Selamun Aleyküm, daha önce bir kaç tane ssl hakkında ne olduğu ne işe yaradığı tarzında konular açıldı, kendimde bazı bloglarda bu konuyu okudum ancak bir web programcı olarak şunu çözemedim. Benim kullanıcıdan almak istediğim hangi veriyi engelliyor bu ssl.
Yani adam kullanıcı adını girdiğinde bana onun şifreli halini mi veriyor ? Eğer böyle ise daha önceden kayıtlı olan kullanıcıların tekrar değişmesi gerekir diye düşünüyorum. Ancak böyle bir şey değil sanırsam.
Yani diyelim ki ben kullanıcıdan bilgi sızdırmak isteyen bir site sahibiyim. Bu ssl benim neyi yapmamı engelliyor ki kullanıcı güvenli oluyor ?
Şu SSL'nin Ne İşe Yaradığını Örnekle Açıklar Mısınız ? |
12 Mesajlar | 1.326 Okunma | ||
- Üyelik 01.11.2015
- Yaş/Cinsiyet 37 / E
- Meslek WebProgramlama
- Konum İstanbul Anadolu
- Ad Soyad H** F**
- Mesajlar 410
- Beğeniler 151 / 174
- Ticaret 3, (%100)
- Üyelik 10.11.2013
- Yaş/Cinsiyet - /
- Meslek
- Konum
- Ad Soyad ** **
- Mesajlar 420
- Beğeniler 166 / 91
- Ticaret 10, (%100)
SSL diyelim ki bir yerden alışveriş yapıyorum alışveriş yaparken hacker beni izliyor. Keylogger girmiş bilgisayar farz edelim. Ben girdiğim zaman kart bilgilerimi şifreli hallerde sunucuya gönderiliyor. Yada diyelim ki biri kredi kartı loglarını çekmek istedi hepsi şifreli görünüyor. Ama bunu aşmanın yöntemi var mıdır? Elbette vardır. DNS spoofing ile kullanıcı ağı dinlenir gelen şifreli bağlantıyı Linux ortamında çözersin. Tüm bilgiler elinde olur hemen hemen böyle bir şey :)
- Üyelik 23.01.2014
- Yaş/Cinsiyet 36 / E
- Meslek Öğrenci
- Konum Mersin
- Ad Soyad A** Ö**
- Mesajlar 2814
- Beğeniler 382 / 974
- Ticaret 2, (%100)
SSL sertifikası kısaca Sunucunun tarayıcıya bu ziyaretçinin güvenliğini ben sağlayacağım deme şeklidir.
Yani şöyle güncel yaşamla bir örneklendireyim.
SSL sertifikanız yoksa Sizi polis korur. SSL sertifikanız varsa polis+ bide özel güvenlik korur. ( Burda ki siz, Sitenizi ziyaret eden ziyaretçi oluyorsunuz ).
SSL sertifikaların çeşitliliğini de, özel güvenlik, bodyguard vs gibi düşünün.
Yani şöyle güncel yaşamla bir örneklendireyim.
SSL sertifikanız yoksa Sizi polis korur. SSL sertifikanız varsa polis+ bide özel güvenlik korur. ( Burda ki siz, Sitenizi ziyaret eden ziyaretçi oluyorsunuz ).
SSL sertifikaların çeşitliliğini de, özel güvenlik, bodyguard vs gibi düşünün.
Okşadıkça insanları, içinden çıkıyor Cini...
- Üyelik 01.11.2015
- Yaş/Cinsiyet 37 / E
- Meslek WebProgramlama
- Konum İstanbul Anadolu
- Ad Soyad H** F**
- Mesajlar 410
- Beğeniler 151 / 174
- Ticaret 3, (%100)
gizemli56 , Mağara_Adamı Hocam, bakın benim anlamadığım nokta şurası ben kullanıcının girişini yapmam için kullanıcının şifrelenmemiş verilerini alırım örneğin kullanıcı adı parola gibi. Aynı şekilde ben kredi kartı numarasını da alamaz mıyım ? Bu ssl benim neyi aldığımı nerden bilebilir ? Kullanıcı adını aldığım gibi onuda alabilirim diye düşünüyorum.
