Workcube Oturum Güvenliği ve Önlemler


Bu içerik Workcube uygulaması üzerinde oturum güvenliğini sağlamak için gerekli önlemlere değinir.

Oturum açma ve sonlandırma

Workcube üzerinde bir oturum kullanıcı sisteme eriştiği andan itibaren başlar. Kullanıcının authorize (yetkili) olup olmadığına bakılmaksızın kullanıcı takibi açısından bu işlem Java ve Coldfusion katmanında otomatik olarak oluşturulur. Yetkilendirilmiş bir kullanıcı sisteme kullanıcı bilgileri ile erişerek oturumu yapılandırır. Bu işlem uygulama seviyesinde kontrol edilmektedir. Kullanıcı oturumunu sonlandırdığında veya oturum süresi sonuna gelindiğinde yalıtılmış oturum belleği temizlenerek kullanıcı yetkilendirme dışında kalır.

Oturum standartları

Workcube uygulama seviyesinde oturumları Java ve Coldfusion ortaklaşa yürütecek şekilde iki katmanlı olarak sunucu yazılımı seviyesinde uygular. Her kullanıcının referans kimliği Java katmanında jsessionid ve Coldfusion katmanında cfid ile cftoken parametrelerini kullanıcı tarayıcısıyla paylaşır. Kullanıcı açık olan oturumunu devam ettirebilmek için bu üç değeri browseri ile uygulama sunucusuna request üzerinden gönderir, aksi halde oturumu kabul edilmez. Ancak bu parametreler yeterli değildir. Her oturum client detection sürecine girerek tcp katmanı headerleri ile request katmanı headerleri incelenerek isteğin aynı kişiden geldiğini Java ve Coldfusion doğrulamaya çalışır. Ancak networkler arası dolaşım (line, mobile gibi) esnekliği adına bu durumu katı şekilde uygulamaz. Java ve Coldfusion tarafında bir oturumun devam etmesi kullanıcının yetkilendirildiği anlamına gelmez. Kullanıcı uygulama tarafında da yetki kontrolüne tabi tutulur.

Workcube uygulamasında oturumlar klasik java authorization tekniklerinden farklıdır. Örneğin Web Logic Basic Authentication kullanan bir uygulama Java katmanında ki yetkilendirme sistemine güvenmek ve kullanıcıları bu katmanda yönetmek zorundadır. Her java oturum kimliği kullanıcı için mühim bir anahtar haline gelir. Aynı network üzerinde bulunan kötü niyetli kullanıcı başka bir kullanıcının browserinden veya ağ paketlerinden faydalanarak oturum bilgilerini ele geçirebilmektedir. Bu durum authentication işleminin sunucu uygulaması üzerinde yönetilmesinden kaynaklanmaktadır. Workcube bu oturum bilgilerini sadece uygulama seviyesinde oturum garantörü olarak kullanmaktadır, kendi oturum bilgilerini uygulama seviyesinde yönetmektedir.

Uygulama güvenliği açısından workcube "beni hatırla, oturumum açık kalsın, hızlı giriş" gibi kavramlarla kullanıcı çerez ve deposunda kullanıcı erişimi ile ilgili kullanıcı bilgisi, token, hash gibi login olmaya alternatif verileri saklamaz. Herhangi bir şekilde oturumu yeniden açmaya yarayan geçici anahtarlar ve/veya parmak izlerini kullanmaz. Böylece sonlanmış bir oturumu farklı bir networkten veya browserda yeniden ayağa kaldırmaya yardımcı işlemler yapmaz.

Güvenlik için alınabilecek önlemler

Kullanıcı güvenliği için workcube uygulaması SSL protokolüne sahip bir network üzerinden çalışmasını kati olarak tavsiye eder. Bu şekilde çerezler ve ağ dinleme ile verilerin çalınması önlenmiş olur. Oturum zaman aşım sürelerinin optimal tutulmasını ön görür, maksimum peryotta kullanmayı tavsiye etmez. Bu önlemler dışında geliştirici rolü üstlenen workcube kullanıcıları için geliştirim standartlarına uygun geliştirme yapmasını kati olarak tavsiye eder.

Geri Bildirim

Bu içeriği faydalı buldunuz mu?