|
HTTP
Protokolü ve Gizlilik
HTTP protokolü geliştirilirken amaç sadece bilgileri
düzgün bir biçimde kullanıcılara sunabilmekti.Bir
HTTP requesti yapıldığında (örnek olarak
IE ile bir html dosyası alınırken) aşağıdaki
sonuç alınır:
GET /index.html HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/vnd.ms-powerpoint,
application/vnd.ms-excel, application/msword, */*
Referer: http://www.turkzine.com/arsiv/index.html
Accept-Language: en-us
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows NT 5.0)
Host: 212.52.101.28:80
Connection: Keep-Alive
Websunucusuna bir tcp/ip bağlantısı yapıldığında
sizin ip adresiniz alınır ve size cevap gönderilir.Yukarıda
gördüğünüz bütün bilgiler kolaylıkla
alınır ve websunucusunda saklanır.Ayrıca o siteye
birisi link vererek sizi gönderdiyse o adresde(referer) sunucuda
saklanır.
IP adresiniz (siz saklamadıkça) web sunucusunun size dataları
göndermesi için daima sunucuya verilir.İşte
bu nedenle anonymous proxy sunucuları yapılmıştır.Bu
tip anonymous proxy sunucularını kullanarak(ya da socks4,telnet
session) ip numaranızın sunucu tarafından loglanmasını
engelleyebilirsiniz.Fakat bu işlem sizin tam anlamıyla
gizliliğinizi sağlayamaz.
HTTP requestinde Referer olarak geçen kısım,sizi
o siteye gönderen adrestir.Bu bazı durumlarda sorunlara
yol açabilir(şifreleri adresler,http protokolü üzerinde
çalışan admin servisleri,vb).Bu nedenle kullanacağınız
anonymous proxy sunucusunun HTTP requestlerinde refereri göndermemesi
çok önemlidir.
HTTP protokolünde "Basic HTTP Authentication" standart
olarak kullanılarak sizin bir siteye login olmanızı
sağlar.Fakat bu işlemde kullanıcı adı ve
şifreler crypt edilmeden gönderilir ve sizin bağlantığınızı
sniff eden biri tarafından rahatlıkla bulunabilir.
HTTP protokolünden kaynaklanan bu problem SSL ile bağlantı
yapan serverlarda sorun çıkarmamaktadır.
- Otomatik Olarak Çalıştırılan Programlar
Tarayıcılar,bazı yazılımlar tarafından
bir dosya yüklendiğinde otomatik olarak ilişkilendirilen
program tarafından açılması için ayarlanabilir.Bu
işlem, dosyanın açıldığı bilgisayarda
büyük bir probleme neden olabilir.
- JavaScript ve Benzeri Scripting Teknolojileri
JavaScript, web yayıncılarına HTML'de olmayan bir
çok fonksiyonu yapabilmelerine olanak tanıyor.Bu özellik
ile web yayıncıları dinamik web siteleri yaratabiliyorlar.Tabii
ki bu scriptlerin çalışması için browserinizda
bu özelliği açmanız gerekiyor.JavaScripting
i aktif ettiğiniz zamanda web üzerindeki gizliliğinizden
bir parça daha koparmış oluyorsunuz.
Javascript,VBScript ve benzeri diller ile web yayıncısı
o dilin kodlarını bilgisayarınız üstünde
çalıştırabiliyor.Tabii çalıştırılan
bu kodlar,teoride sizin bilgisayarınızda bulunan dosyaları
okuma,yazma ve silme gibi özelliklerle sınırlandırılmış.
Javascript ile, HotMail ve Yahoo gibi webmail servislerinde hesabı
olan kullanıcılar bir mail aldıklarında,o maili
gönderen kişinin istediği bir sayfaya yönlendirilebiliyorlardı.Yönlendirilen
sitede kullanıcının şifresini tekrar girmesini
isteyip,o kişinin şifresini ele geçirebiliyorlardı.
- Java Problemleri
Java ile yazılan kodlar, Java Virtual Machine üzerinde
işletim sistemi tanımaksızın çalışma
özelliğine sahipti.Bu özelliği sayesinde java
popüler web tarayıcılarına eklendi.Önce
Netscape ve ardından Internet Explorer java ile yazılmış
kodları çalıştırmaya başladı.Java
çalıştırabilme özelliği tarayıcılara
eklendikten sonra kullanıcıların aldığı
risk bir kat daha arttı.Örnek olarak, Internet Explorer
5.5'de çalıştırılan bir java kodu,tarayıcıya
local java kodu olarak tanıtıldığında sistemde
büyük bir güvenlik açığına yol
açabiliyordu.
Java ile ilgili başka bir açıkta,Brown Office adıyla
piyasaya sürülen ve Netscape tarayıcılarının
http sunucusu gibi,internet exploreri ise proxy sunucusu olarak
çalıştırabiliyordu.
- Çerezler (Cookieler)
Cookieler sayesinde bir webmaster sitesine gelen ziyaretçinin
bilgisayarında bir çok bilgiyi saklayabilir.Bu özellik
webmasterın bilgisayarınızda bulunan bütün
cookilere okuma/yazma hakkına sahip olduğunu göstermez.
Cookilerden oluşan en büyük problem bir webmasterın,başka
bir site tarafından oluşturulmuş bir cookieyi okuyabilmesidir.Bu
nedenle websiteleri asla şifreleri,kredi kartı numarlarını
cookielerde saklamamalı ve kullanıcılar hangi domainlerin
cookielerini okuyabileceğini ayarlayabilmeli.
Ayrıca cookielerden oluşan başka bir problem ise
Netscape browserinin bir javascript ile sistemdeki html dosyalarını
okuyabilmesiydi.
- ActiveX Teknolojileri
ActiveX dosyaları HTML dosyasına <object> tagi,javascript
ya da vbscript ile eklenmektedir.ActiveX ile bilgisayarınızda
bulunan dosyalara erişilebilmektedir.
En büyük problem,web browserlar tarafından kullanılmayan
fakat activex'te güvenli olarak tanımlanan hard diskteki
dosyalara erişim özelliği.
Microsoft Internet Explorer 5.01 için yazılmış
bir exploit,ActiveX ayarları aktif edilmemiş olsa bile
Microsoft Office yazılımları ile o bilgisayarda çalıştırtılabiliyordu.
ActiveX teknolojisi ile bilgisayarınızda virus taraması
bile yapılabiliyor.Bu işlem ile bilgisayarınızı
tamamen karşı tarafa teslim etmiş oluyorsunuz.
- Çözümler
Bütün bu problemlerden kendinizi korumak için en
güvenli yol,size gönderilecek olan dataların bir
proxy sunucusu tarafından filtrelenmesidir.Ayrıca ip numaranızı
devamlı olarak değiştirmek isterseniz anonymous surf
yazılımlarını kullanabilirsiniz.Bilgisayarınıza
kuracağınız bir proxy sunucusu ile sizden gönderilen
bilgilerin(şifreleriniz,adınız,vs) hepsini kontrol
edebilirsiniz.
Ayrıca bir proxy sunucusu ile ActiveX objelerini kontrol edebilir,embed
edilmiş script taglerini,img tagi içine eklenmiş
javascript kodlarını filtreleyebilirsiniz.
Son olarak kullandığınız tarayıcıyı
her zaman update ederseniz bir çok güvenlik açığından
bilgisayarınızı koruyabileceksiniz. |
|
