─▒r). Kullan─▒c─▒n─▒n kimli─čini do─črulamad─▒ysan─▒z, kullan─▒c─▒n─▒n ┼čifresini s─▒f─▒rlamay─▒n (kullan─▒c─▒lar, kay─▒tl─▒ (ve do─črulanm─▒┼č) e-posta adresine g├Ânderilen e-postalar─▒ okuyabildiklerini kan─▒tlamal─▒d─▒r.)

G├╝venlik SORULARI

G├╝venlik sorular─▒ g├╝vensiz - kullanmaktan ka├ž─▒n─▒n. Niye ya? Herhangi bir g├╝venlik sorusu olursa, bir ┼čifre daha iyidir. Okuma B├ľL├ťM III: Gizli Sorular kullanma i├žinde @Jens Roland cevap burada bu wiki.

Oturum ├žerezleri

Kullan─▒c─▒ oturum a├žt─▒ktan sonra, sunucu kullan─▒c─▒ya bir oturum ├žerezi g├Ânderir. Sunucu, kullan─▒c─▒ ad─▒n─▒ veya kimli─či ├žerezden alabilir, ancak ba┼čka hi├ž kimse b├Âyle bir ├žerez ├╝retemez (TODO a├ž─▒klama mekanizmalar─▒).

├çerezler ka├ž─▒r─▒labilir : bunlar yaln─▒zca m├╝┼čterinin makinesinin geri kalan k─▒sm─▒ ve di─čer ileti┼čimler kadar g├╝venlidir. A─č trafi─čine bo─čulmu┼č, siteler aras─▒ komut dosyas─▒ ├žal─▒┼čt─▒rma sald─▒r─▒s─▒ ile kald─▒r─▒lm─▒┼č, zehirli bir DNS'den kimlik av─▒ yap─▒lan diskten okunabilir, b├Âylece istemci ├žerezlerini yanl─▒┼č sunuculara g├Ânderir. Kal─▒c─▒ ├žerezler g├Ândermeyin. ├çerezler, m├╝┼čteri oturumunun sonunda sona ermelidir (taray─▒c─▒ kapan─▒r veya etki alan─▒n─▒z─▒ terk eder).

Kullan─▒c─▒lar─▒n─▒z─▒ otomatik olarak girmek istiyorsan─▒z, kal─▒c─▒ bir ├žerez ayarlayabilirsiniz, ancak bu, tam oturumlu bir ├žerezden farkl─▒ olmal─▒d─▒r. Kullan─▒c─▒n─▒n otomatik olarak giri┼č yapt─▒─č─▒ ve hassas i┼člemler i├žin ger├žek giri┼č yapmas─▒ gereken ek bir bayrak belirleyebilirsiniz. Size kesintisiz ve ki┼čiselle┼čtirilmi┼č bir al─▒┼čveri┼č deneyimi sunmak isteyen ancak yine de finansal bilgilerinizi koruyan al─▒┼čveri┼č siteleri aras─▒nda pop├╝lerdir. ├ľrne─čin, AmazonÔÇÖu ziyarete d├Ând├╝─č├╝n├╝zde, giri┼č yapm─▒┼č gibi g├Âr├╝nen bir sayfa g├Âsterirler, ancak bir sipari┼č verdi─činizde (veya teslimat adresinizi, kredi kart─▒n─▒z─▒ vb. De─či┼čtirdi─činizde) onaylaman─▒z─▒ isterler. ┼čifreniz.

├ľte yandan, bankalar ve kredi kartlar─▒ gibi finansal web siteleri yaln─▒zca hassas verilere sahiptir ve otomatik oturum a├žma veya d├╝┼č├╝k g├╝venlik moduna izin vermemelidir.

D─▒┼č kaynaklar─▒n listesi


412







─░lk olarak, bu cevab─▒n bu kesin soruya en uygun olmad─▒─č─▒n─▒ g├Âsteren g├╝├žl├╝ bir uyar─▒. Kesinlikle en iyi cevap olmamal─▒!

