Laravel Türkiye Discord Kanalı Forumda kod paylaşılırken dikkat edilmesi gerekenler!Birlikte proje geliştirmek ister misiniz?

Base64 Kodlaması

okanzen1

Projemde kullanılan tokenlerin (örneğin, XSRF ve Admin tokenleri gibi) Base64 kodlaması kullanıyorum.
Bu durum, saldırganların bu tokenleri ele geçirip çözebileceği anlamına gelebilir mi? Yetkisiz erişim elde edilebilinir mi?
Özellikle, XSRF saldırılarına karşı ciddi bir tehdit oluşturabilir mi? Konuyla ilgili ne yapılabilir?

mgsmus

okanzen1 İstemci ile sunucu arasında sadece kullanıcının kullanabileceği bir yapı olmadığı sürece token ya da şifreyi şifrelemenin bir anlamı yok. Mesela kullanıcının bilgisayarında, modeminde vs bir yazılım ya da bir donanım olsaydı, token önce bu ara araçlar aracılığıyla şifresi çözülüp sunucuya iletilebilseydi, yani sadece o bilgisayardan ve/veya o ağdan kullanılabilseydi dediğiniz olurdu. Öteki türlü şifreli tokenı da şifreli bir biçimde sunucuya her yerden gönderebildiğiniz için şifrelemenin bir anlamı yok. Siz şu an kendi tarafınızdaki güvenliği değil ziyaretçinin kendi sağlaması gereken güvenliğini düşünüyorsunuz. Siz en fazla 2FA vs kullanırsınız ama kullanıcı token aldıktan sonra onu başkasına kaptırırsa yine sizin yapabileceğiniz bir şey yok.

ragmus

Base64 salt ile kullanılırsa bir nebze işe yarayabilir ama sadece base64 kullanmak şifre veya koruma anlamında hiçbir şey ifade etmiyor. Bunun yerine aes kullanabilirsiniz ancak tokenler zaten geçici süreliğine oluşuyor ve zaten frontend tarafında açık şekilde kullanılıyor bu yüzden tokenlerin sifrelenmeye ihtiyacı yok diye düşünüyorum.