Dijital dönüşümün hızlanmasıyla birlikte, gerek kurumsal gerekse son kullanıcıya yönelik birçok hizmet ve süreç web pratikleriyle yönetilir hale geldi. Bankacılıktan eğitime, sağlıktan ulaşıma kadar pek çok süreç web tatbikleri üzerinden yürüyor. Asrî hayatın kritik bileşenlerinden biri haline gelen bu pratiklerin güvenliğini garanti altına almak ise hizmet sağlayıcıların en kıymetli hizmetlerinden biri oldu. Türkiye’nin öncü siber güvenlik entegratörü Innovera, inançlı bir internet deneyimi için web pratik geliştiricilerin alması gereken güvenlik önlemlerini 10 hususta özetledi:
- Inançlı ilişki ve yeni sertifikalar kullanın
Tarayıcıların adres çubuğunda yeşil bir kutucuğun içerisinde taraf alan “Güvenli” ibaresi, bağlı olduğumuz internet sitesinin uçtan uca şifrelendiğini gösteriyor. Bu ibareye sahip olabilmek için ise sitenin “HTTPS” protokolüyle çalışması gerekiyor. Sıradan HTTP sahifelerinin sonuna eklenen “S” ibaresi, ismini İngilizce güvenlik sözünden alıyor ve interneti şifreleyerek inançlı hale getiriyor. Bu yüzden ödeme ve üyelik sahifeleri üzere kullanıcı tarafından done girişi yapılan her internet sahifesinde bu protokolün kullanılması gerekiyor.
Inançlı internetin gelişmesine öncülük eden Google üzere arama motorları, her internet sitesinin bu protokolü kullanmasını tavsiye ediyor. Inançlı ilişkiler, farklı hizmet sağlayıcılardan satın alınan “SSL Sertifikaları” ile elde ediliyor. Bu sebeple sertifikalandırma süreçlerinde hem emniyetli bir firma ile çalışmak hem de sertifikanın yeni olduğuna emin olmak gerekiyor.
- Dış ağa açık giriş ekranlarına captcha yerleştirin
Bir siteye üye olurken ortaya çıkan “Ben robot değilim” kutucuğunu hepimiz yakından tanıyoruz. Bu kutucuğa tıkladığımızda, yapay zeka ve makine tahsilinden beslenen algoritmalar internet üzerindeki tüm faaliyetlerimizi denetim ederek bizim gerçek bir insan olup olmadığımızı denetim ediyor. Kuşkulu bir hareket sezdiğinde ise önümüze görseller çıkararak bizden akıllıca seçimleri yapmamızı bekliyor.
“Captcha” olarak isimlendirilen ve hayatımıza okunması güç harf kombinasyonlarıyla giren bu denetleme sistemini, şirketinizin dış ağa açık olan giriş ekranlarında kullanabilirsiniz. Çoklu yanlış denemelerde hesabı belli bir vade kısıtlayarak, brute force olarak da bilinen ve sistemlere sızmak için arkası arkasına done girişi yapılması gereken hücumların önüne geçebilirsiniz.
- İstemcilerde çerez güvenliğini sağlayın
İnternet üzerindeki her hareketimizde gerimizde bir iz bırakıyoruz. Bu izler pazarlama ve reklam için kullanılabileceği üzere istenilmeyen gayelerle da kullanılabiliyor. Bu sebeple kullanıcıların dijital yerküredeki ayak izleri mealine gelen çerezlerin (cookie) en yeterli formda korunduğuna emin olmak gerekiyor. Örneğin çerezlerin samesite başlıklarındaki güvenlik “httponly” ve “secure” kullanarak artırılabiliyor. İnternet sitesinde CSRF ve XSS üzerinden oluşabilecek riskler ise sunucunun başlık (header) malumatlarına “sameorigin (SOP), cross-origin resource sharing (CORS)” ve “http nosniff” ibarelerinin eklenmesiyle minimuma iniyor. Bu süreçler biraz teknik olsa da kısa bir internet araştırmasıyla kolaylıkla uygulanabiliyor.
- Kestirim edilebilir dizinlerden kaçının
Pratik sunucusu üzerinde varsayım edilebilir dizin isimleri olmadığından emin olmak, kritik evrakların güvenliği için hayli kıymetli. Dışarıdan erişilmesini istemediğiniz bir belgenin ismini “belge” olarak kaydettiğinizde, site domaininin sonuna eklenen “/belge” sözü, rastgele bir kullanıcının ilgili belgelere erişmesi mealine geliyor. Bu sebeple evrak ve dizinlere yüksek hassasiyetle yaklaşmaya daha isimlendirme aşamasındayken başlamak gerekiyor.