Gelecekte daha iyi yakla┼č─▒mlar i├žin bir y├╝kseltme yolu bulma ruhunda MozillaÔÇÖn─▒n ├Ânerilen Taray─▒c─▒ Kimli─či (veya belki de daha kesin olarak Do─črulanm─▒┼č E-posta Protokol├╝ ) oldu─čunu belirtece─čim .

Bunu ┼ču ┼čekilde ├Âzetleyece─čim:

  1. Mozilla, bu soruna iyi ├ž├Âz├╝mler bulmakla iyi uyum sa─člayan de─čerlerle kar amac─▒ g├╝tmeyen bir kurumdur .
  2. Bug├╝n ger├žek ┼ču ki, ├žo─ču web sitesi form tabanl─▒ kimlik do─črulamas─▒ kullan─▒yor
  3. Forma dayal─▒ kimlik do─črulaman─▒n b├╝y├╝k bir dezavantaj─▒ vard─▒r; bu, kimlik av─▒ riskinde art─▒┼č riski ta┼č─▒r . Kullan─▒c─▒lardan, Kullan─▒c─▒ Arac─▒s─▒ (taray─▒c─▒) taraf─▒ndan kontrol edilen bir alan yerine, uzak bir varl─▒k taraf─▒ndan kontrol edilen bir alana hassas bilgiler girmeleri istenir.
  4. Taray─▒c─▒lar ├Ârt├╝k olarak g├╝vendiklerinden (bir Kullan─▒c─▒ Arac─▒s─▒n─▒n t├╝m fikri Kullan─▒c─▒ ad─▒na hareket etmektir), bu durumun iyile┼čtirilmesine yard─▒mc─▒ olabilirler.
  5. Buradaki ilerlemeyi engelleyen birincil g├╝├ž, da─č─▒t─▒m kilitlenmesidir . ├ç├Âz├╝mler, kendi ba┼člar─▒na baz─▒ art─▒ml─▒ faydalar sa─člayan ad─▒mlara ayr─▒lmal─▒d─▒r.
  6. ─░nternet altyap─▒s─▒na yerle┼čik bir kimli─či ifade etmenin en basit ademi merkeziyet├ži alan ad─▒d─▒r.
  7. ─░kinci bir ifade kimli─či seviyesi olarak, her alan kendi hesap k├╝mesini y├Ânetir.
  8. ÔÇťHesap @ alan─▒ÔÇŁ formu ├žok ├že┼čitli protokoller ve URI programlar─▒ taraf─▒ndan ├Âzl├╝ ve desteklenir. B├Âyle bir tan─▒mlay─▒c─▒, elbette, evrensel olarak bir e-posta adresi olarak tan─▒nmaktad─▒r.
  9. E-posta sa─člay─▒c─▒lar─▒ zaten ├ževrimi├ži fiilen birincil kimlik sa─člay─▒c─▒lar─▒d─▒r. Ge├žerli parola s─▒f─▒rlama ak─▒┼člar─▒, s├Âz konusu hesab─▒n ili┼čkili e-posta adresini kontrol etti─činizi kan─▒tlayabilirseniz genellikle bir hesab─▒ kontrol etmenizi sa─člar.
  10. Do─črulanm─▒┼č E-posta Protokol├╝, B etki alan─▒ AÔÇÖda bir hesab─▒n─▒z oldu─čunu kan─▒tlama i┼člemini kolayla┼čt─▒rmak i├žin, genel anahtar ┼čifrelemesini temel alan g├╝venli bir y├Ântem sunmak i├žin teklif edildi.
