giriş yap => beni hatırla şeysi

[Bayram Akbuz]

basit sorunlarla devam ediyoruz.

oturum açtırırken beni hatırla seçeneğini oraya süs gibi koyuyorum. şekil olarak güzel duruyo, şu an hiçbir işlevi yok :)

kullanıcıların oturum açma işlemi başarılı ise oturum bilgilerini bende herkes gibi session da tutuyorum. tabi bu session mimarisi gereği öntanımlı süre olarak 20 dakika sonra güm. bi daha kullanıcıya oturum açtırmak (ki çoğunluk çıkar gider) çok zahmetli ve sıkıcı bir iş (facebook, twitter gibi sitelerde gezinmiyorlar ya)

session düştüğüne göre geriye kalan seçenekler cookie ve html5 localdb. 

1. cookie leri içerisindeki değerler metinsel değerler olduğu için içerisi okunulabilir mi? 

2. cookie içerisinde kullanıcı adı tutanın sistem güvenlikleri neler olabilir.

5. html5 localdb ye bunun için uygun olur mu?

sürekli hatırlanmasını isteyen bir kullanıcı bunu işaretlediği zaman nasıl bi yol izlenmelidir. sizler nasıl bir yol izlediniz.

[Sidar Ok]

Sifrelenmis cookie ile cozuyorsun. localdb ye girme. 

Cookie de kritik veri tutma zaten, bir key tut, guid mesela, 2 hafta sonra expire olsun. 2 Haftaya kadar HttpRequest den bak expire olmami$ cookie si var mi, icerigindeki session id db de var mi, varsa 2 hafta suresi dolmu$ mu. Bu sorularin birinin bile cevabi hayir ise logine yonlendir. 

Eger kritik bilgin varsa zaten beni hatirla olayi tumden olmasin. Hic gordun mu bir bankanin web sitesinde beni hatirla oldugunu (nijerya bankalari di$inda) 

2012/4/25 Bayram Akbuz <bayram...@gmail.com>

--
You received this message because you are subscribed to the Google Groups "altdotnetturkiye" group.
To view this discussion on the web visit https://groups.google.com/d/msg/altdotnetturkiye/-/X3e8aS0iEtAJ.
To post to this group, send email to altdotne...@googlegroups.com.
To unsubscribe from this group, send email to altdotnetturki...@googlegroups.com.
For more options, visit this group at http://groups.google.com/group/altdotnetturkiye?hl=en.

--
Sidar Ok

http://www.sidarok.com
http://www.twitter.com/sidarok

[Volkan Uzun]

Calistigim sirkette biz STS gelistirdik (Security Token Service).

STS sso gorevide yaptigi icin kullanici tarafina cookie yaziyoruz. Burada bizim icin onemli olan session id +session token degerleri yaziliyor, yazarkende SSL sertifikasiyla sifreliyoruz veriyi.

SSL ile sifrelemek oldukca mantikli bir cozum (safari ile sorun yasiyorsun sadece ;)) .

 

2012/4/24 Sidar Ok <sid...@gmail.com>

[Sidar Ok]

SSL +1 tabii ki, imkan varsa butun login $ifrelenmeli sadece beni hatirla degil. 

2012/4/25 Volkan Uzun <volka...@gmail.com>

[Bayram Akbuz]

Cookie de kritik veri tutma zaten, bir key tut, guid mesela, 2 hafta sonra expire olsun. 2 Haftaya kadar HttpRequest den bak expire olmami$ cookie si var mi, icerigindeki session id db de var mi, varsa 2 hafta suresi dolmu$ mu. Bu sorularin birinin bile cevabi hayir ise logine yonlendir. 

Eger kritik bilgin varsa zaten beni hatirla olayi tumden olmasin.

aslında sidar bey söyleyecek söz bırakmamışsınız. mesele güvenlik meselesi olunca ince eleyip sık dokuyor insan.

benim merak ettiğim facebook, twitter, gmail giriş ekranlarında da bu var. bu firmalar nasıl bir yol izliyor. aslında en çok bunu merak diyorum. 

kullanıcının giriş yapabilmesi için (username+password) bilgilerini doğru girmesi gerekiyor. bu bilgilerle oturum açan kişinin sadece username bilgisi cookie de tutulsa, session düşse bile hiçbir parola istemeden GetUserByUserName() gibi bir sorgu çalıştırıp kullanıcıya bırakmadan biz oturum açtırsak ne gibi sorun yaşayabilirim.

facebook,twiitter ve gmail de beni hatırla seçeneğini işrateleyip oturum açın, önbellekteki cookieleri temizleyin ve sayfayı yenileyin, yeniden giriş ekranına yönlendiriyor. demek ki bu firmalarda cookie kullanıyor.

geliştirilmesine katkıda bulunduğum uygulama yurtiçi ve yurtdışında hatırı sayılır bir değere sahip. hata yapmak gibi bir ihtimalim yok.

vereceğiniz cevaplar benim için çok önemli

[Bayram Akbuz]

bununla ilgili okuyabileceğim bir makale var mı?

