Challence & Response ile Parola Gönderimi

Kullanıcının parola girdiği formlarda, parola sunucuya açık metin (clear text) olarak gönderilir. Eğer tüm uygulama güvenli protokol (https) ile korunuyor ise bu bir sorun teşkil etmez.

Güvenli protokol kullanılmadığı durumlarda parolanın sunucuya güvenli bir şekilde gönderilebilmesi için "Challence/Response" adı verilen bir teknik uygulanır. Bu tekniğe göre sunucu her defasında farklı bir challence (bir tür kod) gönderir. Kullanıcının girdiği parola ise tarayıcı tarafından bu değer kullanarak MD5 ile şifrelenir ve sunucuya öyle gönderilir.

Herhangi bir şekilde ağ dinlemesi yapılarak bu şifrelenmiş parola ele geçirilse bile tekrar kullanılamayacağı için işe yaramaz.

Kütüphanenin "Security > Extra > ChaResp" dalı altında bulunan elemanlar bu tekniğe göre korunmuştur. Kullanımı oldukça basittir. Aşağıdaki tabloda verildiği gibi aynı adlı normal elemanlar yerine "Challence & Response" elemanları kullanılmalıdır.

Normal Eleman	Challence & Response Elemanı
Security > ChangePassword	Security > Extra > ChaResp > ChangePassword
Security > CreateNewUser	Security > Extra > ChaResp > CreateNewUser
Security > Login	Security > Extra > ChaResp > Login
Security > ReldbSecurityBroker	Security > Extra > ChaResp > ReldbSecurityBroker
Security > ResetPassword	Security > Extra > ChaResp > ResetPassword

Önemli Not: Şifreleme tekniğinin farklı olması nedeni ile mevcut sistem üzerine uygulanamaz. Kullanıcı kayıtlarının yenilenmesi gereklidir.

Elemanlar

Normal elemanlardan türetilmiş olan ChaResp elemanları hakkında yardım için normal elemanlara başvurabilirsiniz.