Kullanıcılardan Gelen Veriler veya Kullanıcılara Güvenmek

SQL injection gibi açıkları bilirsiniz veya XSS gibi ataklarda en önemli kural kullanıcıdan gelen her veriyi kötü niyetli biri veya porgram varsaymak en önemli önlemdir. Örneğin kullanıcı tırnak işaretini kullanıp yönetici paneline girebilir veya veritabanınızı komple silebilir.

Peki kullanıcılar kötü niyetli mi? Hayır. Kötü niyetli olan bu atakları yapan kişilerdir ve sayıları çok azdır ama az olduğu kadar da tehlikeliler. Web sunucusu herhangi bir isteğin bir programcık veya insan tarafından yapıldığını ayırt edemez. HTTP protokolünü kullanarak soket bağlantı açarsanız istediğiniz tarayıcı, işletim sistemi tanımlı istekler yapabilirsiniz.

Bu güvenlik açıklarının dışında bir de yorumlar ve post edilen herhangi bir yerdeki önlemler vardır. Reklam içerikli yorumlar veya küfürlü, şiddet, ırkçı yorumlar yapılabilir. Bunu önlemek için ya yorum onay sisteminden geçecek veya yazılımsal olarak bu tür yorumlar ayıklanacak. Yorumları bu şekilde ayıklamak da pek kolay bir iş değildir.

Bazı kullanıcılar da beklenmedik şeyler yaparlar. Mesela sepetteki ürünleri satın alma isteği gönderirler ama almazlar. Kapıda ödeme ile ürün isterler ve geri çevirirler vs..

Buradan ne sonuç çıkıyor peki? Tüm kullanıcıları melek gibi düşünürseniz yanarsınız. Aynı şekilde tüm kullanıcıları şeytan olarak görürseniz bu da büyük problemdir. Her yerde önlem, onay, çok zor okunan kaptcha kodları gibi kullanıcı deneyimini düşüren önlemler alırsınız.

Bu dengeli olmalı. Herke kötü niyetli değildir, herkes iyi niyetli de değildir?

Kullanıcılardan Gelen Veriler veya Kullanıcılara Güvenmek” üzerine yorum

  1. Günlük yaşantımızdaki gibi düşünürsek sanırım önlemleri almamamız için bir sebep göremiyorum. Bana göre buradaki sorun bilinçsiz kullanıcı bu konuda oldukça başarılı doğru bilgi kaynakları var bunlardan haberdar olmak fayda sağlayabilir.

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

İnsan mısınız? * Time limit is exhausted. Please reload CAPTCHA.