Page 68 - bilgem-teknoloji-dergisi-12
P. 68
Bilgi Güvenliği BILGEM
TEKNOLOJI
Ufuk Yenigün – Uzman Araştırmacı, M. Sabri Elmastaş - Araştırmacı, M. Sadık Karabay - Araştırmacı,
Abdullah Özkan - Uzman Araştırmacı / BİLGEM İGBY
turum bilgisi, günümüz uygulamalarının anahtarı Cookie üzerinden taşınır. Bu değişken
istemcileri tanımak için kullanmış oldukları uygulamadan uygulamaya farklılıklar göste-
Obir bilgidir. Uygulamada kimlik doğrulama rebileceği gibi kullanılan uygulama çeşidine
işlemi gerçekleştirilirken kullanıcı adı ve parola göre varsayılan oturum anahtarı değişkenleri
kullanılır. Hedef uygulama size başka kimseye
verilmeyecek bir SessionID (oturum anahtarı) de bulunabilir (PHPSESSID, JSESSIONID, ASP.
verir. Daha sonra browser (tarayıcı) yapılan her NET_SessionId). Günümüz uygulamalarının
istekte bu anahtarı göndererek istemcinin kim birçoğunda oturum anahtarı, kullanılan prog-
olduğunu bildirir ve sunucu da bu bilgiye göre ramlama dillerinin varsayılan kütüphaneleriyle
gelen isteği değerlendirir. Bu bilginin taşınması veya kullanılan uygulama geliştirme platformları
da cookie (çerez), URL veya gizli form elemanla- (framework) ile oluşturulmaktadır. Fakat kendi
rı ile sağlanabilir. Oturum anahtarının en yaygın oturum anahtarını oluşturmayı tercih eden uy-
taşıma yöntemi olan Cookie’ nin işleyiş süreci gulamalar da görülebilmektedir. Bununla birlikte
aşağıdaki şekilde belirtilmiştir.
uygulama geliştirme platformları tarafından var-
Kimlik doğrulama isteğinden sonra sunucu sayılan olarak sağlanan uygulama anahtarına
tarafından verilen oturum bilgisi Cookie bilgi- ilave olarak ek özelleştirilmiş oturum anahtarları
si istemcinin tarayıcısında saklanır. Bu değer da kullanılabilmektedir.
aynı zamanda www.example.com üzerinde bu-
lunan Cookie Storage alanında da tutulacaktır. Zayıf Oturum Anahtarları
Dolasıyla kullanıcı www.example.com ‘a istek Daha önce verilen örneklerde de görüleceği üze-
gerçekleştirdiği anda ilgili domain için bulunan
Cookie de gerçekleştirilen isteğe tarayıcı tara- re oturum anahtarı belli uzunlukta bir karakter
fından eklenir. Cookie değeri için her bir GET/ kümesidir. Bu karakter kümesinin uzunluğunun
POST isteğine Cookie: Cookies=12345 gibi bir yeterli uzunlukta olmaması veya kullanılacak
başlık eklenerek gönderilir(bkz Resim 1.1). Bu küme elemanlarının yeterli karakter seçiminden
kullanım, web uygulamalarında en yaygın otu- oluşmaması gibi durumlar oturum anahtarları-
rum bilgisi taşıma yöntemidir. nın kolayca tahmin edilmesine dayanan zafiyet-
Oturum bilgisinin yukarıdaki şekilde kullanılma- leri de beraberinde getirmektedir. Zayıf oturum
sının en önemli nedeni ise HTTP protokolünün anahtarına örnek Resim 1.2'de belirtilmiştir. Re-
yapısından kaynaklanmaktadır. Çünkü bu proto- sim 1.2’ de tespit edilen zafiyet, oturum anah-
kol üzerinden gerçekleştirilen isteğe cevap gel- tarının yeterli uzunlukta olmamasıdır. Bununla
dikten sonra aradaki tüm bağlantıları sonlanır. birlikte oturum anahtarını oluşturan elemanların
Bu nedenle bir sonraki istekte uygulamanın is- sadece sayılardan oluşması kolay tahmin edil-
temciyi tanıyabilmesi için oturum bilgisini tekrar mesine yol açar.
göndermesi gerekir.
Oturum bilgisi, Oturum Anahtarı Cookie Özellikleri
Cookie’ler oturum anahtarının taşınmasında ve
Oturum anahtarları uygulamalar tarafından ben-
günümüz zersiz olarak tasarlanıp kullanıcılara atanan bir istemcide saklanmasında yaygın olarak kullanı-
lan yöntemdir. Oturum anahtarlarının hem gü-
değerdir. Resim 1.1’de görüleceği üzere oturum
uygulamalarının
istemcileri
tanımak için
kullanmış
oldukları bir
bilgidir.
66 67