Sitenizin trafiği arttıkça malum kişiler zevk/hobi için saldırılar yaparak sitenizdeki açıkları, zayıf noktaları aramaya başlarlar. Buradan elde ettikleri kar, sağda solda ben şu siteyi patlattım olur kanımca.
Üstteki gibi tuhaf aramalarınız oluyorsa, sitenizdeki açıkları gözden geçirmenizde fayda var. Yakaladıkları açıktan sitenize sızmaya çalışacaklardır.
Sitenizde açılış sayfalarını tararken domain/crossdomain.xml diye bir şeye rastlarsanız telaş etmeyin. crossdomain.xml bir nevi sitemap.xml gibi bir dosyadır. Sitede bulunması yada bulunmaması size kalmış, özellikle sitenizde film paylaşımı yapıyorsunuz ya da film siteniz varsa root klasöre bir tane oluşturmanızda fayda var.
allow-access-from domain yazan yerdeki “*” ibaresi, sitenize tüm sitelerin erişmesini sağlar. Buraya “siteadı.com” yazdığınızda erişim sadece sizin sitenizden olur !
Eğer crossdomain.xml dosyasını farklı bir yerde oluşturmak isterseniz, alttaki kodu sitenizin adını yazarak eklemeniz gerekiyor.
Kısa süre önce kullanıma sunulan WhatsApp Web’in gizlilik hatalarını 17 yaşındaki güvenlik blogcusu ortaya çıkardı.
Anroid Kullanıcıları Yararlanıyor
800 milyona yakın kullanıcıya sahip WhatsApp’ın yeni uygulamasını android kullanıcıları kullanmaya başlamıştı. Ancak yeni hizmetin gizlilik hataları ortaya çıktı.
17 Yaşındaki Güvenlik Blogcusu Buldu
17 yaşındaki güvenlik blogcusu olan Indrajeet Bhuyan, web servisiyle ilgili sorunları anlatan bir rapor yayınladı. Belirtilenlere göre gizlilik ayarları mobil uygulamada iyi çalışmasına rağmen web tarafında sorun var.
Aralarında Düzgün Senkronizasyon Yok
Bhuyan, mobil uygulamada gözükmesine izin verilmeyen görsellerin web tarafında görüntülenmesinin mümkün olduğunu belirtti. Kısaca böyle bir durumda görselin aslında alıcı tarafından bulanık gözükmesi lazım. Fakat web hizmetinde bulanıklık olmuyor ve görsel rahat gözüküyor. Bu durum iki uygulama arasında düzgün senkronizasyonun olmadığını gösteriyor.
Yeterince Test Edilmemiş
Bhuyan’ın raporunda vurgulanan diğer nokta ise profil fotoğrafıyla alakalı. Profil resmi kısıtlı olanlar bile web üstünde gözüküyor. Bu hatalar WhatsApp Web’in yayınlanmadan önce yeterince test edilmediği iddialarını da güçlendiriyor
Günümüzde herkes site yapar olmuş, fakat unuttukları bir şey var ; o da özgün içerikle donatmak. Malesef hazıra konma olayı oldukça fazla. Emek verip bazen tüm boş vaktini ayırdığın web sitelerindeki yazılarının index almadan başka sitelerde indexlendiğini görmek üzücü.
Ama yinede kademe kademe gitmekte fayda var, baktınız tüm sitenizi çekmeye başlamış. Direk sitenin iletişimden site sahibiyle güzel bir uslupla konuşup bu yaptığından vazgeçmesini belirtin. Olmadıysa ilk olarak bir içerik daha girin bu içeriği google web master tools ile Google gibi getir yaparak hemen index almasını sağlayın.
Ardından bu içeriği bir kaç tanıtım yazısı alarak güçlendirin. Ve sıralamada bot ile içerik çalan site çıkmayacaktır ancak o sitede index alacaktır. Hemen ardından buradan tıklayarak siteyi Google’a şikayet edin. Google webspam bildirimlerini gerçekten dikkate alıyor hala şikayet etmediyseniz içeriğinizi çalanları hemen şikayet edin!
Ek olarak web sitenize birkaç editleme yapmanız gerekir.
Feed , Rss Beslemelerinin Tümünü Devre Dışı Bırakın , önceki makalemizde yazdığımız gibi.
Sitenizdeki verileri çalan sitenin ip adresini bulup cPanel veya Plesk üzerinden yasaklayın. Böylece o ip sizin sitenize erişemez.