- Botlara dikkat edin
Web uygulamanızdaki hassas dizinlerin robots.txt evrakı içinde nokta almadığından emin olun. Google, Yandex ve Bing üzere arama motorları tarafından yaratılan ve interneti sistemli olarak tarayan akıllı botlar, her internet sahifesini tek tek tarayıp arama sonuçlarında tüm yerküreye sunmak için durmaksızın çalışıyor. Hususî haberler içeren ve sizden diğer kimsenin görmesini istemediğiniz sahifelerin yanlışlıkla bir Google aramasında çıkmasını istemezsiniz. Neyse ki olağan robots.txt düzenlemeleri ile bu durumun önüne geçilebiliyor.
- Güçlü parolalar kullanın
2019 yılında azımsanmayacak sayıda insan hala tevellüt tarihi ve isimlerinden oluşan kombinasyonlarla parolalar oluşturuyor. Bu parolalar hem beğenilmeyen niyetli kimseler tarafından rahatlıkla iddia edilebiliyor hem de dakikada binlerce deneme yapabilen zararlı yazılımlar tarafından kolaylıkla çözülebiliyor. Bu yüzden minimum sekiz karakterden oluşan ve içerisinde sayı, şahsi karakter, büyük ve küçük harf barındıran güçlü şifreler oluşturmak gerekiyor.
- Her framework ve kütüphaneyi kullanmayın
İnternet üzerinde çalışan tüm tatbikler, sayısız framework ve kütüphaneden faydalanıyor. Framework; web tatbikinin ortaya çıkmasını sağlayan çalışma ortamını, kütüphane ise daha evvel sairleri tarafından hazırlanmış hazır kod parçacıklarını temsil ediyor. Bu ikili, ekseriyetle yapılacak işin gereksinimine nazaran girişimin başlangıç aşamalarında seçiliyor. Web pratiğinizde bir kütüphane kullandığınızda, aslında dışarıdan destek almış oluyorsunuz. Ekibinizden olmayan, farklı bir geliştirici tarafından yazılmış kod parçacıklarını girişiminize dahil ediyorsunuz. Hasılı seçici olmakta büyük yarar var. Aktüel versiyonlara sahip olmayan ya da günümüz teknolojileriyle koordinasyonlu çalışmayan kütüphane ve framework’ler yarardan çok zarar getirebiliyor.
- Formlarınızı inançta tutun
Pratiklerde bulunan form süreçlerinde, kullanıcılarınız için rastgele üretilmiş eşsiz bir token (geçici anahtar) ile “Siteler Arası Talep Sahteciliği (CSRF)” zafiyetine karşı tedbir alabilirsiniz. Bu token’lar kullanıcıların yapmak istedikleri süreç için sadece bir sefer üretilir ve bir mühlet sonra tasarruf dışı kalır. Sonunda pratiğinizde uçtan uca güvenlik sağlar.
- Temizleme süreci (Sanitize)
Kullanıcılarınızdan gelen tüm donelerin denetim edilerek sürece alındığından emin olmak ismine temizleme süreci (Sanitize) yapılmalıdır. Sanitize, girdinin kabul edilebilir bir formata çevrilmesi sürecidir. Beyaz liste mantığı ile sanitize sürecine örnek vermek gerekirse, kullanıcıdan alınan TCKN verisinin içinde geçen ve sayı olmayan tüm karakterlerin silinmesidir. Kara liste mantığı ile sanitize sürecine örnek vermek gerekirse kullanıcıdan alınan isim parametresi üzere yerlerde bulunan ve pratik için risk oluşturabilecek (tek tırnak, çift tırnak vb.) karakterlerin silinmesi gösterilebilir. Done teftişi gerçekleştirirken, iyi sahalarda beyaz liste mantığı ile tedbir alınmasını önermekteyiz.
- Detaylı kusur iletisi göstermeyin
Ortaya çıkan günah bildirilerini tek tek denetim ederek, kullanıcılarınıza gereğinden ziyade malumat sunan ayrıntılı günah bildirilerinin verilmesini engellemeniz gerekiyor. Çünkü bir siber saldırgan, detaylı bir cürüm iletisinden sisteminizin nasıl çalıştığına ait fikir edinebilir. Bu sebeple cürüm ayıklama olgularını, incelenmek üzere harici bir kayıt evrakına yönlendirmenizi tavsiye ediyoruz.
