Authorization Best Practices
Web ACL Best Practices
Apache Authorization
Özel bir URL'e kullanıcı erişimini kontrol etmek için 2 direktif var:- "Directory" direktifi: Kullanıcı erişimi kontrolü dosya yollarına dayalı ise kullanılır.
- "Location" direktifi: Kullanıcı erişimi kontrolü URL'e dayalı ise kullanılır.
IIS Authorization
Web sayfaları ve dizinlerinin erişim kontrolünü yönetmek için IIS administration tool (iisadmin.msc).Web Authorization/Session Token Security
- SSL kullan
- "Set-Cookie" response header'ının "Secure" parametresini kullanan cookieleri işaretle (her RFC 2109 için)
- Kişisel olarak hassas veriyi token içinde tutma.
- Yetkinin değiştiği durumlarda oturum ID'sini tekrar oluştur.
- Replay saldırılarına kapıyı kapatmak için oturumlara zaman sınırı koy.
- Eş zamanlı login olabilmeye sınır koy. Birden fazla authenticated oturum açmasına izin verme kullanıcının.
Security Logs
Default olarak web sunucular ve işletim sistemleri log tutarlar fakar var olan haliyle bu loglama yetersizdir.- Kullanıcı profili değişiklikleri loglanmalı.
- Şifre değişiklikleri loglanmalı, hatta bu değişiklik kullanıcının bilinen en geçerli mail adresine bildirilmeli.
- Kullanıcının başka bir kullanıcı profilini değiştirmesi loglanmalı.
Hiç yorum yok:
Yorum Gönder