Aç, kapa, aç kapa…
Fatih Sarı
YouTube… Aslında bu yedi harfi yazdıktan sonra hiçbir şey yazmamak gerekiyor. Ya da bir kitap yazılabilir bu konuda. Son olarak da Ankara mahkemeleri tarafından bir kez daha kapatıldı. Yaşı yetenler hatırlayacaktır. Bir armatür markasının reklamı başlığımızdaki gibiydi. Ancak onlar bu sloganı; “Bizim armatürlerimizi dilediğiniz kadar açıp kapatın, ilk günkü kalitesi baki kalır” mesajını vermek için kullanıyorlardı.
Biz ise maalesef tam tersi şekilde kullanıyoruz bu sloganı. YouTube’u o kadar çok açıp kapattık ki, artık ne kapatıldığında ne de açıldığında haber değeri buluyor. Ne bizim yazmaya elimiz gidiyor, ne de sizler okuyucu olarak bu haberleri gördüğünüzde ilgi gösteriyorsunuz. YouTube, kısa bir süre sonra açılacaktır, bilmem kaçıncı bir emirle tekrar kapatılana kadar. Siber alemde ülke olarak geldiğimiz nokta işte budur.
Web uygulamalarına saldırılar artıyor,web güvenliği gittikçe önem kazanıyor
Mete Gürkan
Web siteleri günümüzde artık kurumların vitrini ve prestiji haline geldi. Diğer yandan web sitesine yönelik saldırılar her geçen gün artıyor. Bu artışın asıl nedeni ise web sitesi güvenliğinin yeterince ciddiye alınmaması. Geçtiğimiz hafta Bilişimcim şirketinin İstanbul’da düzenlediği “WebGüvenliği” semineri için Türkiye’ye gelen Citrix Web Uygulamaları Güvenliği Çözümleri Uzmanı Guy Rosefelt, aynı zamanda bu alandaki en önemli oluşumlardan OWASP’ın (Open Web Application Security Project-Açık Web Uygulamaları Güvenliği Projesi) da kurucuları arasında. Rosefelt’e önce içinde Citrix’i de temsil ettiği OWASP’ı sorduk. OWASP’ın web uygulama güvenliğinin gelişmesi ve yazılımların daha güvenli olması amaçlı herkese açık bir topluluk olduğunu anlatan Rosefelt OWASP’ın web uygulaması güvenliğine dair dokümantasyon, yazılım ve e-posta listeleri gibi ilgili toplulukların faydalanacakları kaynaklar ve iletişim araçları sağladığını ve dünyada Türkiye’nin de arasında olduğu yüze yakın yerel şubesi olduğunu ifade etti. OWASP’ın 2007’de gelecek yıl için web güvenliğindeki en kritik 10 zayıflığı listelediğini belirten Rosefelt, bu listede siteler arası betik yazma ve enjeksiyon açıklarının ilk iki sırada yer aldığını dile getirdi. Rosefelt, “XSS açıkları uygulama kullanıcıdan veri alıp bunları herhangi bir kodlama ya da doğrulama işlemine tabi tutmadan sayfaya gönderilmesi ile oluşur. XSS saldırganın kurbanın tarayıcısında kullanıcı oturumları bilgilerinin çalınmasına, web sitesinin tahrif edilmesine veya solucan yüklenmesine sebep olan betik çalıştırmasına izin verir. Enjeksiyon saldırılarına da web sitelerinde sıkça rastlanıyor. Enjeksiyon, kullanıcı tarafından alınan verinin yorumlayıcıya komut ya da sorgunun bir parçası olarak gönderilmesi durumunda oluşur” dedi.
Türkiye için henüz erken
Web güvenliği konusunda birkaç yıl öncesine kadar farkındalığın çok az olduğunu söyleyen Rosefelt, eskiden bu konudaki çözümler hakkında ne gerek var ki diyen tüm şirketlerin artık bu alana yoğun yatırım yaptığını ifade etti. Rosefelt, son 4-5 yıl içinde web uygulamalarına yönelik saldırıların çığ gibi büyüdüğüne dikkat çekerken, şunları söyledi: “Örneğin iki hafta önce çok ciddi bir enjeksiyon saldırısı oldu. Dünya çapında birçok site bundan etkilendi, buraya geldiğimizde Türkiye’de de birçok sitenin bu saldırıdan zarar gördüğünü, bunun da farkında olmadıklarını gördük. Türkiye’de dil ve yazı karakteri farkından dolayı bazı saldırılar etkisiz kalıyor. Türkiye'nin web güvenliğinde henüz erken aşamalarda olduğunu düşünüyorum.” Web 2.0 ile risklerin çoğalacağına dikkat çeken Rosefelt, güvenlik kodları yazan geliştiricilerin eğitiminin ve niteliğinin çok önemli olduğunu belirtti ve Alman geliştiricilerin bu noktada en güvenli kodları yazdığını söyledi. Rosefelt, Citrix için Türkiye’nin dinamik bir pazar olduğunu ve bölgede Birleşik Arap Emirlikleri ile birlikte Türkiye’nin en hızlı gelişen pazarları olduğunu sözlerine ekledi.
OWASP’ın 2008 en kritik 10 web uygulaması güvenlik zayıflıkları listesi
- Siteler arası betik yazma (Xss)
- Enjeksiyon açıkları
- Zararlı dosya çalıştırma
- Emniyetsiz doğrudan nesne referansı
- Siteler ötesi istek sahteciliği (CSRF)
- Bilgi sızıntısı ve uygunsuz hata işleme
- İhlal edilmiş kimlik doğrulama ve kimlik yönetimi
- Güvensiz kriptografik depolama
- Güvensiz iletişimler
- Url erişimini kısıtlamada bozukluk
Kaynak:BThaber