-
Copenhagen Book
- Copenhagen Book, web uygulamalarında kimlik doğrulamayı uygulamak için genel rehber sunan ücretsiz ve açık kaynaklı bir projedir
- Topluluk tarafından sürdürülür; zaman zaman öznel veya eksik olabilir, ancak çevrimiçi kaynaklardaki boşluğu doldurmayı amaçlar
- OWASP Cheat Sheet Series ile birlikte kullanılması önerilir
-
Sunucu taraflı token'lar
- Güvenliği artırmak için token'ların sunucu tarafında yönetilmesi yöntemini açıklar
-
Oturumlar
- Kullanıcı oturumlarını yöneterek kimlik doğrulama durumunun kalıcı tutulmasının nasıl sağlanacağını açıklar
-
Parola ile kimlik doğrulama
- Güvenli parola tabanlı kimlik doğrulama yöntemleriyle ilgili yönergeler sunar
-
E-posta ile doğrulama
- E-posta üzerinden kullanıcı doğrulama sürecini açıklar
-
Parola sıfırlama
- Parola sıfırlama işlevinin nasıl uygulanacağını açıklar
-
Rastgele değer üretimi
- Güvenlik için gerekli rastgele değerlerin nasıl üretileceğini açıklar
-
OAuth
- OAuth protokolü kullanılarak kimlik doğrulamanın nasıl uygulanacağını açıklar
-
Çok faktörlü kimlik doğrulama (MFA)
- MFA ile güvenliğin nasıl güçlendirileceğini açıklar
-
WebAuthn
- WebAuthn kullanılarak web kimlik doğrulamasının nasıl uygulanacağını açıklar
-
Siteler arası istek sahteciliği (CSRF)
- CSRF saldırılarının nasıl önleneceğini açıklar
-
Açık yönlendirme
- Açık yönlendirme zafiyetinin nasıl önleneceğini açıklar
-
Şifreleme
- Şifreleme teknikleri kullanılarak verilerin nasıl korunacağını açıklar
-
ECDSA
- ECDSA algoritmasını kullanarak dijital imzaların nasıl uygulanacağını açıklar
-
Bağlantılar
- GitHub deposu, Twitter, OWASP Cheat Sheet Series ve bağış bağlantıları sunar
GN⁺ Özeti
- Copenhagen Book, web uygulamalarında kimlik doğrulamanın uygulanmasına dair kapsamlı rehber sunarak geliştiriciler için faydalı bir kaynaktır
- Farklı kimlik doğrulama yöntemlerini ve güvenliği güçlendirme tekniklerini ele alarak güvenlik anlayışını geliştirmeye yardımcı olur
- OWASP Cheat Sheet Series ile birlikte kullanıldığında daha etkili olur ve güvenlik açıklarının önlenmesine katkı sağlayabilir
- Benzer işlevlere sahip projeler arasında OWASP'ın çeşitli rehberleri ve NIST'in güvenlik önerileri bulunur
1 yorum
Hacker News yorumu
Lucia kütüphanesinin yazarı, artık Lucia'nın kimlik doğrulamayı uygulamak için uygun olmadığını düşündüğü için bunun yerine geçecek bir rehber serisi yayımlamış
Güvenlik kaynaklarının %90'ı uzman olmayanlar için anlaşılması zor, ancak bu rehber açık, özlü ve uygulanabilir
Birçok güvenlik tavsiyesi kapalı ve bazen saçma gelebiliyor, ancak bu rehber taze ve anlaşılması kolay öneriler sunuyor
"auth"un kimlik doğrulama (authn) mı yoksa yetkilendirme (authz) mi olduğunun netleştirilmesi iyi olurdu
UUIDv4'ün çok fazla entropiye sahip olmasına rağmen kriptografik olarak güvenli olmayabileceğinin belirtilmesi etkileyiciydi
Parolalar en az 8 karakter olmalı ve zxcvbn gibi bir kütüphane kullanılarak zayıf parolalar kontrol edilmeli
"Copenhagen Book" adının neden böyle olduğunu bilen var mı?
Kimlik doğrulamayı bir kez uygularsanız her yerde kullanabilirsiniz
Web sitelerinin "çıkış yapana kadar oturumun süresi dolmasın" seçeneği sunmasını isterdim
Harika bir rehber, teşekkürler