Web 2.0 uygulamalarında yükselen trendelerdeki güvenlik sorunları

Web 2.0 Canımız & Kanımız O heryerde Yeni model bu İkinci dotcom çılgınlığı, hem de bu

sefer patlamayacak gibi...

Web 2.0 Trendleri

Usability – Kullanılabilirlik Simplicity - Basitlik Sociability - Sosyal Aksiyonlar Integration - Entegrasyon Outsourcing - Dış Sistemlerin Aktif

Kullanmı

Kullanılabilirlik & Basitlik

KISS - Keep It Simple & Stupidyerine

KISSS - Keep It Simple, Stupid & Secure

Sadece “Stupid”

Şu anki şifreyi sormadan yeni şifre tanımlamaya izin verme

Web 2.0 Günahkarı: Twitter

Sonuçlar Hesapların tamamen ele geçirilebilmesi

Sadece “Stupid” – şifre pls. Bana Hotmail Şifreni ver ben de senin

adres defterine spam göndereyim!

Web 2.0 Günahkarı: Bebo, Facebook, Diigo ve tüm diğer sosyal

hoppalık içeren Web 2.0 uygulamaları

Online bankamızın şifresini soracak ilk Web 2.0 uygulamasını bekliyoruz (Hmm! Zaten bir tane var! – mint.com)

Sadece “Stupid” – beni unutma “Beni hatırla” adı altında kullanıcıyı

hatırlama özelliği

Web 2.0 Günahkarı: Herkes!

Sonuçlar Cross-site Scripting ve bir dizi başka

atakların başarı ihtimalini yükseltmek.

Sadece “Stupid” – gönder gelsin Şifreyi ekstra bilgi olmadan e-mail

adresine gönderme

Web 2.0 Günahkarı: Herkes!

Sonuçlar E-mail’ ı ele geçiren birinin tüm

hesaplarının bir anda yok olması ve kimlik hırsızlığı için bir numara seçim.

Sadece “Stupid” – password1 Şifre seçimini limitlemek. 8

karaketerden fazla şifre seçtirmeme!

Web 2.0 Günahkarı: Pekçok!

Sonuçlar Güvenli olmak isteyen birini güvensiz

olmaya zorlamak! KISS’ in bu noktaya gelmesi içler acısı...

Sociability

Kevin Mitnick’ in Web 2.0 ye bayıldığına eminim.

Sosyal Aksiyonlar – Dün akşam neredeydin? Çok fazla kişisel bilgi!

Web 2.0 Günahkarı: Linkedin, youtube, twitter, facebook,

bloglar, sizin fotoğrafınızı çekip flickr’ a gönderen manyak, “transparan” firma blogları vs.

Sonuçlar Sosyal mühendislik saldırılarının artık

çok daha kolay olması...

Entegrasyon – Al bu API’ yi beni hackle Gereğinden güçlü API’ lar, Facebook

widgetları, RSS manyaklığı!

Web 2.0 Günahkarı: Facebook, Feedburner.

Sonuçlar Sitelerin ekstradan entegrasyon için

verdiği bu API’ ların siteyi ve kullanıcılarını hacklemek için kullanılması.

Outsourcing – yapılmışı var! Çok fazla dışarıdan component kullanma

ve ekstra güven sınırları belirlemel

Web 2.0 Günahkarı: Blogosphere, video embedding, flash

embedding, widgets, stats, dışarıdan eklenen javascriptler yani ... tüm yeni siteler.

Sonuçlar Saldırı alanının büyümesi, bir sitenin

güvenliğinin sağlanabilmesi için 10 sitenin güvenli olmasının gerekmesi.

SSL ?

Herkes SSL’i unuttu!

Web 2.0 Günahkarı: Gmail bunu yapıyordu, diğer bir çok Web

2.0 uygulaması da aynı.

Sonuçlar Malum...

“Best Practice” mi dedin? Agile Programlamanın artışı, Dead-line’ ların kısalması, Paranın Nakit olması, Yeni teknolojilerde güvenli best

practice’ lerin bilinmemesi

Güvenlik Ürün Satmıyor!

MS Vista ile kanıtladı ki : “Security doesn’t sell”

Web 2.0 için de bu kural bir istisan değil, maalesef

Web 2.0 Takipçileri

Web 2.0 günahkarlarını takip eden tüm yeni Web 2.0 uygulamaları da her gün internete yeni bir Web 2.0 uygulaması ekliyor.

Güvenlik...

Uygulamalarınızı önce güvenlik sonra Web 2.0 yapın

Sorular ve Fikirler ?

@fmavituna RIATalks’ taki konusmasini bitirdi ve simdi dinleyicilerin sorularini dinliyor….

Teşekkürler...