Web Güvenliği Kullanıcı Uyarı Sistemi

 

Alpay  ERDEM                     Kıvanç  DİNÇER

Bilgisayar Mühendisliği Bölümü
Başkent Üniversitesi
Bağlıca Kampüsü
06530 Ankara
http://www.baskent.edu.tr/~ceng/
{aerdem | kdincer}@baskent.edu.tr

Özet

 

Bu bildiride son yıllarda web’de sörf yapanları etkileyen  web güvenliği problemlerinden sörf yapan kişinin mahremiyetini ihlal etmeye, kullandığı sistemin bütünlüğünü bozmaya, sistemin yararlı hizmet vermesini engellemeye veya sadece rahatsızlık vermeye yönelik yapılan saldırılar, sebepleri ile birlikte açıklanmaktadır. Güvenlik problemlerinin birçoğunun  web tarayıcılarının kaynak kodunda yer alan hatalardan veya  JavaScript, ActiveX ve Java gibi aktif içerik sağlayan teknolojilerin doğurduğu  güvenlik boşluklarından istifade edilerek yapıldığı sonucu ortaya çıkmaktadır.Bazen de bu tür aktif içerik teknolojilerinin tarayıcılarla etkileşimi sırasında ortaya güvenlik boşlukları çıkabilmektedir. Yaptığımız  çalışma sonucunda değişik tarayıcı tip ve sürümlerindeki güvenlik problemlerini kapsayan bir arşiv oluşturulmuş ve web kullanıcılarını kendi güvenlikleri konusunda bilgilendirmek amacıyla bir web tarayıcı güvenlik uyarı sistemi sitesi tasarlanmıştır. Bu siteye bağlananlara kullandıkları tarayıcıların dışarı sızdırdığı bilgiler gösterilmektedir. Sızan bilgilerin içeriği tarayıcının tür ve sürümüne, sörfçünün sistemine göre değiştiği için ziyaretçilere gösterilen bilgilerin içeriğinde kişiden kişiye farklılıklar olabilmektedir. Tarayıcılarla ilgili ortaya çıkan güvenlik problemlerinin büyük kısmı çözülmüş olmakla beraber farkında olmadan halen eski sürüm tarayıcılar kullananlar tehdit altındadır. Sörfçünün tarayıcısı ile ilgili bilinen güvenlik problemleri de kendisine bildirilmekte, hatta bilgisayarına zarar vermeyecek şekilde bunlardan bazılarının online demo’sunu görmesine olanak sağlanmaktadır. Kullanıcının sistemine uygun yeni sürüm tarayıcılar veya gerekli sistem yamaları da bu siteden merkezi olarak hizmete sunulmaktadır.

 

Anahtar kelimeler: web güvenliği, web tarayıcı güvenliği, aktif içerik teknojilerinin güvenliği, web güvenliği arşivi.