Eğer adres satırında kalkan simgesini görürseniz, Firefox ziyaret ettiğiniz sayfadaki güvenli olmayan içeriği engellemiş demektir. Bunun ne anlama geldiğini ve hangi seçeneklere sahip olduğunuzu açıklayacağız.
Karışık içerik nedir?
HTTP üzerinden sunulan bir sayfasını ziyaret ettiğinizde, bağlantı dinlemelerini ve açık olanman-in-the-middlesaldırıları.Geri ve ileri hassas bilgileri geçen içermeyen ve güvenli olması gerekmez çünkü çoğu web siteleri HTTP üzerinden sunulmaktadır.Eğer ziyaret ettiğinizde bir sayfa tamamen HTTPS üzerinden (servisgri asma kilitveyayeşil asmaadres çubuğuna), bankanız gibi, bağlantı doğrulanmış ve şifrelenmiş ve dolayısıyla gizlice ve man-in-the-middle saldırılarına karşı korunur.
Eğer ziyaret HTTPS sayfa HTTP içerik varsa Ancak, HTTP kısmı ana sayfa HTTPS üzerinden sunuluyor olsa bile, okumak veya saldırganlar tarafından değiştirilebilir.HTTPS sayfa HTTP içeriğe sahip olduğunda, biz bu içeriği “karışık” diyoruz.Ziyaret ettiğiniz sayfa kısmen şifreli ve göründüğü halde olduğu, güvenli, öyle değil.
Bir saldırgan, hesabınızı ele, kimlik bilgilerinizi çalmak senin hakkında hassas verileri elde, ya da bilgisayarınıza kötü amaçlı yazılım yüklemeye çalışmayın böylece ziyaret ettiğiniz sayfada HTTP içeriği değiştirebilirsiniz.
Seçeneklerim neler?
Web sitelerinin çoğu sizin bir şey yapmanıza gerek kalmadan çalışacaktır.
Karma içeriğin görüntülenmesine izin vermeniz gerekirse bunu kolayca yapabilirsiniz:
Adres satırındakikalkan simgesinetıklayın ve açılır menüdenBu sayfada korumayı devre dışı bırakseçeneğini seçin.
Adres satırındaki simge, sayfada güvenli olmayan içeriğin de görüntülendiğini hatırlatmak için turuncu uyarı işaretine‘ne dönüşecektir.
Önceki eyleminizi geri almak (karma içeriği yeniden engellemek) için sayfayı yeni bir sekmede yeniden ziyaret edin.
Engelleme açık olmasına rağmen gri dünya simgesini görüyorum
HTTP içeriğinin yalnızca zararlı olma ihtimali olan kısmı engellenir, yani bazı web sitelerinde hâlâ HTTP içeriği bulunabilir. Bu durumda Firefox ile web sitesi arasındaki bağlantı hâlâ kısmen şifrelenmiş demektir ve bağlantı gözetlemeye karşı güvenli sayılmaz, bu yüzden gri dünya simgesi görünür.
Sitelerin için bu şu o güvenlidir diğerleri güvenilir değildir demek doğru olmayacaktır. Alışveriş yaparken dikkat etmeniz gereken hususlar vardır. Bir alışveriş sitesinden alacağınız bir üründen önce o sitenin güvenilir olup olmadığını kontrol etmektir. Bunun için bazı kurallar ve hali hazırda olan durumlar söz konusudur, kısa kısa açıklayacak olursak ; Kontrol etmeniz gerekenler şunlardır.
Güvenlik Sertifikası: Güvenlik sertifikaları siteye gönderdiğiniz bilgilerin araya girebilecek kişiler tarafından okunmasını engeller. Eğer alışveriş sitesi bir SSL sertifikası kullanmıyorsa oradan alışveriş yapmayın.
Kullanıcı girişi yaparken ya da ödeme sayfalarında tarayıcınız sayfanın güvenilir olduğunu bildirmek için yeşil olacaktır.
Yukarıda farklı bankaların internet sitelerine farklı tarayıcılarla girdiğimizde güvenli bağlantı olduğunu görebilirsiniz. Alışveriş siteleri de bu şekilde güvenli bağlantı sağlamalıdır.
Tarayıcınızın adres çubuğuna tıkladığınızda tam adresin https:// ile başlaması güvenli bağlantı olduğunu gösterir. (http:// normal bağlantıdır.)
Adres ve Telefon:
Bana göre alışveriş yapacağınız site kesinlikle açık adresini ve telefon numarasını vermelidir. Bu numaralar sitenin orta yerine yazmayabilir ama iletişim, hakkımızda, bize ulaşın, künye gibi bölümleri arayın ve kontrol edin.
