Her ne dek Web 20 uygulamaları geliştiricilerden oldukça artı istek görse de ve her geçen gün daha artı kurumsal anlamda kullanılsa da, güvenlik uzmanları bu uygulamaların ciddi bir tehdidi de beraberinde getirdiğinin ve bu tehdidin işletmeler çok daha kapsamlı korunma yöntemleri istek etmediği sürece ortadan kalmayacağının altını çiziyorlar
Bu konu 1 Kasım ’da Reston Virginia ’da düzenlenen New New İnternet konferansının belli başlı temalarından birisiydi Konferanstaki bir panelde güvenlik uzmanları dinleyenlere Web 20 kullanım geliştiricilerin uygulamalarını tehlikesiz ayla getirecek araçlardan yoksun olduklarını anlattılar Bu sorun IT yönetiminden fazla daha önemli boyutlarda bir istek gelmezse çözüleceğe de benzemiyor
Intel Corp ’un emniyet çözümleri sorumlusu Steve Orrin Sağlayıcılarınız ve geliştiricileriniz üzerinde baskı kurun,diyor Uygulamalarınızda mutlaka emniyet özelliklerini arayın ve yoksa talep edin Zira siz talep edene dek geliştiriciler ve sağlayıcılar bunu bir gereksinim olarak görmeyeceklerdir
Panelistler bu sorunun kaynağı olarak yeni Web uygulamalarında ve Web hizmetlerinde kullanılan alt teknolojilerin çoğunun daha ilk olarak yerinde bir biçimde güvenliğe alınmamasını görüyorlar
Orrin Demin Web 10 ’ın güvenliği sağlanmamışken hemencecik ileri atılarak Web 20 teknolojisini geliştirmeye başladık,diyor Şu Anda karşılaştıklarımız ise daha öncelerde kullanılmış olan bazı saldırı yöntemlerinin geliştirilmiş halleriMesela Crosssite scripting, Orrin ’e kadar Web 20 ortamında kullanıldığında çok daha güçlü bir hal alıyor Web 20 teknolojisi geliştiriciler ve kullanıcılar için ne kadar dinç bir gereç ise saldırıda bulananlar için de o denli hatta daha da enerjik bir gereç
Orrin bu durumun özellikle de phishing saldırısı tarzındaki saldırılar için geçerli olduğunu söylüyor Web 20 ile kullanıcıları blöf yapmak fazla daha kolay ışık halkası geldi O Kadar fakat saldırının gerçekleşmesi için artık kullanıcının bir şeyler yapması deha gerekemeyecek hale gelindi
Araştırma ve mühendislik devi Science Applications International Corporation (SAIC) firmasının şef güvenlik teknolojisi çalışanı Hart Rossman da bu görüşlere katılıyor Rossman güvenlik uzmanlarının bir takım Web 20 uygulamalarını olası güvenlik açıkları için tset ederken yaşadıkları zorluklara uyarı çekiyor
Rossman AJAX seksapalitesi açısından en çok seçim edilen silah ancak şimdi kullanılan açık değerleme gereçleri AJAX sitelerini takip etmekte sorun yaşıyorlar ve dolayısıyla da açıkları saptamak gitgide zorlaşıyor,diyor Oturumları benzer kolaylıkta baştan yaratmanız mümkün değil bu yüzden de eğer bir şey söz konusu olursa inceleme edilecek verilerini oluşturmak çok kuvvet ışık halkası geliyor
Rossman ’a göre halk müziği her ne kadar insanlar walled garden (kapalı bahçe) yapısına karşı baş kaldırsalar da, ironik olarak pek çok sosyal network ’ün dilekçe programlama arayüzlerinin içe dönük doğası, bazı saldırıların bu arayüzlerden öteki platformlara sıçramasına da engel oluyor Çoğu sosyal network sitesi walled garden yapısındadır, fakat gerçi bu inşa kendi içinde kalacak uygulamaları geliştirmeye olanak tanımaktadır
Rossman yukarıda bahsi geçen bu gerçeğin bazı atakların daha yaygın hale gelmesini önlediğini söylemekle birlikte, widget adı verilen minik araçların ve MySpace gibi sitelerde bulunan öteki dış bileşenlerin kullanımında yaşanan büyüme daha geniş çaplı networkler arası saldırılar aranje etmek isteyen kişilerde “Web 20 üstüne Web 20 anlayışını öne çıkartıyor
