Web 2.0 Guvenlik Trendleri

1,151 views

Published on

Web 2.0 uygulamalarinda goz ardi edilen guvenlik sorunlari.

Published in: Business, Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,151
On SlideShare
0
From Embeds
0
Number of Embeds
365
Actions
Shares
0
Downloads
12
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • Web 2.0 Guvenlik Trendleri

    1. 1. Web 2.0 uygulamaların da yükselen trendelerdeki güvenlik sorunları
    2. 2. Web 2.0 Canımız & Kanımız <ul><li>O heryerde </li></ul><ul><li>Yeni model bu </li></ul><ul><li>İkinci dotcom çılgınlığı, hem de bu sefer patlamayacak gibi... </li></ul>
    3. 3. Web 2.0 Trendleri <ul><li>Usability – Kullanılabilirlik </li></ul><ul><li>Simplicity - Basitlik </li></ul><ul><li>Sociability - Sosyal Aksiyonlar </li></ul><ul><li>Integration - Entegrasyon </li></ul><ul><li>Outsourcing - Dış Sistemlerin Aktif Kullanmı </li></ul>
    4. 4. Kullanılabilirlik & Basitlik <ul><li>KISS - Keep It Simple & Stupid </li></ul><ul><li>yerine </li></ul><ul><li>KISSS - Keep It Simple, Stupid & Secure </li></ul>
    5. 5. Sadece “Stupid” <ul><li>Şu anki şifreyi sormadan yeni şifre tanımlamaya izin verme </li></ul><ul><li>Web 2.0 Günahkarı: </li></ul><ul><ul><li>Twitter </li></ul></ul><ul><li>Sonuçlar </li></ul><ul><ul><li>Hesapların tamamen ele geçirilebilmesi </li></ul></ul>
    6. 6. Sadece “Stupid” – şifre pls. <ul><li>Bana Hotmail Şifreni ver ben de senin adres defterine spam göndereyim! </li></ul><ul><li>Web 2.0 Günahkarı: </li></ul><ul><ul><li>Bebo, Facebook, Diigo ve tüm diğer sosyal hoppalık içeren Web 2.0 uygulamaları </li></ul></ul><ul><li>Online bankamızın şifresini soracak ilk Web 2.0 uygulamasını bekliyoruz ( Hmm! Zaten bir tane var! – mint.com ) </li></ul>
    7. 7. Sadece “Stupid” – beni unutma <ul><li>“ Beni hatırla” adı altında kullanıcıyı hatırlama özelliği </li></ul><ul><li>Web 2.0 Günahkarı: </li></ul><ul><ul><li>Herkes! </li></ul></ul><ul><li>Sonuçlar </li></ul><ul><ul><li>Cross-site Scripting ve bir dizi başka atakların başarı ihtimalini yükseltmek. </li></ul></ul>
    8. 8. Sadece “Stupid” – gönder gelsin <ul><li>Şifreyi ekstra bilgi olmadan e-mail adresine gönderme </li></ul><ul><li>Web 2.0 Günahkarı: </li></ul><ul><ul><li>Herkes! </li></ul></ul><ul><li>Sonuçlar </li></ul><ul><ul><li>E-mail’ ı ele geçiren birinin tüm hesaplarının bir anda yok olması ve kimlik hırsızlığı için bir numara seçim. </li></ul></ul>
    9. 9. Sadece “Stupid” – password1 <ul><li>Şifre seçimini limitlemek. 8 karaketerden fazla şifre seçtirmeme! </li></ul><ul><li>Web 2.0 Günahkarı: </li></ul><ul><ul><li>Pekçok! </li></ul></ul><ul><li>Sonuçlar </li></ul><ul><ul><li>Güvenli olmak isteyen birini güvensiz olmaya zorlamak! KISS’ in bu noktaya gelmesi içler acısı... </li></ul></ul>
    10. 10. Sociability <ul><li>Kevin Mitnick’ in Web 2.0 ye bayıldığına eminim. </li></ul>
    11. 11. Sosyal Aksiyonlar – Dün akşam neredeydin? <ul><li>Çok fazla kişisel bilgi! </li></ul><ul><li>Web 2.0 Günahkarı: </li></ul><ul><ul><li>Linkedin, youtube, twitter, facebook, bloglar, sizin fotoğrafınızı çekip flickr’ a gönderen manyak, “transparan” firma blogları vs. </li></ul></ul><ul><li>Sonuçlar </li></ul><ul><ul><li>Sosyal mühendislik saldırılarının artık çok daha kolay olması... </li></ul></ul>
    12. 12. Entegrasyon – Al bu API’ yi beni hackle <ul><li>Gereğinden güçlü API’ lar, Facebook widgetları, RSS manyaklığı! </li></ul><ul><li>Web 2.0 Günahkarı: </li></ul><ul><ul><li>Facebook, Feedburner. </li></ul></ul><ul><li>Sonuçlar </li></ul><ul><ul><li>Sitelerin ekstradan entegrasyon için verdiği bu API’ ların siteyi ve kullanıcılarını hacklemek için kullanılması. </li></ul></ul>
    13. 13. Outsourcing – yapılmışı var! <ul><li>Çok fazla dışarıdan component kullanma ve ekstra güven sınırları belirlemel </li></ul><ul><li>Web 2.0 Günahkarı: </li></ul><ul><ul><li>Blogosphere, video embedding, flash embedding, widgets, stats, dışarıdan eklenen javascriptler yani ... tüm yeni siteler. </li></ul></ul><ul><li>Sonuçlar </li></ul><ul><ul><li>Saldırı alanının büyümesi, bir sitenin güvenliğinin sağlanabilmesi için 10 sitenin güvenli olmasının gerekmesi. </li></ul></ul>
    14. 14. SSL ? <ul><li>Herkes SSL’i unuttu! </li></ul><ul><li>Web 2.0 Günahkarı: </li></ul><ul><ul><li>Gmail bunu yapıyordu , diğer bir çok Web 2.0 uygulaması da aynı. </li></ul></ul><ul><li>Sonuçlar </li></ul><ul><ul><li>Malum... </li></ul></ul>
    15. 15. “ Best Practice” mi dedin? <ul><li>Agile Programlamanın artışı, </li></ul><ul><li>Dead-line’ ların kısalması, </li></ul><ul><li>Paranın Nakit olması, </li></ul><ul><li>Yeni teknolojilerde güvenli best practice’ lerin bilinmemesi </li></ul>
    16. 16. Güvenlik Ürün Satmıyor! <ul><li>MS Vista ile kanıtladı ki : </li></ul><ul><li>“ Security doesn’t sell” </li></ul><ul><li>Web 2.0 için de bu kural bir istisan değil, maalesef </li></ul>
    17. 17. Web 2.0 Takipçileri <ul><li>Web 2.0 günahkarlarını takip eden tüm yeni Web 2.0 uygulamaları da her gün internete yeni bir Web 2.0 uygulaması ekliyor. </li></ul>
    18. 18. Güvenlik... <ul><li>Uygulamalarınızı önce güvenlik sonra Web 2.0 yapın </li></ul>
    19. 19. Sorular ve Fikirler ? <ul><li>@fmavituna RIATalks’ taki konusmasini bitirdi ve simdi dinleyicilerin sorularini dinliyor…. </li></ul>
    20. 20. Teşekkürler...

    ×