  11. Do─črulanm─▒┼č E-posta Protokol├╝n├╝ desteklemeyen taray─▒c─▒lar i├žin (┼ču anda t├╝m├╝), Mozilla, protokol├╝ istemci taraf─▒ JavaScript kodunda uygulayan bir altl─▒k sa─člar.
  12. Do─črulanm─▒┼č E-posta Protokol├╝n├╝ desteklemeyen e-posta hizmetleri i├žin, protokol ├╝├ž├╝nc├╝ taraflar─▒n, bir kullan─▒c─▒n─▒n bir hesap sahibi oldu─čunu do─črulad─▒klar─▒n─▒ iddia ederek g├╝venilir bir arac─▒ olarak hareket etmelerini sa─člar. ├çok say─▒da ├╝├ž├╝nc├╝ taraf─▒n olmas─▒ arzu edilmez; Bu ├Âzellik yaln─▒zca bir y├╝kseltme yoluna izin vermek i├žin tasarlanm─▒┼čt─▒r ve e-posta hizmetlerinin bu iddialar─▒ kendileri sa─člamas─▒ ├žok tercih edilir.
  13. Mozilla, b├Âyle g├╝venilir bir ├╝├ž├╝nc├╝ taraf gibi davranmak i├žin kendi hizmetlerini sunar. Do─črulanm─▒┼č E-posta Protokol├╝n├╝ uygulayan Servis Sa─člay─▒c─▒lar (yani, Ba─čl─▒ Taraflar) Mozilla'n─▒n iddialar─▒na g├╝venmeyi ya da etmemeyi se├žebilirler. Mozilla'n─▒n servisi, kullan─▒c─▒lar─▒n onayl─▒ bir e-posta g├Ânderme geleneksel yollar─▒n─▒ kullanarak hesap sahipli─čini do─črular.
  14. Servis Sa─člay─▒c─▒lar─▒ elbette bu protokol├╝ ├Ânermek isteyebilecekleri di─čer do─črulama y├Ântemlerine ek olarak bir se├ženek olarak sunabilirler.
  15. Burada aranan b├╝y├╝k bir kullan─▒c─▒ aray├╝z├╝ faydas─▒ ÔÇťkimlik se├žiciÔÇŁ dir. Bir kullan─▒c─▒ bir siteyi ziyaret etti─činde ve kimlik do─črulamas─▒ yapmay─▒ se├žti─činde, taray─▒c─▒ kendilerine siteyi tan─▒tmak i├žin kullanabilecekleri bir dizi e-posta adresi ("ki┼čisel", "i┼č", "politik aktivizm" vb.) G├Âsterir.
  16. Bu ├žaban─▒n bir par├žas─▒ olarak aranan bir di─čer b├╝y├╝k kullan─▒c─▒ aray├╝z├╝ avantaj─▒ , taray─▒c─▒n─▒n kullan─▒c─▒n─▒n oturumu hakk─▒nda daha fazla bilgi sahibi olmas─▒na yard─▒m etmektir - ┼ču anda ilk olarak ┼ču anda oturum a├žm─▒┼člard─▒r - bu y├╝zden taray─▒c─▒ kromunda bunu g├Âsterebilir.
  17. Bu sistemin da─č─▒n─▒k do─čas─▒ nedeniyle, Facebook, Twitter, Google vb. Gibi b├╝y├╝k sitelere kilitlenmekten ka├ž─▒n─▒r. Her birey kendi etki alan─▒na sahip olabilir ve bu nedenle kendi kimlik sa─člay─▒c─▒lar─▒ olarak hareket edebilir.

