başlık: e-devlette maske siparişinde sorulan soru
bu başlığa şöyle cevap vermiştim.
siteye ddos atak ile süreklilik arz eden girisleri engellemek için koyulan sorudur. yoksa kimsenin sizin iq'unuzu falan ölçtüğü falan yok.
arkadaşın birisi de şöyle sordu;
''bu guvenlik sorusunu web developerlar kodlarla olusturmuyor mu ? bu bildigimiz yalin bir kod degil mi? nasil ddosa karsi guvenligi sagliyor o kod? ''
cevabım da şuydu:
devolaper falan değilim. düz mantık kurcalasak,
karşında iki sonsuz uzunlukta bir ardı ardına kapılardan oluşan koridor var. bir tarafında bar kapısı var diğer tarafta çelik kapı var.
bar kapısını da geçmek için elini kullanacaksın çelik kapı için de. ancak çelik kapıyı açmak isterken bir de elindeki sonsuz anahtardan doğru olanı bulacaksın ki kapı açılsın.
ddos ile ilk sayfaya yine engel getirirsiniz. ancak onay sayfasına sürekli saldırı yapmak isteseniz sonsuz anahtarlıktan doğru olanı her seferinde bulmanız gerekir.
not: sonsuz burada afaki bir değer. o soruları da belirleyen bir yazılımcı.
burada yanlış bir şey var mı? eklemek isteyeceğiniz bir şey var mı?
ilkokul birinci sınıfa giden birine anlatır gibi anlatın. işin içine bilgisayar terimi yazdınız mı anlamıyoruz malasef:)
Uzman değilim ancak bilgim kadarıyla ekleme yapayım. Asıl olay veritabanı sorgulamasında yatıyor. Anasayfaya yüklenmek sadece bandwith etkisi yaparken login olmaya çalışmak her denemede arkaplanda sorgu yaptırıyor. Peşpeşe istekler sunucuyu işlem yaptıramaz konuma getirebilir, ya da şifre kombinasyonları vs. deneyebilir.
Captcha da bunu engelliyor. Google captcha örneğin sizin doğrulamanızı google sunucusuna yolluyor, onay gelirse bu arkadaş OK diye, işleme devam ediyorsunuz o sitede.
msn kullanığımız zamanlarda ergenliğin de verdiği şeyle hackleme işlerine merak salmıştık. bunu da brute force ile yapılabiliyordu. hackleme işlemi gerçekleşmezse eğer mail adresi msn tarafından geçici süreyle kilitleniyordu.
brute force mantığını da maske siparişi verirken gördüğümüz 2+5 doğrulama sorusuna uygulamasak, bir kötü(ahlaki olarak) yazılımcı, üreteceği milyonlarca kimlik no, isim soy isim gibi kavramlarla sürekli birer form gönderip sistemi bozamaz mı?
ilk olarak sözlükte yazdığını söylediğin entry yanlış. sistemi inceledim. o sayfadaki güvenlik sorusunun amacı vatandaşların kimlik bilgilerine toplu bir biçimde sahip kişilerin otomatize araçlar kullanarak sipariş oluşturmasını engellemek. örnek:
eksisozluk.com
bu database sayesinde normalde en basitinden burp kullanarak kişi sayısı kadar sipariş verebilirsin. fakat güvenlik sorusu sabit bir cevap olmadığı için bunu engelliyor. sabit bir cevap olsaydı saldırı başarılı olurdu.
yasal sebeplerden ötürü test etmedim fakat ilgili site şu an ddos'a elverişli gözüküyor.
ikinci olarak arkadaşa yazdığın örnekten hiçbir şey anlamadım.
duyurudaki cevabın: bruteforce ile hiçbir alakası yok durumun.