Hergün artan sayıda virüsün yayılmaya başlaması, güvenlik konusunu güncel hale getirdi. Artık web tasarımcılarının sitelerin tasarımında güvenlik konularına dikkat etmeleri gerekiyor. Bu yazı dizisinde size konunun içeriği yanısıra örnek KOD’lar da vereceğiz.
3 yazılık bu dizinin bir önceki bölümü için Bkz : Web Sitenizi Güvenilir Yapın – I.
————————————————————————–
Çoklu-düzey Güvenlik Gerekli mi?
Ne kadar çok düzey eklenirse, güvenliğinizi yönetmek o kadar karmaşıklaşır. Eğer her kullanıcıya farklı haklar ve öncelikler vermek istiyorsanız veri tabanlı bir çözüme gitmeniz gerekir. Ama her bölümü tek bir şifre ile koruyorsanız, dümdüz bir kodlama yeterli olacaktır.
Login Durumlarını Takip Etmek İçin Oturum Değişkeni Kullanın
Şimdiye kadar ne tür bir güvenlik gerektiğini tespit etmiş olmalısınız. Şimdi kullanıcıyı takip etme adımına geçelim. Bunu yapmak için bir kaç yol var.
İlki şöyle ; User Login işlemi URL ve talep kullanarak iletilir. Her sayfada sorgulama vardır. Bu basit bir çözümdür. Pek güvenli de değildir. Çünkü, URL içinde, herhangi birisi “durum kod”unuzu görebilir ve bu yolla güvenliğinizi atlayabilir. Ortalama kullanıcılar, bunun nasıl yapıldığını anlamazken, konuyu biraz bilenler “URL’yi arkadaşına göndermek” ya da “sayfayı favoriler içine kaydetmek” yoluyla güvenliği bypass etmek mümkün olur.
Diğer bir yaklaşım ise, izleme için bir “oturum değişkeni – session variable” atamaktır. Oturum değişkenleri, güvenlik için en ideal çözümdür. Bu yolla, kullanıcının login durumu gizli tutulabilir. Ayrıca oturuma ait bir de “otomatik” zaman sınırı tanımlanmak gerekir. Zaman sınırı Session.TimeOut yöntemi kullanılarak ayarlanır. Genel olarak 20 dakika hareket etmeyen kullanıcı oturumu sona erdirilir.
“Ama bu oturum değişkenlerinin kullanılması anlamsız ve kötü düşünce diye duydum” Bir yandan doğru, çünkü çok kullanıldığında server’da fazla yük yaratır ama diğer yandan da kullanıcı login durumunu takip ederken bir sürü faydalı amaçlarla kullanılırlar.
Oturum değişkenlerini kullanmanın önemli bir şartı vardır; kullanıcı “cookie”leri kullanmıyorsa, otorum değişkenleri çalışmazlar. Genellikle ortalama kullanıcıların cookie’leri çalışıyor olduğundan belki sorun yok diyebilirsiniz ama tersini de düşünmelisiniz. Normal bir kullanıcı genellikle, cookie nedir anlamaz ve kapatabilir. Çoğu browser cookie’leri destekler ve bir makinaya kuruldukları zaman default olarak cookie’ler çalışır durumdadır. Ama yine de, login sayfanıza, kullanıcının cookie’leri “çalışır” hale getirmesini belirten bir not koymanızda yarar var. Bunu güvenli alan girmesinden önce yapmalısınız. Aynı zamanda sayfanıza, bu cookie’lerin çalışıp çalışmadığını kontrol eden bir basit test koyabilirsiniz.
Bu cookie testi için yarın size bir kaç örnek KOD vereceğim.
Kaynak : 