Bu kesinlikle ÔÇťweb siteleri i├žin form tabanl─▒ kimlik do─črulamaÔÇŁ de─čildir. Ancak, ge├žerli form tabanl─▒ kimlik do─črulama normundan daha g├╝venli bir ┼čeye ge├ži┼č yapmak bir ├žabad─▒r: taray─▒c─▒ destekli kimlik do─črulama.


160







Sadece iyi ├žal─▒┼čt─▒─č─▒n─▒ buldu─čum bu ├ž├Âz├╝m├╝ payla┼čaca─č─▒m─▒ d├╝┼č├╝nd├╝m.

Buna Kukla Tarlas─▒ diyorum (bunu icat etmemi┼č olmama ra─čmen beni kredilendirmeyin).

K─▒sacas─▒: Bunu sadece i├žine eklemeniz <form> ve do─črulama s─▒ras─▒nda bo┼č olup olmad─▒─č─▒n─▒ kontrol etmeniz gerekir:

 <input type="text" name="email" style="display:none" />
 

─░┼čin p├╝f noktas─▒, bir botu gerekli bir alana veri eklemek zorunda oldu─čunu d├╝┼č├╝nerek kand─▒rmak, bu y├╝zden "e-posta" giri┼čini adland─▒rd─▒m. Kulland─▒─č─▒n─▒z e-posta ad─▒nda bir alan─▒n─▒z varsa, kukla alan─▒ "┼čirket", "telefon" veya "e-posta adresi" gibi ba┼čka bir ┼čey olarak adland─▒rmay─▒ denemelisiniz. ─░htiyac─▒n─▒z olmad─▒─č─▒n─▒ bildi─činiz bir ┼čeyi se├žin ve insanlar─▒n normal olarak bir web formunu doldurmak i├žin mant─▒kl─▒ buldu─ču ┼čeylere benzer. ┼×imdi gizlemek input size en uygun ne olursa olsun - - CSS veya JavaScript / jQuery kullanarak alan─▒ sadece yok giri┼čini ayarlamak type i├žin hidden ya da ba┼čka bot bunun i├žin d├╝┼čmez.

Formu do─črularken (m├╝┼čteri veya sunucu taraf─▒), kukla alan─▒n─▒z─▒n bir insan taraf─▒ndan m─▒ yoksa bot taraf─▒ndan m─▒ g├Ânderildi─čini belirlemek i├žin dolduruldu─čunu kontrol edin.

├ľrnek:

Bir insan durumunda: Kullan─▒c─▒ sahte alan─▒ g├Ârmeyecektir (benim durumumda "email" olarak adland─▒r─▒l─▒r) ve doldurmaya ├žal─▒┼čmaz. ├ľyleyse, kukla alan─▒n de─čeri, form g├Ânderildi─činde hala bo┼č olmal─▒d─▒r.

Bir bot durumunda: Bot, tipi text ve ad─▒ olan bir alan g├Ârecektir email (veya ne denirse) ve mant─▒ksal olarak uygun verilerle doldurmaya ├žal─▒┼čacakt─▒r. Giri┼č formunu biraz s├╝sl├╝ CSS ile tasarlaman─▒z ├Ânemli de─čil, web geli┼čtiricileri bunu her zaman yapar. Sahte alandaki de─čer ne olursa olsun, 0 karakterden daha b├╝y├╝k oldu─ču s├╝rece umurumuzda de─čil .

Bu y├Ântemi CAPTCHA ile birlikte bir konuk defterinde kulland─▒m ve o zamandan beri tek bir spam g├Ânderisi g├Ârmedim. Daha ├Ânce yaln─▒zca CAPTCHA ├ž├Âz├╝m├╝ kullanm─▒┼čt─▒m, ama sonu├žta her saat ba┼č─▒ yakla┼č─▒k be┼č spam g├Ânderisiyle sonu├žland─▒. Sahte alan─▒n forma eklenmesi (en az─▒ndan ┼ču ana kadar) t├╝m spam'lerin g├Âr├╝nmesini durdurdu.

Bunun bir giri┼č / do─črulama formu ile de iyi kullan─▒labilece─čine inan─▒yorum.

Uyar─▒ : Bu y├Ântem elbette% 100 kusursuz de─čildir. Botlar, giri┼č alanlar─▒n─▒ g├Ârmezden gelinecek ┼čekilde uygulanm─▒┼č olarak programlanabilir display:none . Ayr─▒ca, onlar i├žin t├╝m form alanlar─▒n─▒ otomatik doldurmak i├žin baz─▒ otomatik tamamlama formlar─▒n─▒ kullanan ki┼čilerin (├žo─ču taray─▒c─▒da oldu─ču gibi!) D├╝┼č├╝nmeniz gerekir. Bir kukla alan da alabilirler.

Bunu kukla alan─▒ g├Âr├╝n├╝r halde b─▒rakarak ancak ekran─▒n s─▒n─▒rlar─▒ d─▒┼č─▒nda b─▒rakarak da biraz de─či┼čtirebilirsiniz, ancak bu tamamen size ba─čl─▒d─▒r.

Yarat─▒c─▒ ol!