Orrin Sosyal networkler Flash kurtçuklar için hemen hemen bir üreme alanı oluşturdular,diyor Orrin geçtiğimiz Aralık ayında kullanıcı profillerine saldırarak onları phishing sitelerine yönlendirmek üzere bitmiş düzenleyen MySpace QuickTime kurtçuk saldırısına dikkat çekiyor Sadece bir gecede bir videoyu yükleyerek bu videoyu görüntüleyen 1 milyon birey virüs saldırısına maruz kalmıştı
Ola Ki de daha ironik olan ise bu konferanstan sadece bir gün önce Google ve bir dizi sosyal network sitesi kendi sitelerinde iki taraflı API ’lar üzere bir ortaklık anlaşması imzaladıklarını duyurmaları oldu
Eğer Rossman'ın walled gardenteorisi gerçeği yansıtıyorsa, arasında endüstride bulunan en büyük firma olan MySpace ’in de yer aldığı henüz yeni ortaklık anlaşması yapmış olan laf konusu sosyal network siteleri bu sitelerin acilen sahip olduğu izole korunma ortamına kendi kendilerine bir son verebilir ve bir sitede karşılaşılan bir sorunun diğer bir siteye taşınma riski de artar
1 Kasım ’da düzenlenen panel sosyal networklerin üstüne kurulduğu temelin doğası gereği sahip oldukları hasar olan yabancılarda güven yaratma konusuna da uyarı çekti
Üçüncü şahıs bir ticari sigorta şirketi olan BuySAFE firmasının idare heyeti başkanı Jeffery Grass, eBay üzerinden gerçekleştirilen ve yüzde 90 oranında artı ratinge sahip tüccarlardan alım yapan kullanıcılar aralarında gerçekleştirilen bir anketin sonuçlarını ortaya koydu Laf konusu ankete katılan kullanıcıların yarısından fazlası, “gönderim ücretinin fazla alınması, faydalanma talimatlarının doğru olmaması vb nedenlerle kendilerini bir kandırmaca kurbanı olarak görüyorlar
Grass Web 20 çok artı bağlanırlık yaratmakta,diyor Web 20 diğer bir kişi ile fazla daha güvenilir bir işlem yaratılmasına tezgâhtar oluyor Ancak aynı zamanda şöyle bir risk de yaratıyor: Güvenilir işlem yaptığınız şahısın güvenilir birisi olup olmayacağını nereden bileceksiniz?
Orrin ve Rossman güven meselesinin mashup ve addon bileşenler alanına değin uzandığını belirtiyorlar Rossman Millet mashup geliştiricilerine güvenmeme eğilimdedirler,diyor Bunun yerine güvenlerini API sağlayıcısına duyarlar Fakat mashup ’ın kendisi hakkında durup da düşünen çok eksik kişi var *
Bu konu 1 Kasım ’da Reston Virginia ’da düzenlenen New New İnternet konferansının belli başlı temalarından birisiydi Konferanstaki bir panelde güvenlik uzmanları dinleyenlere Web 20 kullanım geliştiricilerin uygulamalarını tehlikesiz ayla getirecek araçlardan yoksun olduklarını anlattılar Bu sorun IT yönetiminden fazla daha önemli boyutlarda bir istek gelmezse çözüleceğe de benzemiyor
Intel Corp ’un emniyet çözümleri sorumlusu Steve Orrin Sağlayıcılarınız ve geliştiricileriniz üzerinde baskı kurun,diyor Uygulamalarınızda mutlaka emniyet özelliklerini arayın ve yoksa talep edin Zira siz talep edene dek geliştiriciler ve sağlayıcılar bunu bir gereksinim olarak görmeyeceklerdir
Panelistler bu sorunun kaynağı olarak yeni Web uygulamalarında ve Web hizmetlerinde kullanılan alt teknolojilerin çoğunun daha ilk olarak yerinde bir biçimde güvenliğe alınmamasını görüyorlar
Orrin Demin Web 10 ’ın güvenliği sağlanmamışken hemencecik ileri atılarak Web 20 teknolojisini geliştirmeye başladık,diyor Şu Anda karşılaştıklarımız ise daha öncelerde kullanılmış olan bazı saldırı yöntemlerinin geliştirilmiş halleriMesela Crosssite scripting, Orrin ’e kadar Web 20 ortamında kullanıldığında çok daha güçlü bir hal alıyor Web 20 teknolojisi geliştiriciler ve kullanıcılar için ne kadar dinç bir gereç ise saldırıda bulananlar için de o denli hatta daha da enerjik bir gereç
Orrin bu durumun özellikle de phishing saldırısı tarzındaki saldırılar için geçerli olduğunu söylüyor Web 20 ile kullanıcıları blöf yapmak fazla daha kolay ışık halkası geldi O Kadar fakat saldırının gerçekleşmesi için artık kullanıcının bir şeyler yapması deha gerekemeyecek hale gelindi