[Süleyman PETEK]

kullanıcının cookisinden username ini alıp sayfaları göstermeye devam edebilirsin bence

sadece kullanıcı alışveriş yapacak (eğer e-ticaretse diye düşündüm) veya kullanıcı bilgilerinde bir güncelleme yapacak olursa tekrar şifre girmesini isteyebilirsin...

olayı abartıp kullanıcının state ini appfabric de tut demiycem :)

2012/4/25 Bayram Akbuz <bayram...@gmail.com>

bununla ilgili okuyabileceğim bir makale var mı?

--

You received this message because you are subscribed to the Google Groups "altdotnetturkiye" group.

To view this discussion on the web visit https://groups.google.com/d/msg/altdotnetturkiye/-/OVOwtwHT16IJ.

[Halil Bozdogan]

Cookie oldukça mantıklı çözüm, LocalDB biraz fazla kaçar sanki.

Ek olarak cookie ye de expire süresi verebiliyorduk, yani senin session ölmeden, cookie de ölebilir, tabii ikisinin arasındaki süre farkı ne olmalı, nedir, yoksa aynı mıdır sorularını sistemi tasarlayan kişinin vermesi daha iyi olur.

Not : eğer benim gibi genelde private browsing ile geziyorsa, browser kapandığı anda, topladığı tüm veriyi sildiği için, beni hatırla muhtemelen hiç çalışmayacaktır. Bu tip durumlar için, bu olayı kontrol etmeyi deneyebilirsin, bir iki yöntem olarak http://stackoverflow.com/questions/2860879/detecting-if-a-browser-is-using-private-browsing-mode burada önerilene bakabilirsin diyecektim ki, research sayfası iptal olmuş durumda. Çok anlamam ama CSS ile bir kaç şey kontrol edilip, durum anlaşılmaya çalışılmış sanırım.

2012/4/25 Bayram Akbuz <bayram...@gmail.com>

bununla ilgili okuyabileceğim bir makale var mı?

--

You received this message because you are subscribed to the Google Groups "altdotnetturkiye" group.

To view this discussion on the web visit https://groups.google.com/d/msg/altdotnetturkiye/-/OVOwtwHT16IJ.

To post to this group, send email to altdotne...@googlegroups.com.
To unsubscribe from this group, send email to altdotnetturki...@googlegroups.com.
For more options, visit this group at http://groups.google.com/group/altdotnetturkiye?hl=en.

--
Halil Bozdoğan

[Bayram Akbuz]

benimde aklımdan bu geçiyor. bahsettiğiniz öneriyi facebook ta yapıyor. gezinmeye müsade ediyor ama bir aksiyon yapmak istediğinde yeniden şifre gir bir sayfa açtırıyor.

[Bayram Akbuz]

genel anlamda bilindik tarayıcılarda çalışması şu an için yeterli olacaktır. 

[Sidar Ok]

Aman ha, sadece username i tutarak oturumu sadece onunla acmak ba$li ba$ina bir guvenlik acigi. 

Ben $imdi sisteme girdim beni hatirla dedim. username sidarok cookie ye yazildi. sonra aldim bu cookie ye gittim, bayramakbuz olarak degi$tirdim ismi. Ne yapacak sistem ? 

Sana onerdigim cozum benim icat ettigim bir cozum degil , bircok sistemde boyle. Hatta ASP.NET Login user controlu kullan, nasil cali$tigina bak fikir vermesi acisindan. Prensip benzer. Boyle olmasinin da bir sebebi var. 

2012/4/25 Bayram Akbuz <bayram...@gmail.com>

genel anlamda bilindik tarayıcılarda çalışması şu an için yeterli olacaktır. 

--

You received this message because you are subscribed to the Google Groups "altdotnetturkiye" group.

To view this discussion on the web visit https://groups.google.com/d/msg/altdotnetturkiye/-/fN0KOI_f8HwJ.

To post to this group, send email to altdotne...@googlegroups.com.
To unsubscribe from this group, send email to altdotnetturki...@googlegroups.com.
For more options, visit this group at http://groups.google.com/group/altdotnetturkiye?hl=en.

--

[Bayram Akbuz]

asıl duymak istediğim öneriydi bu. 

 en iyi klasik kontroller ne yapıyor adım adım görmek.