136







Yukar─▒daki cevab─▒n "yanl─▒┼č" oldu─čunu d├╝┼č├╝nm├╝yorum, ancak hangi se├ženeklerin mevcut oldu─ču ve ticaretin ne oldu─ču ├╝zerinde de─čil, "vurgunun" ├žerez oturumlar─▒n─▒n nas─▒l uygulanaca─č─▒ "├╝zerinde durulmas─▒ gereken ├Ânemli bir kimlik do─črulama alan─▒ var. -offs".

├ľnerilen d├╝zenlemelerim / cevaplar─▒m

  • Sorun hesap kurulumunda parola kontrol├╝nden daha fazla yat─▒yor.
  • ─░ki fakt├Ârl├╝ kimlik do─črulaman─▒n kullan─▒m─▒, daha ak─▒ll─▒ bir ┼čifre ┼čifreleme y├Ânteminden ├žok daha g├╝venlidir
  • Depolanan veriler hesap olu┼čturma ve kendi olu┼čturdu─čunuz de─čerlere sahip olmad─▒k├ža (yani Facebook, Flickr , vb. Web 2.0 tarz─▒) olmad─▒k├ža, kendi giri┼č formunuzu veya ┼čifrelerinizin veritaban─▒ depolamas─▒n─▒ KULLANMAYIN .

    1. ├ľzet Kimlik Do─črulama, t├╝m b├╝y├╝k taray─▒c─▒larda ve sunucularda desteklenen, g├╝venli bir kanal ├╝zerinden bile parola g├Ândermeyecek standartlara dayal─▒ bir yakla┼č─▒md─▒r.

Bu, taray─▒c─▒n─▒n her zaman ileti┼čimi yeniden ┼čifrelemesi nedeniyle "oturumlara" veya ├žerezlere ihtiya├ž duyulmas─▒n─▒ ├Ânler. Bu en "hafif" geli┼čtirme yakla┼č─▒m─▒d─▒r.

Ancak, halka a├ž─▒k, d├╝┼č├╝k de─čerli hizmetler d─▒┼č─▒nda bunu ├Ânermiyorum. Bu, yukar─▒daki di─čer cevaplar─▒n baz─▒lar─▒yla ilgili bir sorundur - sunucu taraf─▒ kimlik do─črulama mekanizmalar─▒n─▒ yeniden uygulamaya ├žal─▒┼čmay─▒n - bu sorun ├ž├Âz├╝ld├╝ ve ├žo─ču b├╝y├╝k taray─▒c─▒ taraf─▒ndan destekleniyor. ├çerezleri kullanmay─▒n. El ile haddelenmi┼č veritaban─▒n─▒zda hi├žbir ┼čey saklamay─▒n. ─░ste─čin do─črulan─▒p onaylanmad─▒─č─▒n─▒ yaln─▒zca istek ba┼č─▒na sorun. Di─čer her ┼čey konfig├╝rasyon ve ├╝├ž├╝nc├╝ taraf g├╝venilir yaz─▒l─▒m ile desteklenmelidir.

Yani ...

├ľncelikle, daha sonra ┼čifrenin tekrar kontrol edilmesiyle bir hesap olu┼čturman─▒n (bir ┼čifre ile) kafas─▒n─▒ kar─▒┼čt─▒r─▒yoruz. E─čer Flickr'─▒m ve sitenizi ilk defa yarat─▒yorsan─▒z, yeni kullan─▒c─▒n─▒n s─▒f─▒r de─čerine eri┼čimi (bo┼č web alan─▒). Hesab─▒ olu┼čturan ki┼činin adlar─▒ hakk─▒nda yalan s├Âylemesine ger├žekten ├Ânem vermem. Hastaneye intranet / extranet bir hesap olu┼čturma, t├╝m t─▒bbi kay─▒tlarda de─čer yat─▒yor ve bunu yapmak hesap yarat─▒c─▒s─▒n─▒n kimli─či (*) umurumda.

