Hurriyet ve CHIP’ten guncel(!) guvenlik haberleri

Bugun bir son kullanici Hurriyet’teki bu rotarli haberi gormemi sagladi. Kaynagi da Chip web sitesindeki bu haber.


Bundan tam 3 sene once, 2005 yilinin Nisan ayindaki bu haberi gunun haberi olarak verenleri alkisliyorum.

Bir domain alip Hurriyet’in anasayfasinda haber yayinlatmak bu kadar kolay demek ki. Bu arada gazetenin web sitesindeki haberlerin de stili insani tiksindiriyor. Ama onemli olan ziyaretci sayisi olunca…

Boyle bir haberin, Hurriyet okur kitlesine zararli site aktifken duyurulmasinin etkisini dusunemiyorum. Bugun bu haberi gordukten sonra sirf merakindan bu siteye erismeye calisan kullanicilarin sayisi inanilmaz.
En azindan olayin uzerinden 3 yil gecmis ve durum kontrol altina alinmis :D

Googlebot’u kullanarak kimlik doğrulamasını aşmak

SEO(Search Engine Optimization), yani Arama Motoru Optimizasyonu, web sitelerinde bulunan içeriklerin arama motorları tarafından daha iyi indekslenebilmesi için site ve sayfa yapısında yapılan optimizasyonlar bütünüdür. Yapılan bu düzenlemelerle sitenin arama sonuçlarında çıkması ve sonuçlarda daha üst sıralarda yeralması amaçlanır.
En sık kullanılan arama motorunun Google olması ve site sahiplerinin Google Adsense üzerinden daha fazla para kazanmak istemeleri, insanların sitelerini Google için optimize etmesini de beraberinde getirmektedir.

Bütün bu ıvır zıvırdan neden bahsediyorum, Google’ın veya farklı bir arama motorunun sitesini daha iyi indekslemesini isteyen bazı yerler farkında olmadan sitelerinde bazı güvenlik problemleri oluşturmuş olabiliyor.
Hiç arama motorunda aradığınız bir içeriğin, sayfayı ziyaret ettiğinizde farklı göründüğünü tespit ettiniz mi? Ne olmuş olabilir?

  • Site içeriği değişmiştir/kaldırılmıştır (Ulaşmak istediklerinize arama motorunun cache’ini kullanarak ulaşmayı deneyin)
  • Web sitesi, bu bölüme erişebilmeniz için sizden geçerli bir kullanıcı adı ve şifre istemektedir!

Bu durumda:

  1. Varsa arama motorunun önbellek(cache) bölümünü kullanıp sayfaya erişebilirsiniz,
  2. Kayıt işlemleri ile uğraşmamak için BugMeNot‘ı kontrol edersiniz,
  3. Veya, Googlebot olmayı denersiniz!

Karşılaştığım sitelerden iki tanesini inceleyelim.
Normal bir istek yapıdığında WindowsITPro, sitede yeralan makaleleri okuyabilmek için kayıtlı kullanıcı olmamızı istemekte.

Yapılan bu isteği HTTP header bilgilerinde oynama yapıp, kendimizi Googlebot olarak tanıttığımızda ise bize tüm makaleyi gösteriyor.


Aynı şekilde bir forum sitesi olan GovernmentSecurity, sitenin bazı yerlerine girmek için kayıtlı kullanıcı olmayı şart koşuyor.

Yukarıda görülen isteği HTTP header bilgilerinde oynama yapıp, kendimizi Googlebot olarak tanıttığımızda ise bize forum içeriğini gösteriyor.

Ziyaret ettiğimiz sitede, bu veya benzeri bir güvenlik problemini, “User-agent” HTTP başlık bilgisini kolayca değiştirerek kontrol edebiliriz.
Ben yukarıdaki örneklerde, detaylı görünmesi açısından LiveHTTPHeaders firefox eklentisini kullandım. Tabi ki HTTP header bilgilerini değiştirmeyi daha kolay hale getiren eklentiler var. Ben bunun için modifyheaders‘ı öneririm.

Bu örneklerde gözükenler o kadar da önemsenecek derecede veriler değil. Belki ücretli üyelik sistemi olan bir site için risk seviyesi daha yüksek olabilirdi. Ama özetlemek istediğim, web güvenliğinde kullanıcı tarafından gönderilen verilere hiç bir zaman güvenmemek. Web uygulamalarımızı tasarlarken buna göre önlemler almalıyız.

Sizin yapamadığınız bir şey, yapılamıyor anlamına gelmez! Özellikle web üzerinden yapılan saldırıların artması ve diğer saldırılara göre kolaylığı, verilerinizin güvenliğini riske sokabilir.

Google ve gizlilik

Google blog’daki yaziya gore Google, kullanicilarindan topladigi arama kelimeleri, IP adresi ve tanimlama bilgisi (Cookie) gibi ozel bilgileri, 18-24 ay sonra daha anonim hale getirecekmis. Bu da kullanicilarin kisisel gizliligi icin yapilan onemli(?) bir adim olarak aktariliyor.
Bir sure sonra gizlilik politikasini guncelleyecek olan Google, kanunlar bu bilgilerin daha uzun sure saklanmasini gerektiriyorsa, daha uzun sure saklanacagi sekilde aciklama yapmis.
Ancak Google Log Retention Policy FAQ dokumaninin da belirttigi gibi loglar tamamen silinmiyor.
Metnin tamamini okudugumuzda, Google’in kullanicilarindan hangi bilgileri topladigini kendi agizlarindan daha net gorebiliriz.
  • Yapilan sorgu
  • IP adresi
  • Tanimlama bilgileri
Daha oncesinde bu bilgilerin, yararli oldugu dusunulene kadar saklandigi iletilmis. Tabi ki bu bilgiler sadece Google servislerinin kalitesini arttirmak icin kullanilmakta(!). (Google Gizlilik Politikasi)

Google ozellestirilmis servislerin kullanilabilmesi ve hizmet kalitesi icin tanimlama bilgisi kullanmayi onermektedir. Google tarafindan her yeni kullaniciya atanan tanimlama bilgilerinin sona erme tarihi 2038’e kadardir.
Bu durumda siradan bir kullanici, 2038’e kadar izlenebilir diyebiliriz.

IP adresleri ve tanimlama bilgileri ister saklansin, ister anonim hale getirilsin veya tamamen silinsin; kullanicilari arama kelimeleri ile iliskilendirmek de mumkun olabilir.
Varsin arama motoru verilerini tamamen silsin. Zaten Google, verdigi diger servislerle; emailler ve kullanimi (sifreli bir ek gondermeyi denediniz mi?), blog kullanimini, neredeyse cogu web sitesi istatistiklerini ve bu sayede kullanicilarin web sitelerinde dolasim bilgilerini, reklam hizmetleriyle(adsense ve adwords) bir cok istatistik, izlediginiz videolar, takviminiz, word/excel dokumanlariniz, bilgisayarinizdaki bazi bilgiler, IM mesajlasmalariniz/dosya gonderimleri, haber gruplarindaki konusmalar, tum web erisiminiz ve sayamadigim, kullandiginiz veya kullanmadiginiz tum Google ve firmalarinin servisleri de ayni sekilde kaydedilmektedir.
Istatistiki, servis kalitesini arttirma amacli, veya siz soyleyin…

Google tekeli ve gizlilik politikasi uzerine elestirileri ve incelemeleri iceren Google Watch sitesini inceleyebilirsiniz.