Müşteri Hizmetleri:
Telefonla ya da e-postayla destek alabileceğiniz bir site olamalıdır. Müşteri hizmetleri sayfaları olması büyük bir artıdır. Dilerseniz bir mesaj gönderip cevap alma sürenize göre değerlendirme yapabilirsiniz. Bu süre ürünü aldıktan sonrayardım talep ederseniz size ne kadar sürede geri dönecekleri hakkında da bilgi verir. Dilerseniz telefon numaralarını arayın ve bilgi sorun.
Fiyatlar:
Piyasadan çok ucuza ürün satan yerlere güvenmeyin. Ürün resmi ithalat ürünü olmayabilir, yetkili distribütor tarafından getirilmemiştir ve teknik destek ve garanti konusunda sorun çıkabilir. Daha kötüsü ürün size gönderilmeyebilir.
Siparişi tamamlarken satış toplamına dikkat edin. Bazı siteler listelenen fiyarlara KDV gibi vergileri eklemeyebilir. Sonra süprizle karşılaşmayın. Küçük yazıları iyi okuyun.
Açık Arttırma Siteleri:
Açık arttırmaya katılmak ve teklif vermek için para ödüyorsanız “en yüksek benzersiz teklifi veren ürünü ucuza alır” gibi ifadelere güvenmeyin. Tabii ki güveli siteler de açık arttırma düzenlerler ancak kimin ne zaman teklif verdiği bellidir ve en yüksek teklifi veren kazanır.
Mümkünse Havale- EFT Kullanın:
Çok pahalı olmayan bir şey alacaksınız ürün ücretini havale ile gönderin. Büyük firmalar havaleleri mesai saatleri dışında bile 30 dakika içinde onaylıyorlar. Internet üzerinden havale yapabilirsiniz, hatta örneğin cep şubesinden havale yaptığınızda havale ücreti almayan bankalar, havale ile ödemede indirim yapan alışveriş siteleri de var.
Sanal Kart ve 3D Secure Kullanın:
Sanal Kart:
Sanal kartla alışverişinize göre bir limit belirlersiniz. Internet sitesine sanal kart bilgilerini girersiniz. Bu sayede gerçek kart bilgilerinizi korumuş olursunuz; belirttiğiniz limitten fazla para kartınızdan çekilemez. Bankanızın internet şubesinden bile sanal kart açtırabilirsiniz.
3D Secure:
Eğer alışveriş yaptığınız site 3D Secure ile alışveriş yapma özelliği sunuyorsa kullanın. 3D Secure sayesinde kredi kartı bilgilerinizi girdiğinizde bankanızın sitesine yönlendirilirsiniz, o sırada büyük ihtimalle cep telefonunuza işlem onaylamanız için bir kod gönderilir, o kodu girersiniz ve işlemi tamamlarsınız. Bu sayede banka alışverişi yapanın siz olduğunu kanıtlarken siz de daha güvenli alışveriş yapmış olursunuz. Üstelik bazı bankaların banka kartları da 3D secure ile alışveriş yapmak için kullanılabilmektedir.
3D Secure veya Sanal Kart kullanmazsanız bankanız işlemi onaylamayabilir ya da işlem bu güvenlik sistemlerini kullananlara göre daha geç onaylanabilir, bu da siparişinizi işleme alınmasını geciktirecektir.
Bilgisayar
Alışverişi yaptığınız bilgisayar da çok önemlidir. Mümkünse alışverişlerinizi ev bilgisayarınızdan yapın. Bilgisayarınızda her zaman güvenilir bir antivirüs yazılımı bulundurun ve sık sık tarama yapın. Internet üzerinden alışveriş yapacağınız zaman, özellikle ortak kullanılan bir bilgisayarda (örneğin internet kafe, okul bilgisayarları) tarayıcınızın “Private Browsing” moduna geçin. Bu web sitesiyle ilgili bilgilerin tarayıcı kapatıldığında silinmesini sağlar. Neredeyse tüm popüler tarayıcıların bu özelliği var. Örneğin Mozilla Firefox, Google Chrome, Opera, Internet Explorer vb
Sadece isimleri değişik olarak yer alabilir. Incognito, Inprivate, Private Browsing, Private Tab gibi.
Bir Web Sitesine Bağlantımın Güvenli Olduğunu Nasıl Anlarım diyorsanız, önceki yazılarımızdan site güvenliği yazısına göz atınız.