Bu ├žok ├žok zor bir k─▒s─▒m. Sadece iyi ├ž├Âz├╝m g├╝ven a─č─▒d─▒r. ├ľrne─čin, hastaneye doktor olarak kat─▒l─▒yorsunuz. Foto─čraf─▒n─▒zla, pasaport numaran─▒zla ve genel anahtar─▒n─▒zla bir yerde bar─▒nd─▒r─▒lan bir web sayfas─▒ olu┼čturup, hepsine ├Âzel anahtarla karma┼ča haz─▒rlars─▒n─▒z. Daha sonra hastaneyi ziyaret edersiniz ve sistem y├Âneticisi pasaportunuza bakar, foto─čraf─▒n sizinle uyu┼čup uyu┼čmad─▒─č─▒n─▒ g├Âr├╝r ve web sayfas─▒n─▒ / foto─čraf karmas─▒n─▒ hastane ├Âzel anahtar─▒na g├Âre tutar. Art─▒k g├╝venli bir ┼čekilde anahtar ve jeton al─▒┼čveri┼či yapabiliriz. Hastaneye g├╝venebilecek herkes gibi (BTW'nin gizli sosu var). Sistem y├Âneticisi ayr─▒ca size bir RSA dongle'─▒ veya di─čer iki fakt├Ârl├╝ kimlik do─črulama bilgilerini verebilir .

Ancak bu, ├žok b├╝y├╝k bir zorluktur ve ├žok fazla web 2.0 de─čil. Ancak, kendi kendine yarat─▒lmayan de─čerli bilgilere eri┼čimi olan yeni hesaplar olu┼čturman─▒n tek g├╝venli yoludur.

  1. Kerberos ve SPNEGO - g├╝venilir bir ├╝├ž├╝nc├╝ tarafla tek oturum a├žma mekanizmalar─▒ - temel olarak kullan─▒c─▒ g├╝venilir bir ├╝├ž├╝nc├╝ tarafa kar┼č─▒ do─črulama yapar. (Not: Bu hi├žbir ┼čekilde g├╝venilir olmamak OAuth de─čildir )

  2. SRP - g├╝venilir bir ├╝├ž├╝nc├╝ taraf olmadan ak─▒ll─▒ bir ┼čifre kimlik do─črulamas─▒. Ancak burada, ÔÇťdaha ÔÇőÔÇőpahal─▒ olsa bile iki fakt├Ârl├╝ kimlik do─črulamas─▒n─▒n kullan─▒lmas─▒ daha g├╝venliÔÇŁ alanlar─▒na giriyoruz.

  3. SSL istemci taraf─▒ - m├╝┼čterilere ortak bir anahtar sertifikas─▒ verin (t├╝m b├╝y├╝k taray─▒c─▒larda destek - ancak istemci makine g├╝venli─či ile ilgili sorular ortaya ├ž─▒kar─▒r).

Sonunda, bu bir tradeoff - g├╝venlik ihlalinin maliyeti nedir, daha g├╝venli yakla┼č─▒mlar uygulama maliyeti. Bir g├╝n, yayg─▒n bir ┼čekilde kabul edilen uygun bir PKI g├Ârebiliyoruz ve bu nedenle art─▒k kendi kimlik do─črulama formlar─▒ ve veritabanlar─▒ yok. Bir g├╝n...


80











Karma i┼člem yaparken, MD5 gibi h─▒zl─▒ karma algoritmalar kullanmay─▒n (bir├žok donan─▒m uygulamas─▒ vard─▒r). SHA-512 gibi bir ┼čey kullan─▒n. Parolalar i├žin yava┼č karmalar daha iyidir.

Ha┼čalar ne kadar h─▒zl─▒ yarat─▒rsa, herhangi bir kaba kuvvet kontrol cihaz─▒ o kadar h─▒zl─▒ ├žal─▒┼čabilir. Yava┼č karmalar bu nedenle kaba zorlanmay─▒ yava┼člat─▒r. Yava┼č bir karma algoritma daha uzun ┼čifreler i├žin kaba zorlama pratik yapamaz (8 basamak +)


53







Kimlik do─črulama sistemlerinde en sevdi─čim kural: ┼čifreleri de─čil ┼čifreleri kullan─▒n. Hat─▒rlamas─▒ kolay, k─▒rmas─▒ zor. Daha fazla bilgi: Korku Kodlama: Parolalar ve Parola ─░fadeleri


