zall

  1. 32
    resmen bir fiyaskoya imza atmış kişi.

    açıklayalım.

    günümüzde sitelerin hacklenmesi artık doğal şeyler. pek çok ünlü site en az bir kez hacklenmiştir. ancak sorun hacklenmekte değil. hacklenen bir sitenin kullanıcı şifrelerinin çalınabilmesi asıl fiyasko. normalde günümüzde kurulan en dandik sitede bile kullanıcı şifreleri çalınamaz. çünkü kullanıcı şifreleri kaydedilmez.

    nasıl yani? kullanıcı şifreleri nasıl kaydedilmiyor ya?

    bunu açıklamak için kısaca "hash"den bahsetmek lazım. bazı çok karmaşık formüller var diyelim. lise matematiğindeki fonksiyonlar gibi düşünün. bu çok özel formüller, her bir metin işin ayrı bir "hash" yani anlamsız uzun bir metin oluşturmaya yarıyor. mesela:

    f(ali) = 86318e52f5ed4801abe1d13d509443de
    f(123456) = e10adc3949ba59abbe56e057f20f883e

    ve bu çok özel fonksiyonların çok özel bir yanı var. bu fonksiyonlar geriye doğru çalıştırılamaz. yani siz 86318e52f5ed4801abe1d13d509443de sonucunu kullanarak, "ali"yi bulamazsınız.

    işte günümüzde çoğu web sitesi bu özel fonksiyonları(aslında algoritmaları) kullanır.

    1) siz kayıt olurken şifrenizi "mahmut" olarak seçersiniz. "mahmut"'un hash'i bulunur:
    cd9d1e578dd59cb70e6342358f77de72
    2) siz kayıt olurken bu hash kaydedilir, şifreniz kaydedilmez.
    3) siz giriş yapmak istediğinizde, yazacağınız şifrenin hash'i oluşturulur. eğer kaydedilmiş hash ile aynıysa, giriş yapabilirsiniz. Eğer kaydedilmiş hash ile, yeni girdiğiniz şifrenin hash'i aynı değilse, şifre yanlış demektir.

    peki bir hacker siteyi hacklerse ne bulur? veritabanını ele geçirse bile sadece şifrenizin hash'inin cd9d1e578dd59cb70e6342358f77de72 olduğunu öğrenebilir. ve başta dediğim gibi, hash'den yola çıkarak şifrenizi bulamaz.

    elbette kimileri tüm olası şifrelerin hashlerini üretip depolayarak, veritabanından çaldığı hashlerle karşılaştırabilir, bu nedenle de "salt" adı verilen bir anahtar kelime kullanılır ancak bundan bahsedip kafaları karıştırmaya gerek yok.

    diyeceğim o ki, günümüzde hemen hemen kimse kullanıcıların şifrelerini depolamaz. hash'lerini depolar ki veritabanına giren kimse kullanıcıların şifrelerini öğrenemesin. bu kutup sözlük'de de böyledir, ekşi'de de böyledir,kıytırık wordpress bloglarında da böyledir. ancak gelin görün ki türkiye'nin en çok girilen sitelerinden biri olan uludağsözlük'de şifreler hash'lenmeden depolanabiliyor. bu bir skandaldır. muhtemelen kulağınıza geldiğinden çok daha korkunç bir şeydir. zall bu derece ne yaptığından habersizse eğer, o sitenin yazarları daha çok çekecek demektir.