OTP uygulamaları hakkında bilgi ve yardım
Kayıtlı olduğum bir satış sitesinin bir arayüzüne girebilmem için
otp kodu istiyor ve bunu mobil uygulama indirerek oraya gerekli
bilgileri girerek sağlayabiliyorum. Birden fazla hesap olduğu
için farklı uygulamalar kullanmamız gerekti. Hangi uygulama
hangi hesap için vardı ya da hangi telefondaydı durumu biraz
fazla zaman almaya başladı. Araştırmalarıma göre o uygulamaların
güvenlikleri için bilgilere erişip bir sitede sayfa olarak
gösteremiyorum. (Yapılabiliyorsa bu konuda da bilgilere açığım)
Bunun için bir mobil uygulama yapmak istiyorum ama hiç bilgim
yok ve doğru düzgün kaynak bulamadım bu konuda yardıma
ihtiyacım var. Yardımcı olabilir misiniz?
O uygulamanın algoritmasını bilmeden buna cevap veremeyiz.
Eğer uygulama kullanmayı zorunlu tutuyorlarsa sanırım
bildirim yoluyla gönderiyorlar otp kodunu. Bu bildirimi
alabilmen için o uygulamayı kullanmak zorundasın çünkü
bildirimi gönderen sistem (belki firebase) doğrudan
o uygulamaya yönlendirilmiştir.
Eğer otp kodu sms yoluyla geliyorsa belki tarayıcıyı
mobil uygulama gibi gösterip login ekranını görüntülemek
mümkün olabilir ama yine o sitenin kurgusunu bilmek lazım.
Eğer otp kodunu web sitesinde gösteriyor ve uygulamanın
login ekranında web sayfasındaki kodu yazmanı istiyorsa
belki de web tarafında hiç login sayfası yoktur veya
o uygulamadan gönderilen bazı şifreli bilgiler olmadan
web'deki login ekranına erişim engellenmiştir. Bu durumda
yine yazacağın mobil uygulamayla o ekranı görüntülemen
mümkün olmaz.
Türlü hack denemeleri yapılabilir ama yapmamak gerek.
Belli ki her hesabın sadece 1 kullanıcısı olsun istiyorlar.
Böylece, giriş yapmak isteyen kişi kimse zaten telefonu da
yanındadır ve kendi hesabına kolayca giriş yapabilir.
Aksi halde sanırım en uygun yol 1 kullanıcının birkaç farklı
hesaba tek uygulama üzerinden girebilmesi için ilgili
firmayla iletişime geçip geliştirme yapmaları istenebilir.
Muhtemelen bu tahminlerimin hiçbiri tutmadı. Sitenin
kurgusunu tahmin ederek bir yanıt vermem mümkün değil.
Ama soruna yanıt olarak, kendi uygulamanı yazman bu sorununu
çözmeyecektir çünkü uygulama ile sunucu muhakkak
o uygulamaya özgü ve değişken bir şifreleme ile
haberleşiliyordur. Sen türlü yazılımlar kullanarak o
uygulamadan sunucuya atılan istekleri görüp aynı istekleri
kendi uygulamandan sunucuya atamazsın. Çünkü o isteklerde
muhakkak uygulama içindeki verileri de içeren bir token
bulunuyordur. Sen sunucuya header değişiklikleri ile
kendini o uygulama gibi gösterip token'ı da isteğe
eklediğinde, yine de güvenlik önlemine takılacaksın.
Çünkü token, uygulama içinde şifreleniyor ve bu şifrenin
nasıl açılacağını sadece uygulama ve sunucu biliyor. Haliyle
bu token'ı taklit etmen mümkün değil.
Tabi sistemde böyle güvenlik önlemleri almamış da olabilirler.
Belki de PostMan üzerinden header değişiklikleriyle yapacağın
basit bir login isteğine yanıt verecektir, kim bilir...