Araştırma ve mühendislik devi Science Applications International Corporation (SAIC) firmasının şef güvenlik teknolojisi çalışanı Hart Rossman da bu görüşlere katılıyor Rossman güvenlik uzmanlarının bir takım Web 20 uygulamalarını olası güvenlik açıkları için tset ederken yaşadıkları zorluklara uyarı çekiyor
Rossman AJAX seksapalitesi açısından en çok seçim edilen silah ancak şimdi kullanılan açık değerleme gereçleri AJAX sitelerini takip etmekte sorun yaşıyorlar ve dolayısıyla da açıkları saptamak gitgide zorlaşıyor,diyor Oturumları benzer kolaylıkta baştan yaratmanız mümkün değil bu yüzden de eğer bir şey söz konusu olursa inceleme edilecek verilerini oluşturmak çok kuvvet ışık halkası geliyor
Rossman ’a göre halk müziği her ne kadar insanlar walled garden (kapalı bahçe) yapısına karşı baş kaldırsalar da, ironik olarak pek çok sosyal network ’ün dilekçe programlama arayüzlerinin içe dönük doğası, bazı saldırıların bu arayüzlerden öteki platformlara sıçramasına da engel oluyor Çoğu sosyal network sitesi walled garden yapısındadır, fakat gerçi bu inşa kendi içinde kalacak uygulamaları geliştirmeye olanak tanımaktadır
Rossman yukarıda bahsi geçen bu gerçeğin bazı atakların daha yaygın hale gelmesini önlediğini söylemekle birlikte, widget adı verilen minik araçların ve MySpace gibi sitelerde bulunan öteki dış bileşenlerin kullanımında yaşanan büyüme daha geniş çaplı networkler arası saldırılar aranje etmek isteyen kişilerde “Web 20 üstüne Web 20 anlayışını öne çıkartıyor
Orrin Sosyal networkler Flash kurtçuklar için hemen hemen bir üreme alanı oluşturdular,diyor Orrin geçtiğimiz Aralık ayında kullanıcı profillerine saldırarak onları phishing sitelerine yönlendirmek üzere bitmiş düzenleyen MySpace QuickTime kurtçuk saldırısına dikkat çekiyor Sadece bir gecede bir videoyu yükleyerek bu videoyu görüntüleyen 1 milyon birey virüs saldırısına maruz kalmıştı
Ola Ki de daha ironik olan ise bu konferanstan sadece bir gün önce Google ve bir dizi sosyal network sitesi kendi sitelerinde iki taraflı API ’lar üzere bir ortaklık anlaşması imzaladıklarını duyurmaları oldu
Eğer Rossman'ın walled gardenteorisi gerçeği yansıtıyorsa, arasında endüstride bulunan en büyük firma olan MySpace ’in de yer aldığı henüz yeni ortaklık anlaşması yapmış olan laf konusu sosyal network siteleri bu sitelerin acilen sahip olduğu izole korunma ortamına kendi kendilerine bir son verebilir ve bir sitede karşılaşılan bir sorunun diğer bir siteye taşınma riski de artar
1 Kasım ’da düzenlenen panel sosyal networklerin üstüne kurulduğu temelin doğası gereği sahip oldukları hasar olan yabancılarda güven yaratma konusuna da uyarı çekti
Üçüncü şahıs bir ticari sigorta şirketi olan BuySAFE firmasının idare heyeti başkanı Jeffery Grass, eBay üzerinden gerçekleştirilen ve yüzde 90 oranında artı ratinge sahip tüccarlardan alım yapan kullanıcılar aralarında gerçekleştirilen bir anketin sonuçlarını ortaya koydu Laf konusu ankete katılan kullanıcıların yarısından fazlası, “gönderim ücretinin fazla alınması, faydalanma talimatlarının doğru olmaması vb nedenlerle kendilerini bir kandırmaca kurbanı olarak görüyorlar
Grass Web 20 çok artı bağlanırlık yaratmakta,diyor Web 20 diğer bir kişi ile fazla daha güvenilir bir işlem yaratılmasına tezgâhtar oluyor Ancak aynı zamanda şöyle bir risk de yaratıyor: Güvenilir işlem yaptığınız şahısın güvenilir birisi olup olmayacağını nereden bileceksiniz?
Orrin ve Rossman güven meselesinin mashup ve addon bileşenler alanına değin uzandığını belirtiyorlar Rossman Millet mashup geliştiricilerine güvenmeme eğilimdedirler,diyor Bunun yerine güvenlerini API sağlayıcısına duyarlar Fakat mashup ’ın kendisi hakkında durup da düşünen çok eksik kişi var *
