[]

sözlük ve duyurunun coder'larına captcha sorusu

sitelere üye olurken ya da giriş yaparken güvenlik sorusu neden sorarsınız?

başlık: e-devlette maske siparişinde sorulan soru

bu başlığa şöyle cevap vermiştim.

siteye ddos atak ile süreklilik arz eden girisleri engellemek için koyulan sorudur. yoksa kimsenin sizin iq'unuzu falan ölçtüğü falan yok.

arkadaşın birisi de şöyle sordu;

''bu guvenlik sorusunu web developerlar kodlarla olusturmuyor mu ? bu bildigimiz yalin bir kod degil mi? nasil ddosa karsi guvenligi sagliyor o kod? ''

cevabım da şuydu:

devolaper falan değilim. düz mantık kurcalasak,

karşında iki sonsuz uzunlukta bir ardı ardına kapılardan oluşan koridor var. bir tarafında bar kapısı var diğer tarafta çelik kapı var.

bar kapısını da geçmek için elini kullanacaksın çelik kapı için de. ancak çelik kapıyı açmak isterken bir de elindeki sonsuz anahtardan doğru olanı bulacaksın ki kapı açılsın.

ddos ile ilk sayfaya yine engel getirirsiniz. ancak onay sayfasına sürekli saldırı yapmak isteseniz sonsuz anahtarlıktan doğru olanı her seferinde bulmanız gerekir.

not: sonsuz burada afaki bir değer. o soruları da belirleyen bir yazılımcı.


burada yanlış bir şey var mı? eklemek isteyeceğiniz bir şey var mı?

ilkokul birinci sınıfa giden birine anlatır gibi anlatın. işin içine bilgisayar terimi yazdınız mı anlamıyoruz malasef:)

 
Uzman değilim ancak bilgim kadarıyla ekleme yapayım. Asıl olay veritabanı sorgulamasında yatıyor. Anasayfaya yüklenmek sadece bandwith etkisi yaparken login olmaya çalışmak her denemede arkaplanda sorgu yaptırıyor. Peşpeşe istekler sunucuyu işlem yaptıramaz konuma getirebilir, ya da şifre kombinasyonları vs. deneyebilir.

Captcha da bunu engelliyor. Google captcha örneğin sizin doğrulamanızı google sunucusuna yolluyor, onay gelirse bu arkadaş OK diye, işleme devam ediyorsunuz o sitede.
  • influx  (12.04.20 05:02:11) 
msn kullanığımız zamanlarda ergenliğin de verdiği şeyle hackleme işlerine merak salmıştık. bunu da brute force ile yapılabiliyordu. hackleme işlemi gerçekleşmezse eğer mail adresi msn tarafından geçici süreyle kilitleniyordu.

brute force mantığını da maske siparişi verirken gördüğümüz 2+5 doğrulama sorusuna uygulamasak, bir kötü(ahlaki olarak) yazılımcı, üreteceği milyonlarca kimlik no, isim soy isim gibi kavramlarla sürekli birer form gönderip sistemi bozamaz mı?
  • blue eyes white dragon  (12.04.20 14:44:57) 
ilk olarak sözlükte yazdığını söylediğin entry yanlış. sistemi inceledim. o sayfadaki güvenlik sorusunun amacı vatandaşların kimlik bilgilerine toplu bir biçimde sahip kişilerin otomatize araçlar kullanarak sipariş oluşturmasını engellemek. örnek:

eksisozluk.com

bu database sayesinde normalde en basitinden burp kullanarak kişi sayısı kadar sipariş verebilirsin. fakat güvenlik sorusu sabit bir cevap olmadığı için bunu engelliyor. sabit bir cevap olsaydı saldırı başarılı olurdu.

yasal sebeplerden ötürü test etmedim fakat ilgili site şu an ddos'a elverişli gözüküyor.

ikinci olarak arkadaşa yazdığın örnekten hiçbir şey anlamadım.

duyurudaki cevabın: bruteforce ile hiçbir alakası yok durumun.
  • beyaz power ranger  (12.04.20 15:53:10) 
1
buraya yazılanların hakları Sir Anthony Hopkins'e aittir.
yazan eden compumaster, ilgilenen eden fader
modere edenler angelus, Artibir, aychovsky, baba jo, basond, compumaster, deckard, duyulmasi gerektigi kadar, fader, fraise, groove salad, kahvegibi, kaymaktutmayansicaksut, kibritsuyu, monstro, pandispanya, robin, ron dennis
bu sitede yazılanların hiçbiri doğru değildir. site içeriği küçükler için sakıncalı olabilir. yazılardan yazarları sorumludur. kaynak göstermeden alıntılanamaz. devlet tarafından atanmış bir kurumun internet üzerinde kimin hangi bilgiye ulaşıp ulaşamayacağına karar vermesi insan haklarına aykırıdır. web siteleri kullanıcıların istekleri doğrultusunda bağlandıkları yerlerdir. kullanıcılar isterlerse bir web sitesine bağlanmayabilirler. bu güçleri ve imkanları mevcuttur. bir kullanıcı bir siteye bağlanmak istiyorsa bu onun tercihi ve hakkıdır. bağlanmak istemiyorsa bu yine onun tercihi ve hakkıdır. halkın kendisine hizmet etmesi için görevlendirdiği kurumlar hadlerini aşıp halka neye ulaşıp ulaşmayacağını bilmeyen cahil cühela muamelesi edemezler. ebeveynlerin çocuklarını sakıncalı içeriklerden koruması için çok sayıda bedava ve ücretli yazılım mevcuttur. bu yazılımlar bir web tarayıcısını kullanmaktan daha karmaşık teknik bilgi gerektirmemektedir. devletin milletini küçük düşürmesi ve ebleh yerine koyması yasaktır. Skimlinks ile linkler üzerinden yönlendirme payı alınmaktadır.