Ayrıca örnek isterken yazılımsal bir örnek istedim hocam. Yani bir güvenli olduğunu anlıyoruz :) Ama işleyiş nedir ?
Gizemli56 hocam, bu keyloger kişinin kendi bilgisayarıyla alakalı bir durum değil midir ? Yani ben site sahibiyim bu beni ilgilenmez öyle değil mi ?
İstediğim cevap şu şekilde olmalı, kullanıcı kredi kartı bilgisini girdiği zaman işlem nasıl oluyor ? Burayı geniş olarak anlatırsanız sevinirim. Bir de kredi kartı girişi ile kullanıcı adı girişinin farkı ne oluyor ? Ben eğer kullanıcı adını alabiliyorsam keredi kartını da alabilirim gibime geliyor.
Ayrıca örnek isterken yazılımsal bir örnek istedim hocam. Yani bir güvenli olduğunu anlıyoruz :) Ama işleyiş nedir ?
Gizemli56 hocam, bu keyloger kişinin kendi bilgisayarıyla alakalı bir durum değil midir ? Yani ben site sahibiyim bu beni ilgilenmez öyle değil mi ?
İstediğim cevap şu şekilde olmalı, kullanıcı kredi kartı bilgisini girdiği zaman işlem nasıl oluyor ? Burayı geniş olarak anlatırsanız sevinirim. Bir de kredi kartı girişi ile kullanıcı adı girişinin farkı ne oluyor ? Ben eğer kullanıcı adını alabiliyorsam keredi kartını da alabilirim gibime geliyor.
- Üyelik 05.10.2016
- Yaş/Cinsiyet 38 / E
- Meslek Yazılım Uzmanı
- Konum İstanbul Avrupa
- Ad Soyad H** B**
- Mesajlar 187
- Beğeniler 8 / 49
- Ticaret 2, (%100)
Öncelikle kavramları bilmen gerekiyor, Standart web uygulamaları 80. Port üzerinden çalışır, ve GET-POST işlemlerinde herhangi bir standart şifreleme yoktur. (Yazılımcı olarak yapabilirsin) SSL olan web uygulamaları ise SSL olduğu için 443. Port üzerinden 128 Bit yada üstü şifreleme üzerinden çalışır. GET-POST işlemlerinde 3. bir kişi araya giremez. Araya girebilmesi için, sunucu üzerindeki SSL sertifikasının kendisinde de olması gerekir ki, olsa bile her babayiğidin yapabileceği bir şey değildir.
SSL sertifikası site kullanıcılarını dışardan gelen saldırılardan korur, sitenin yazılımcısı olarak her haltı kendi sitende elbette yiyebilirsin.
SSL sertifikası site kullanıcılarını dışardan gelen saldırılardan korur, sitenin yazılımcısı olarak her haltı kendi sitende elbette yiyebilirsin.
- Üyelik 10.03.2013
- Yaş/Cinsiyet 33 / E
- Meslek Yazılım Mühendisi
- Konum Ankara
- Ad Soyad F** A**
- Mesajlar 2426
- Beğeniler 809 / 814
- Ticaret 17, (%100)
Siteden sunucuya veya 3. bir sunucuya(banka posu) giden veriyi şifreler ve o şekilde gönderir. Kart numarası 1234 ise bunu 456sdf564rfe45 olarak gönerir ve uzaktan bu karta ulaşmak isteyen kişi şifrelenmiş halini görür. Ssl ciler şifreleme yöntemlerine o kadar çok güvenir ki hacklenme durumunda ssl kalitesine bağlı olarak 5bin usd veya 20 bin usd garanti verebilir.
