- Katılım
- 22 Mart 2018
- Mesajlar
- 9.703
- Makaleler
- 1
- Çözümler
- 81
Sen bunu sifre saklamak icin istemiyor musun? Sifrenin ne oldugunu bilmene gerek yok. One-way encryption yapacaksin. ( crypto hashing )
Bunu da md5, sha128 gibi hizli hashing fonksiyonlari ile yapmayacaksin ve salt kullanmalisin.
Ne DH'a ne de AES'e bu yuzden ihtiyacin yok, gerek de yok; cunku guvenligi azaltir. Sezar zaten sifreleme degil, o oneri ya trolluyor ya da haberi yok dunyadan.
Kullanacagin key de kodda tutulmaz, network'de simetrik sifreleme key'i paylasilmaz (bkz MITM saldirisi) remote server sana aciktan AES key'i gondermez zaten senin AES key'ini baska remote server da bilmemeli. ECC memory de de sifrelenip saklanir. Sunucunun kullandigi memory'ye baska uygulamalar erisebilirler root yetkisi varsa, bunu bilemezsin eger hosting tamamen sana ait degilse. Oyle kredi karti bilgilerini falan String'e yazayip calistirayim bunlar amator isler.
Hassas bilginin RAM'de kisa sureli de olsa tutulmasi bile basli basina risklidir -> CWE - CWE-316: Cleartext Storage of Sensitive Information in Memory (4.12)
O halde nasil yapicam diye soruyorsan, once her seyi koda yazip; bastan uca sifrelemenin calistigini gorup sonra adim adim KMS sistemleriyle entegre olmayi ve volatile RAM kullanimini ogrenebilirsin.
Son düzenleme:
