Upload
ferruh-mavituna
View
907
Download
0
Embed Size (px)
DESCRIPTION
Web 2.0 uygulamalarinda goz ardi edilen guvenlik sorunlari.
Citation preview
Web 2.0 uygulamalarında yükselen trendelerdeki güvenlik sorunları
Web 2.0 Canımız & Kanımız O heryerde Yeni model bu İkinci dotcom çılgınlığı, hem de bu
sefer patlamayacak gibi...
Web 2.0 Trendleri
Usability – Kullanılabilirlik Simplicity - Basitlik Sociability - Sosyal Aksiyonlar Integration - Entegrasyon Outsourcing - Dış Sistemlerin Aktif
Kullanmı
Kullanılabilirlik & Basitlik
KISS - Keep It Simple & Stupidyerine
KISSS - Keep It Simple, Stupid & Secure
Sadece “Stupid”
Şu anki şifreyi sormadan yeni şifre tanımlamaya izin verme
Web 2.0 Günahkarı: Twitter
Sonuçlar Hesapların tamamen ele geçirilebilmesi
Sadece “Stupid” – şifre pls. Bana Hotmail Şifreni ver ben de senin
adres defterine spam göndereyim!
Web 2.0 Günahkarı: Bebo, Facebook, Diigo ve tüm diğer sosyal
hoppalık içeren Web 2.0 uygulamaları
Online bankamızın şifresini soracak ilk Web 2.0 uygulamasını bekliyoruz (Hmm! Zaten bir tane var! – mint.com)
Sadece “Stupid” – beni unutma “Beni hatırla” adı altında kullanıcıyı
hatırlama özelliği
Web 2.0 Günahkarı: Herkes!
Sonuçlar Cross-site Scripting ve bir dizi başka
atakların başarı ihtimalini yükseltmek.
Sadece “Stupid” – gönder gelsin Şifreyi ekstra bilgi olmadan e-mail
adresine gönderme
Web 2.0 Günahkarı: Herkes!
Sonuçlar E-mail’ ı ele geçiren birinin tüm
hesaplarının bir anda yok olması ve kimlik hırsızlığı için bir numara seçim.
Sadece “Stupid” – password1 Şifre seçimini limitlemek. 8
karaketerden fazla şifre seçtirmeme!
Web 2.0 Günahkarı: Pekçok!
Sonuçlar Güvenli olmak isteyen birini güvensiz
olmaya zorlamak! KISS’ in bu noktaya gelmesi içler acısı...
Sociability
Kevin Mitnick’ in Web 2.0 ye bayıldığına eminim.
Sosyal Aksiyonlar – Dün akşam neredeydin? Çok fazla kişisel bilgi!
Web 2.0 Günahkarı: Linkedin, youtube, twitter, facebook,
bloglar, sizin fotoğrafınızı çekip flickr’ a gönderen manyak, “transparan” firma blogları vs.
Sonuçlar Sosyal mühendislik saldırılarının artık
çok daha kolay olması...
Entegrasyon – Al bu API’ yi beni hackle Gereğinden güçlü API’ lar, Facebook
widgetları, RSS manyaklığı!
Web 2.0 Günahkarı: Facebook, Feedburner.
Sonuçlar Sitelerin ekstradan entegrasyon için
verdiği bu API’ ların siteyi ve kullanıcılarını hacklemek için kullanılması.
Outsourcing – yapılmışı var! Çok fazla dışarıdan component kullanma
ve ekstra güven sınırları belirlemel
Web 2.0 Günahkarı: Blogosphere, video embedding, flash
embedding, widgets, stats, dışarıdan eklenen javascriptler yani ... tüm yeni siteler.
Sonuçlar Saldırı alanının büyümesi, bir sitenin
güvenliğinin sağlanabilmesi için 10 sitenin güvenli olmasının gerekmesi.
SSL ?
Herkes SSL’i unuttu!
Web 2.0 Günahkarı: Gmail bunu yapıyordu, diğer bir çok Web
2.0 uygulaması da aynı.
Sonuçlar Malum...
“Best Practice” mi dedin? Agile Programlamanın artışı, Dead-line’ ların kısalması, Paranın Nakit olması, Yeni teknolojilerde güvenli best
practice’ lerin bilinmemesi
Güvenlik Ürün Satmıyor!
MS Vista ile kanıtladı ki : “Security doesn’t sell”
Web 2.0 için de bu kural bir istisan değil, maalesef
Web 2.0 Takipçileri
Web 2.0 günahkarlarını takip eden tüm yeni Web 2.0 uygulamaları da her gün internete yeni bir Web 2.0 uygulaması ekliyor.
Güvenlik...
Uygulamalarınızı önce güvenlik sonra Web 2.0 yapın
Sorular ve Fikirler ?
@fmavituna RIATalks’ taki konusmasini bitirdi ve simdi dinleyicilerin sorularini dinliyor….
Teşekkürler...