İstemci Taraflı MD5 ile Yüksek Güvenlik

0 dakikada yazıldı

10719 defa okundu

Düzenle

Herhangi bir web sitesi ile kullanıcı (istemci) arasındaki web trafiği
normal şartlarda şifrelenmemiş (enkript edilmemiş) olarak aktarılır. Bu
durum esasen ciddi bir güvenlik açığı olabilir. İstemci bilgisayar ile
sunucu arasındaki ağ trafiğini yakalayabilen biri bu trafik üzerinden
geçen veriyi ele geçirerek kötü amaçlarla kullanabilir. Bu açığı
engellemek amacıyla özellikle E-Ticaret sitelerinde SSL uygulaması
yapılır. https ile başlayan adreslerinden tanıyabileceğimiz bu web
sitelerinde istemci ile sunucu arasındaki trafik enkript edilir. Böylece
ağ trafiğinin yakalanması halinde bile herhangi bir şekilde söz konusu
veri kullanılamayacaktır.

Peki SSL kullanılamayacak, ufak bütçeli projelerde en azından önemli
verileri kullanıcıdan (istemci) alırken enkript etme şansımız yok mu?
Varsayalım web sitemizin bir kullanıcı giriş sayfası var ve kullanıcımız
birer TextBox kontrolüne kullanıcı adını ve şifresini yazıyor. Bir
sniffer yazılımı kullanarak ağ trafiğini yakaladığımızda aşağıdaki
şekilde şifreyi ele geçirebiliyoruz.

{"Sifre":"GizliSifrem"}

Oysa bu şifreyi istemci tarafında JavaScript kütüphaneleri ile anında
MD5 algoritması ile enkript ederek sunucu tarafına gönderme şansımız
var. Böyle bir durumda sniffer yazılımı kullandığımızda karşımıza çıkan
sonuç aşağıdaki gibi.

{"Sifre":" afb5bcf186d39b00d94917df57b9c593 "}

Şimdi gelin bu işi nasıl yapacağımıza yakından bir göz atalım. İlk
olarak Paul Johnston tarafından hazırlanmış olan MD5 JavaScript
kütüphanesini aşağıdaki adresten bilgisayarımıza indirelim.

http://pajhome.org.uk/crypt/md5/

Örneğimizde bir ASP.NET AJAX projesi üzerinden çalışacağımız için
bilgisayarımıza indirdiğimiz JavaScript dosyamızı web sayfamızdaki
ScriptManager’a ScriptReference olarak tanımlayacağız. Böylece
JavaScript dosyası sayfamıza linklenmiş olacak.

      <asp:ScriptManager EnablePageMethods="true" ID="ScriptManager1" runat="server">
        <Scripts>
          <asp:ScriptReference Path="md5.js" />
        </Scripts>
      </asp:ScriptManager>

Kütüphane içerisindeki hex_md5(); metodunu kullanıyor olacağız. Söz
konusu metod String tipinde bir parametre alarak geriye şifrelenmiş
Hex-String döndürüyor. Örneğimizde şifre kontrol işlemi için bir
ASP.NET AJAX PageMethod kullanacağız. Sayfaya giriş için
kullanacağımız Giriş düğmesi ve Şifre, Kullanıcı adı TextBox'ları bir
UpdatePanel içerisinde yer alacak.

      <script language="javascript" type="text/javascript">
      function
KontrolEt()

      {
        // Sayfada
Sifre TextBox'ına girilmiş şifreyi alıyoruz.

        var Pass
= $get("Sifre").value;

        // Şifreyi
şifreliyoruz.

        var MD5
= hex_md5(Pass);

        //
GirisKontrol PageMethod'unu çalıştırarak kullanıcıyı kontrol
ediyoruz.

        PageMethods.GirisKontrolu(MD5,
Oldu);

      }
      function
Oldu(Sonuc)

      {
        // PageMethod
tarafından döndürülen Evet/Hayır sonucunu mesaj kutusu ile
gösteriyoruz.

        alert(Sonuc);
      }
      </script>
      <asp:UpdatePanel ID="UpdatePanel1" runat="server">
        <ContentTemplate>
         <asp:TextBox ID="Adi"
runat="server"></asp:TextBox>
         <asp:TextBox ID="Sifre"
runat="server"></asp:TextBox>

         <input id="Giris"
type="button" value="Giris" onclick="KontrolEt();" />

        </ContentTemplate>
      </asp:UpdatePanel>

Sunucu tarafına baktığımızda ise elimizdeki gerçek şifreyi istemciden
gelen enkript edilmiş şifre ile karşılaştırmak üzere enkript ediyor
olacağız. Biz örneğimizde gerçek şifreyi veritabanından vs çekmeyeceğiz.
Onun yerine ben GerçekŞifrem metnini şifre olarak kullanacağım. Siz
projelerinizde bu metni kullandığınız veritabanlarına bağlayabilirsiniz.
Aşağıda sunucu taraflı yazmış olduğumuz AJAX PageMethod kodu yer alıyor.

<System.Web.Services.WebMethod()> _
  Shared FunctionGirisKontrolu(ByVal Sifre As String)
As Boolean

    'Şifremizi
IOStream objesine çevirecek olan encoder objesini
tanımlayalım.

    Dim encoder
As New UTF8Encoding()

    'MD5 Servisine
ulaşalım.

    Dim MD5
As New
System.Security.Cryptography.MD5CryptoServiceProvider

    'Doğru şifreyi
enkript edelim.

    Dim
GercekSifre As Byte() =
MD5.ComputeHash(encoder.GetBytes("GerçekŞifrem"))

    'Gerçek Şifremizi
HEX'e çevirelim.

    Dim Dogru
As New StringBuilder()

    For i As Integer
= 0 To GercekSifre.Length - 1

      Dogru.Append(GercekSifre(i).ToString("x2"))
    Next
i

    'Enkript edilmiş
doğru şifre ile istemciden gelen enkript edilmiş şifreyi
karlılaştıralım..

    If
Dogru.ToString = Sifre Then

      Return
True

    Else : Return False
    End If
  End Function

Hepsi bu kadar. Artık istemci tarafında girilen tüm şifreler enkript
edildikten sonra sunucuya kontrol için gönderiliyor olacak. Böylece
istemci ile sunucu arasındaki hiçbir yazılım veya donanım söz konusu
şifreyi ağ trafiği üzerinden yakalasa bile tam olarak ne olduğunu
anlayamayacaktır.

Hepinize kolay gelsin.