- Üyelik 01.11.2015
- Yaş/Cinsiyet 37 / E
- Meslek WebProgramlama
- Konum İstanbul Anadolu
- Ad Soyad H** F**
- Mesajlar 410
- Beğeniler 151 / 174
- Ticaret 3, (%100)
ŞizofrenikDev Hocam, öncelikle bu port olaylarını hiç bilmiyorum belkide bu yüzden anlamıyor olabilirim. Ancak yazılımcı olarak herhaltı yiyebiliyorsam o zaman kullanıcıyı korumamış olur. Neyi nasıl şifreleyip kullanıcının neyine bana gizlediğini söyleseniz anlamış olacam ama herhaltı yiyebilirsin diyince kullanıcıya her istediğimi yaparsam neyin güvenliğini sağlıyor bu ssl :)
impjix Hocam, eğer veriyi şifreliyorsa ve ben şifreli veriyi alabiliyorsam bu seferde siteme sonradan ssl eklediğimde kullanıcının, kullanıcı adının şifreli verisi ile gerçek verisi uyuşmaz ve kullanıcı giriş yapamaz öyle değil mi ? Hocam k.bakmayın ben anlayamıyorum. Habu ssl site sahibine neyi gizliyor da, kullanıcıyı neyden kuruyor ?
impjix Hocam, eğer veriyi şifreliyorsa ve ben şifreli veriyi alabiliyorsam bu seferde siteme sonradan ssl eklediğimde kullanıcının, kullanıcı adının şifreli verisi ile gerçek verisi uyuşmaz ve kullanıcı giriş yapamaz öyle değil mi ? Hocam k.bakmayın ben anlayamıyorum. Habu ssl site sahibine neyi gizliyor da, kullanıcıyı neyden kuruyor ?
- Üyelik 23.01.2014
- Yaş/Cinsiyet 36 / E
- Meslek Öğrenci
- Konum Mersin
- Ad Soyad A** Ö**
- Mesajlar 2814
- Beğeniler 382 / 974
- Ticaret 2, (%100)
O zaman sana şöyle açıklayayım hocam.
Sen bir kullanıcının giriş bilgilerini görebilmen için sunucuya erişim izninin olması gerekir ( Site senin olduğu için Zaten iznin var ).
Kullanıcıya ait Giriş bilgiler veritabanında ekli olduğu için sen bunları görebilirsin. Ama kredi kartı gibi yalnızca tarayıcı arayüzünü kullanarak yapılan işlemler veritabanına kayıt olmadıgı için sen işlemlere erişemiyorsun. Daha doğrusu SSL sertifikası senın kullanıcı tarayıcısına erişmeni engelliyor. Asıl mantıgı ve olay tam olarak bu.
Yoksa senin düşündüğün gibi olsaydı şayet, biz bi siteye üye oldugumuzda o hesaba tekrar bi giriş yapamazdık.
Sen bir kullanıcının giriş bilgilerini görebilmen için sunucuya erişim izninin olması gerekir ( Site senin olduğu için Zaten iznin var ).
Kullanıcıya ait Giriş bilgiler veritabanında ekli olduğu için sen bunları görebilirsin. Ama kredi kartı gibi yalnızca tarayıcı arayüzünü kullanarak yapılan işlemler veritabanına kayıt olmadıgı için sen işlemlere erişemiyorsun. Daha doğrusu SSL sertifikası senın kullanıcı tarayıcısına erişmeni engelliyor. Asıl mantıgı ve olay tam olarak bu.
Yoksa senin düşündüğün gibi olsaydı şayet, biz bi siteye üye oldugumuzda o hesaba tekrar bi giriş yapamazdık.
Okşadıkça insanları, içinden çıkıyor Cini...
- Üyelik 01.11.2015
- Yaş/Cinsiyet 37 / E
- Meslek WebProgramlama
- Konum İstanbul Anadolu
- Ad Soyad H** F**
- Mesajlar 410
- Beğeniler 151 / 174
- Ticaret 3, (%100)
Mağara_Adamı Hocam, öncelikle bu saatte cevapladığınız için teşekkürler :) Ancak "tarayıcı yüzü kullanarak yapılan işlemler" cümlenizi tam anlamadım desem yeridir. Yani ben TextBox'tan veri alıyorum ve veri tabanıma ekliyorum. Kullanıcı adını aldığım gibi Kredi Kartı numarısını nasıl alama onu anlamadım. yrıca bu ssl, Kullanıcı adımı yoksa Kredi Kartı Numarası mı girildiğini nasıl anlıyor ? Hocam ben mi zor anlayıcıyım, konu zor anlaşılan bir konu, yoksa .. yok yok başka seçenek olamaz ya :) Şaka bir yana kafama bir şey tam oturmayınca hiç anlamamış gibi oluyorum.