51







Savunmay─▒ derinlemesine temel alarak kulland─▒─č─▒m bir ├Âneri eklemek istiyorum. Y├Âneticiler i├žin normal kullan─▒c─▒lar ile ayn─▒ auth & auth sistemine sahip olman─▒z gerekmez. Y├╝ksek ayr─▒cal─▒klar sa─člayacak istekler i├žin ayr─▒ bir kod y├╝r├╝ten ayr─▒ bir url'de ayr─▒ bir oturum a├žma formunuz olabilir. Bu, normal kullan─▒c─▒lar i├žin tam bir ac─▒ olacak se├žimler yapabilir. Kulland─▒─č─▒m biri asl─▒nda y├Ânetici eri┼čimi i├žin giri┼č URL'sini kar─▒┼čt─▒rmak ve y├Âneticiye yeni URL'yi e-posta ile g├Ândermektir. Yeni URL'niz keyfi olarak zor olabilece─činden (├žok uzun rastgele dize) herhangi bir kaba kuvvet sald─▒r─▒s─▒n─▒ hemen durdurur, ancak y├Âneticinizin tek sak─▒ncas─▒ e-postalar─▒ndaki bir ba─člant─▒y─▒ izlemektir. Sald─▒rgan art─▒k POST'un nereye gidece─čini bile bilmiyor.


23







Bunu bir cevap olarak m─▒ yoksa yorum olarak m─▒ cevaplaman─▒n en iyisi oldu─čunu bilmiyorum. ─░lk se├žene─či se├žtim.

Poing IV. B├Âl├╝m: Unutulan Parola ─░┼člevselli─či ─░lk cevapta Zamanlama Sald─▒r─▒lar─▒ hakk─▒nda bir noktaya de─činece─čim .

In hat─▒rla ┼čifre formlar─▒, bir sald─▒rgan─▒n potansiyel e-postalar─▒n tam listesini kontrol edin ve sisteme kay─▒tl─▒ olduklar─▒ tespit olabilir (a┼ča─č─▒daki ba─člant─▒ya bak─▒n─▒z).

Unutulan Parola Formuyla ilgili olarak, baz─▒ gecikme i┼čleviyle ba┼čar─▒l─▒ ve ba┼čar─▒s─▒z sorular aras─▒nda e┼čit s├╝renin iyi bir fikir oldu─čunu ekleyece─čim.

https://crypto.stanford.edu/~dabo/papers/webtiming.pdf


15







├çok ├Ânemli bir yorum eklemek isterim: -

  • "Bir de kurumsal, i├ži net bir ortamda," hepsi yukar─▒dakilerin e─čer en ge├žerli olmayabilir!

Bir├žok ┼čirket, URL'ler arac─▒l─▒─č─▒yla uygulanan "┼čirket i├ži uygulamalar─▒" olan etkili bir ┼čekilde "kurumsal uygulamalar" olan web sitelerini kullan─▒r. Bu URL'ler (s├Âzde ...) yaln─▒zca "┼čirketin i├ž a─č─▒" i├žinde ├ž├Âz├╝lebilir. (Hangi a─č sihirli bir ┼čekilde VPN ba─člant─▒l─▒ 'yol sava┼č├ž─▒lar─▒n─▒' i├žerir.)

Bir kullan─▒c─▒ yukar─▒da bahsedilen a─ča d├╝r├╝st bir ┼čekilde ba─čland─▒─č─▒nda, kimlikleri ("kimlik do─črulama") [zaten ...] "kesin olarak bilinir", yani baz─▒ ┼čeyleri yapma izni ("yetkilendirme") . .. "bu web sitesine eri┼čmek i├žin."

Bu "kimlik do─črulama + yetkilendirme" hizmeti, LDAP (Microsoft OpenDirectory) veya Kerberos gibi birka├ž farkl─▒ teknolojiyle sa─članabilir .

