Pazartesi, Nisan 16, 2007

Web standartları

Web nereye gidiyor?
Web yayıncılığından daha etkin olarak nasıl yararlanabiliriz?
Web standartları aslında bu işleri daha kolaylaştırıyor.
Bu konuda başarılı bir sunum için:

http://boagworld.com/standards/

HTML - İçerik
CSS - Dizayn
Dom Scripting - Davranış (Behaviour)

Vaktiniz fazla yoksa, pdf'i de inceleyebilirsiniz:
http://media.libsyn.com/media/boagworld/BenefitsOfStandards.pdf

Daha teknik bir sunum için:
http://www.hotdesign.com/seybold/

Cumartesi, Nisan 14, 2007

Saldırgan davranışlarını incelersek ...

Bruce Schneier'in "Hackers are coming" http://www.schneier.com/essay-097.html
yazısını incelemenizi öneririm. Kendisi saldırganları ikiye ayırmış:
- Hobi olarak yapanlar
- Suçlular (para ..vb elde etmek için)

Her ikisinin de davranışları farklılıklar içeriyor.

Gidişat şudur ki, artık saldırganlar kişisel bilgilerin ve bilgisayarların peşinde. Kurumlara yapılan saldırılar sonucunda şifreler ve kişisel bilgiler çalınıyor. Kurumlar çoğunlukla bu tür olayları duyurmuyorlar ve pek kayıpları olmuyor. Kişisel bilgilerin çalınması sonucunda, olan yine kullanıcılara oluyor.

web uygulama güvenliği anketi

Jeremiah Grossman 'ın web uygulama uzmanları arasında düzenlediği anketi aşağıdaki linkte bulabilirsiniz:

http://jeremiahgrossman.blogspot.com/2007/01/web-application-security-professionals.html

web açığı bulunca ne yapacaksınız?

Bir web sitesinde bir açık bulduğunuzda bunu raporlamak iyi bir fikir mi?
Ya sonra başka bir açıktan o web sitesi, web uygulaması kırılırsa,
ilk akıllarına gelen siz mi olursunuz? (ki olursunuz kesin :) )

Bu konuyla ilgili ilginç birkaç yazı:
http://www.csoonline.com/read/010107/fea_vuln.html
http://chuvakin.blogspot.com/2007/02/saas-web-hacking-suing-and-stuff.html

Özetle çok riskli bir durum bu.
Bu tür süreçlerin, yapılacaksa CERT/CSIRT 'e iletilmesi
ve CERT/CSIRT 'ün bu konularda etkin olması gerekiyor.

Lakin bu konuda Amerika'da bile yasal bazı sorunlar yaşanırken,
ülkemizde nasıl bir yaklaşım olur ?

güvenlikte en büyük sorunlar

Bruce Schneier der ki
"sometimes your biggest security problems are ones that you have no control over."

Sonuçta güvenlik konusunda kontrol edemediğimiz durumlar var ve çözümleri pek efektif değil.
Her çözüm, sistemlerin kullanılabilirliğini azaltığı gibi
şu anki saldırıları engelleyen çözümler,
ne yazık ki gelecekte başımıza gelecek yeni saldırıları engellemeyecek.

Yeni saldırılar daha karmaşık ve çözümü daha zor olacak ...