- Üyelik 23.01.2014
- Yaş/Cinsiyet 36 / E
- Meslek Öğrenci
- Konum Mersin
- Ad Soyad A** Ö**
- Mesajlar 2814
- Beğeniler 382 / 974
- Ticaret 2, (%100)
:)
Yazılımsal olarak örneklendiremeyeceğim ama anlatmaya çalışayım :)
Mesela siz diyorsunuz ya Textarea'dan bilgi çekiyorum diye. Eğer sitenizde SSL olsa siz o veriyi okuyamazsınız ( Eğer yapılan işlem sizin sunucunuzu alakadar etmiyorsa tabi ).
SSL sertifikası güvenli bir ara bağlantı sunar. Size şöyle söyleyeyim. Ziyaretçi bir işleme onay vermediği sürece siz kullanıcının yapmış olduğu herşeyi şifrelenmiş olarak görürsünüz.
Örneğin sitenize girdim ve yorum yapacam. yorumun textarea kısmında ben cumlelerimizi yazıp gönder butonuna basmadıgım sürece bu veriler şifrelenir. Gönder butonuna bastıktan sonra işlem sizin sunucu tarafından karşılık bulursa normalleşir.
... sitenizde iş bankasına ait kredi kartımla satın alma işlemi gerçekleştireceğim diyelim. Bilgilerimi girip gönderdiğim zaman bilgilerim sizin sunucuya değil, iş bankasının kendi sunucusuna iletilir. Bu iletim esnasında siteniz yalnızca bir aracıdır ve benım bilgilerimin hepsi şifrelenir. Sizin sunucuda bilgilerim çözümlenemez. Bu şifrenin çözümüde yalnızca iş bankasının sunucusunda bulunuyor. Bi nevi kilit-anahtar ilişkisi var.
Benim gönderdiğim tüm bilgiler Bir kilittir. Anahtarı ise işlem yapmak istediğim yer hangi sunucuysa orasıdır. iş bankasını alakadar eden bir işlem sizin sunucularınıza şifreli olarak düşer.
Yazılımsal olarak örneklendiremeyeceğim ama anlatmaya çalışayım :)
Mesela siz diyorsunuz ya Textarea'dan bilgi çekiyorum diye. Eğer sitenizde SSL olsa siz o veriyi okuyamazsınız ( Eğer yapılan işlem sizin sunucunuzu alakadar etmiyorsa tabi ).
SSL sertifikası güvenli bir ara bağlantı sunar. Size şöyle söyleyeyim. Ziyaretçi bir işleme onay vermediği sürece siz kullanıcının yapmış olduğu herşeyi şifrelenmiş olarak görürsünüz.
Örneğin sitenize girdim ve yorum yapacam. yorumun textarea kısmında ben cumlelerimizi yazıp gönder butonuna basmadıgım sürece bu veriler şifrelenir. Gönder butonuna bastıktan sonra işlem sizin sunucu tarafından karşılık bulursa normalleşir.
... sitenizde iş bankasına ait kredi kartımla satın alma işlemi gerçekleştireceğim diyelim. Bilgilerimi girip gönderdiğim zaman bilgilerim sizin sunucuya değil, iş bankasının kendi sunucusuna iletilir. Bu iletim esnasında siteniz yalnızca bir aracıdır ve benım bilgilerimin hepsi şifrelenir. Sizin sunucuda bilgilerim çözümlenemez. Bu şifrenin çözümüde yalnızca iş bankasının sunucusunda bulunuyor. Bi nevi kilit-anahtar ilişkisi var.
Benim gönderdiğim tüm bilgiler Bir kilittir. Anahtarı ise işlem yapmak istediğim yer hangi sunucuysa orasıdır. iş bankasını alakadar eden bir işlem sizin sunucularınıza şifreli olarak düşer.
Okşadıkça insanları, içinden çıkıyor Cini...
Konuyu toplam 1 kişi okuyor. (0 kullanıcı ve 1 misafir)