Bak─▒┼č a├ž─▒n─▒za g├Âre, bunu basit├že biliyorsunuz: web sitenize yasal olarak susturan herkese [sihirli bir ┼čekilde ... i├žeren bir ├ževre de─či┼čkeni ...] bir ÔÇťtokenÔÇŁ e┼člik etmelidir . ( ├Ârne─čin , b├Âyle bir jetonun yoklu─ču, bunun i├žin derhal gerek├želi olmal─▒d─▒r 404 Not Found ).

Simgenin de─čeri sizin i├žin bir anlam ifade etmiyor, ancak ihtiya├ž duyuldu─čunda, web sitenizin "yetkili bir ┼čekilde" (LDAP ... vb.) "Hakk─▒nda her ┼čeyi (!) Bilen birine (!) sahip olabilece─činiz bir soru. Ba┼čka bir deyi┼čle, do not bo┼čuna kendinizi herhangi "yerli ├╝retim mant─▒─č─▒." Bunun yerine, Kurum hakk─▒nda bilgi al─▒rs─▒n─▒z ve dolayl─▒ olarak karar─▒na g├╝venirsiniz.

Uh huh ... "vah┼či ve y├╝nl├╝ Internet" ten olduk├ža zihinsel bir ge├ži┼č.


14







Kullan─▒m OpenID Ba─član ya Kullan─▒c─▒ Taraf─▒ndan Y├Ânetilen Eri┼čim .

├ç├╝nk├╝ hi├žbir ┼čey yapmamaktan daha verimli de─čildir.


7



─░lgili yay─▒nlar


Bir web sitesi i├žin ÔÇťbeni hat─▒rlaÔÇŁ uygulaman─▒n en iyi yolu nedir? [kapal─▒]

Java'da sabitleri uygulaman─▒n en iyi yolu nedir? [kapal─▒]

─░├žinde Android uygulamalar─▒ geli┼čtirmek i├žin en iyi IDE nedir? [kapal─▒]

Bir y─▒─č─▒n ta┼čmas─▒na neden olan en k─▒sa kod hangisidir? [kapal─▒]

Porno g├Âr├╝nt├╝lerini programl─▒ olarak tespit etmenin en iyi yolu nedir? [kapal─▒]

Hangi g├Ânder d├╝─čmesine t─▒kland─▒─č─▒n─▒ temel alan ana formu nas─▒l se├žerim?

Html'yi C# ile ayr─▒┼čt─▒rman─▒n en iyi yolu nedir? [kapal─▒]

├ľnerilen komplo hangisidir: matplotlib veya pylab? [kapal─▒]

codeigniter web sitesi ├žoklu dil yapmak i├žin en iyi yol. lang dizilerinden arama yapmak lang seans─▒na ba─čl─▒d─▒r.

WPF'den yazd─▒rma / raporlamaya en iyi yakla┼č─▒m hangisidir? [kapal─▒]

Etiketle ilgili di─čer sorular [security]


Git ┼čubesini yerel olarak ve uzaktan nas─▒l silerim?

Yerel dosyalar─▒n ├╝zerine ÔÇťgit pullÔÇŁ u nas─▒l zorlar─▒m?

Git'teki birle┼čtirme ├žat─▒┼čmalar─▒ nas─▒l ├ž├Âz├╝l├╝r

ÔÇťBÔÇŁ bask─▒s─▒ neden ÔÇť#ÔÇŁ yazd─▒rmas─▒ndan ├Ânemli ├Âl├ž├╝de daha yava┼č?

JavaScriptÔÇÖte ÔÇťtan─▒ms─▒zÔÇŁ nas─▒l kontrol edilir? [├žift]

JavaScript nesnesinin uzunlu─ču

PHP'de HTML / XML'i nas─▒l ayr─▒┼čt─▒r─▒r ve i┼člersiniz?

Java'da bir dize de─čerinden enum de─čeri nas─▒l al─▒n─▒r?

PostgreSQL komut sat─▒r─▒ yard─▒mc─▒ program─▒ndan nas─▒l ├ž─▒k─▒l─▒r: psql

Birinin ya┼č─▒n─▒ C# ile nas─▒l hesaplar─▒m?