SSL açığı

Kodlamada pekala açık olabilir evet, ama SSL açığı derken tam neyi kasdediyorsun? Yani http paketleri alıp açabiliyormusun ve giden bilgilerimi ele geçiriyorsun? POS için bankasına göre değişir her banka çok geniş bir taramaya tutmuyor verilen sistemi.

Ben bizzat ssl den bahsediyorum , hatta opera ile ssl kodunun alındığını bizzat gözlerimle gördüm biraz internette araştırılırsa bu konudada açık olduğu ispatlanmış durumda... Şimdi ssl açığı olursa rahatlıkla server yada sunucuya girilebilir ve 3. şahıslar da yapılan işlemleri küçük operasyonlarla izleyebilir benim demek istediğim bu...Peki bu durumda posları veren bankalar gerçekten gereksiz şeylere kafa yorum teslimat yazıları gibi küçük ayrıntılara dikkat edip , bu tip testleri yapmıyolar bu durumda bankaların bilinçsiz olduğu ortaya çıkmıyormu

y akardeş o kadar hacker bunu bilmiyor bunu sen mi biliyorsun ?

belki biliyorsun ama sanmam

sevimsli' Alıntı:

Ben bizzat ssl den bahsediyorum , hatta opera ile ssl kodunun alındığını bizzat gözlerimle gördüm biraz internette araştırılırsa bu konudada açık olduğu ispatlanmış durumda... Şimdi ssl açığı olursa rahatlıkla server yada sunucuya girilebilir ve 3. şahıslar da yapılan işlemleri küçük operasyonlarla izleyebilir benim demek istediğim bu...Peki bu durumda posları veren bankalar gerçekten gereksiz şeylere kafa yorum teslimat yazıları gibi küçük ayrıntılara dikkat edip , bu tip testleri yapmıyolar bu durumda bankaların bilinçsiz olduğu ortaya çıkmıyormu

Genişletmek için tıkla ...

Demek istediğini anladım. Evet bu açık ortada tabi, 2004 yılında microsoft serverı kullananlar çok zor bir durumda kalmıştı, SSL kullanılan 443 portlarında rahatça giriş yapabiliyorlardı. Bu durumda bankalar bilinçsiz mi veya vurdumduymaz mı tam emin değilim. Belkide başları tehlikeye girene kadar hareket etmeyecekler. Çalınan hesap haberlerini duyuyoruz. Kendisine ait güvenli bir uygulama geliştirememeleri onların suçu, sırtlarını SSL sertifikalarına dayayıp devam edemezler tabiki daha özel çözümler üretmeleri lazım. SSH ve key kullanarak farklı güvenlik uygulamalarına giden çözümlere rastladım, ama gerçekten bankalar ve diğer kuruluşlar bu konuda ne gibi bir çözüm üretmeyi hedefliyor bende merak ediyorum. Keza hepside hesap bilgilerini çaldırma tehlikesiyle karşı karşıya.

kocagöz' Alıntı:

y akardeş o kadar hacker bunu bilmiyor bunu sen mi biliyorsun ?

belki biliyorsun ama sanmam

Genişletmek için tıkla ...

Senin bu sözlerine Yorum yapmıyorum , konuyu ben buldumda diye idda etmedim, gördüm dedim ... Bu sektörün içindeysen azıcık interneti araştırmanı tavsiye ederim . Hacker lar sözün çok saçma , bulan hackerlar neden bu açığı internete yaysın ? Artı güvenlik şirketleri tarafından kanıtlanmış durumda ..

Heiken evet gerçekten bankaların ben bu konuda çokda bilinçli olduklarını düşünmüyorum , hatta şu an için bu durumla karşı karşıya kaldıklarını bildiklerinide inanmıyorum. Şu anda verisign yada rapid gibi ssl sertifikası veren firmalar sha1 şifrelemeden sha2 ve hatta sonrada sha3 şifreleme yöntemine geçeklerini beyan etmişler yanlız sha1 şifreleme mantığı oldukça düşük güvenlik düzeyinde, üstelik 3d security de sha2 ile işlem yapmakta , bu tür algoritmalrı biz veri tabanı tablolama şifrelemesinde kullanırken server yada sunucu için hala port ve tarayıcı açıkları kalabilmekte , sha3 daha güvenli ama onunda ilerde açığının bulunacağı görüşündeyim, bu tür teknik eksikliklerde , bankaların hala bu tür gereksiz prosedürler sonucunda, güvenlik uygulamaları yazabilecekleri konusundada tereddütlerim bulunmakta..amerikada daha farklı güvenlik önlemleri bulunmakta ve hergün sunucu ve serverlar güvelik için taranmakta iken türkiyede herşeyde olduğu gibi eticaretlerimizde de güvenlik konusunda Allah yolundayız

Türkiye'de önceden güvenlik önlemi ve tedbirleri almak pek dikkate alınan bir konu değil. Standartlardan uzak yaşıyoruz, özellikle iş sektöründe. Sha2 ve 3'de farklı bir çözüm sağlamayacak, dikkat edersen internet üzerinde rastlıyacağın büyük çaplı projelerde temel olarak AES (Advanced Encryption Standard) aranmakta. Birilerinin başı yanana kadarda ben herhangi bir ilerleme olacağını düşünmüyorum. Açıkçası ilerme kısmıda ürkütücü, oturup 443 portunu mesela tamamen kapatabilirler... Devletin işine akıl sır ermez, çözüm sağlabileceklerinide sanmıyorum.

sevimsli' Alıntı:

...eticaretlerimizde de güvenlik konusunda Allah yolundayız

Genişletmek için tıkla ...

Katılıyorum, bilişim sektörü olarak aslında tamamen pamuk ipliğine bağlı olarak dolaşıyoruz...

açıktan kastınızı hala anlayamadım ssl sertifikası kullanan sitelere kolayca güvenlidir diye kimse uğraşmaz ve bu arada esas açık ssl üzerinden başlar senaryo devam eder ....
hikaye bumu birde ssl sertifikalarındaki güvenlik kulananlar bilir çok saçma zaten bnim yaptığım siteyi https protokolunde açıyor birde bir elektronik sertifika veriyor al sana ssl ama hala anlamış değilim nasıl güven sağlıyor
hadi ben posu bağladığım apilerde açıkalr bıraktıysam ????
kardeşim bu konuya azıcık daha açıkca değinirmisin? tam olarak nedir bu nasıl açık ne yapınca sisteme sızıyoruz bilelimki önlemlerimizi alalım

Açıktan kastım bizzat ssl in açığı ne senin yazdığın program nede yükleme açıklarından bahsediyorum ssl kendi açığından bahsediyorum ... Yukarda ssl güvenlik kodunun şifreleme yöntemini izah ettim bu ssl koduna ulaştığında da posta direk ulaşabiliyorsun ve bilgileri kolayca ele geçirebilir konumuna geliyorsun . Dikkat ne yükleme nede eticaret uygulaması benim kastım bizzat ssl , ssl güvenli değil ve bizzat uygulama değişikliği dünyada yapılmııtır . Ssl le uğraşılmaz sözü yanlıştır bizzat kredi kartı sahteciligi ve dolandırıcılığının %18 sı ssl açığı ile ele geçirilmiş durumda ..Bu orana kıyaslarsanız virüsden sonraki en büyük rakam ve amazon yada e bay gibi sitelere bakarsanız ssl kullanmamakta farklı güvenlik yöntemleri bulunmakta..Heiken in dediği gibi AES aranmakta ve AES standartlarını bizzate eticaret sahipleri yazmakta yada sunucu servisi sağlanmakta ..