Parolada kullanılamayan kelimeler: select, insert, update, delete, drop

 (id.uni-lj.si)
2 puan yazan GN⁺ 2024-01-22 | 1 yorum | WhatsApp'ta paylaş

Dijital kimlik parola sıfırlama

  • Dijital kimliğinizi etkinleştirdikten sonra parolanızı unuttuysanız, bu sayfa üzerinden parolanızı sıfırlayabilirsiniz.
  • Kişisel bilgilerinizi aşağıdaki forma girmeniz gerekir ve kullanıcı adınızı biliyor olmalısınız.
  • Kullanıcı adı bir e-posta adresine benzer; örneğin jn1234@student.uni-lj.si gibi.
  • Hem kullanıcı adınızı hem de parolanızı unuttuysanız, üniversitenin yardım masasıyla iletişime geçmeniz gerekir.

Kişisel bilgi girişi

  • Dijital kimliğin veritabanında bulunabilmesi için kişisel bilgiler gereklidir.
  • Ad, soyad, doğum tarihi, öğrenci ID'si ve bağlı olunan fakülte zorunlu olarak girilmelidir.
  • Fakülte seçiminde Güzel Sanatlar ve Tasarım Akademisi, Müzik Akademisi, Tiyatro, Radyo, Film ve Televizyon Akademisi gibi çeşitli seçenekler vardır.

Kullanıcı adı ve yeni parola belirleme

  • Kullanıcı adı bir e-posta adresi gibi görünür; örneğin John Smith'in kullanıcı adı js1234@student.uni-lj.si olur.
  • Güçlü bir parola seçmeli ve bunu hatırlayabilmelisiniz; kolay tahmin edilebilen parolalardan kaçınmalısınız.
  • Parola en az 10 karakter olmalı, adınızı içermemeli ve şu 4 ölçütten en az 3'ünü karşılamalıdır: İngilizce büyük harf, İngilizce küçük harf, rakam, özel karakter (-_.+@).
  • Parola script, select, insert, update, delete, drop, --, ', /*, */ gibi karakter dizilerini içermemelidir.
  • Yazım hatalarını önlemek için parolayı iki kez girmeniz gerekir.

GN⁺ görüşü

  • Bu sayfa, dijital kimlik parolasını unutan kullanıcıların parolalarını kolayca sıfırlayabilmesine yardımcı olur.
  • Güçlü parola belirleme kuralları, kullanıcının dijital bilgilerini korumada önemli bir rol oynar.
  • Kullanıcı adı ve parola unutulduğunda üniversitenin yardım masasıyla iletişime geçme prosedürü, kullanıcının ek destek alabileceği bir yol sunar.

İlgili okumalar

1 yorum

 
GN⁺ 2024-01-22
Hacker News görüşleri

  • Bir geliştiricinin, yöneticisinin isteği üzerine belirli dizeleri eklediğine dair hikâyesi. Söz konusu site parolaları saklamıyor ve harici hesap yönetimi için bir arayüz sağlıyor. Eski bir uygulamada, belirli dizeleri içeren parolalarla giriş yapılamamasına yol açan garip doğrulamalar olabileceğine dair söylentiler var, ancak somut bir örnek bilinmiyor.

  • Çocukluğunda büyük bir sosyal platformu hack'leme deneyimini anlatan bir yorum. Yasaklı kelimeleri basitçe kaldırma yönteminden yararlanarak geçerli HTML etiketleri enjekte etmiş ve sayfayı ziyaret eden insanları kontrol etmiş.

  • Bazı durumlarda bu tür gereksinimlerin iyi bir fikir olduğunu düşünen bir görüş. Pek çok insan kötü kod ve sistem mimarisi yazıyor ve bunu yakalayıp değişimi zorlayacak yeterli yetkinliğe, kurumsal güce ve zamana sahip kişi sayısı az. ABD'de, berbat kodlanmış web siteleri üzerinden iş yapmak zorunda kalınabiliyor. Bu durumda, uygulamanın çoğu zaman olduğu gibi korkunç olacağını varsayıp buna uygun hafifletici önlemler önermenin daha iyi olabileceği söyleniyor.

  • SQL enjeksiyonunu tamamen önlemek için uygun stored procedure'ler ve teknikler kullanmak yerine, birkaç anahtar kelimeyi kısıtlayıp hacker'ların aklına gelmeyen bir şey üretmemesini uman yaklaşıma yönelik eleştiri. Yıl 2005 değil; kullanıcı girdisinin SQL ile karışmamasını sağlamak artık roket bilimi sayılmaz. Parolaları şifrelemeden saklamak ise 2005'te bile aptalcaydı.

  • Bunun yerine truncate kullanacağını söyleyen bir yorum.

  • Bunun eski sistemlerden kaynaklanmış gibi göründüğünü söyleyen bir görüş. Bazı üniversiteler ve bankalar merkezi kimlik doğrulama için eski mainframe sistemleri kullanıyor ve parolaları düz metin olarak saklayıp 8 karakter ve yalnızca büyük harf ile sınırlayabiliyor. Bu sistemlerin yükseltilmemesinin başlıca nedenleri maliyet ve karmaşıklık.

  • Yasaklı dizelerin hepsinin kontrol edilmediğine dair bir öğrencinin deneyimi.

  • İş sırasında bu tür gereksinimler oluşturmak zorunda kaldığını anlatan bir kişinin hikâyesi. Tüm dizeler uygun şekilde escape edilmeli ve SQL enjeksiyonu saldırılarından kaçınmak için parametreli sorgular kullanılmalı; ancak savunmayı derinleştirmek adına, SQL veya HTML gibi görünen kodun tüm alanlarda reddedilmesi gerektiği söyleniyor.

  • Kendi parolasının asla yakalanmayacağından emin bir yorum.

  • Bu tür gereksinimlerin aşırı hevesli bir WAF'ten (web uygulaması güvenlik duvarı) kaynaklanmış olabileceğine dair iyimser bir tahmin.