2015-06-13 10:46 GMT+01:00 Mesut Erkuş | Deep Bilişim <[email protected] >:
> Merhaba Arkadaşlar, > > Şirketimizde kullanmak için crm yapmaktayız. Online hibrit phonegap > uygulaması olarak hazırlıyoruz. Crm'e yüklediğimiz dosyanın yolunu herhangi > bir tarayıcıya yazdığımızda dosyaya direkt olarak erişebiliyoruz. Trello > gibi proje yönetim programlarıda aynı şekilde kullanıyor. Şirket > dosyalarını ftp'de tutacağımız için güvenlik konusunda endişelerimiz var. > Ftp de listeleme özelliği açık olmadığı için klasörlerdeki dosyalar > görünmüyor fakat bu konuda detaylı bilgimiz olmadığı için, art niyetli > birisinin dosya yollarına erişme gibi bir ihtimali var mıdır? Bu konuda > nasıl bir güvenlik sağlayabiliriz, bu bir güvenlik açığımıdır? Bu konuda > tavsiyelerinizi öğrenebilir miyiz? > Merhabalar, Erisimin kisitli olmasi gereken dosyalara yetkilendirme olmadan erisilebiliyorsa bu elbette bir guvenlik acigidir. Dosyalari listesine ulasilamasa bile history kayitlarindan, timeout olmus bir oturumdan vs. sunucuda bulunan dosya yollarina erisilebilir. Bu sorunu gidermek icin dosyalari web dizininizin disinda bir yerde tutmali ya da web servisinde dosyalarin bulundugu dizine erisimi engellemelisiniz. Gelen indirme isteklerini de uygulama tarafinda isleyip, yetkilendirme kontrolu yapmali sonrasinda dosyayi uygulamaniz uzerinden kullaniciya iletmelisiniz. Eger buyuk dosyalarla calisiyorsaniz dosyayi okuyup, kullaniciya iletmek verimsiz olacaktir. Bu durumda da X-Sendfile ozelligini kullanabilirsiniz. Iyi calismalar, -- Türker Sezer TS Design Informatics LTD. http://www.tsdesign.info/ skype: tsdesign_info
------------------- Web Uygulama Güvenlik Testleri Eğitimi - 10-12 Haziran 2015 İstanbul www.bga.com.tr -------------------
