Web Güvenliği Kullanıcı Uyarı Sistemi
Alpay ERDEM Kıvanç
DİNÇER
Bilgisayar
Mühendisliği Bölümü
Başkent Üniversitesi
Bağlıca Kampüsü
06530 Ankara
http://www.baskent.edu.tr/~ceng/
{aerdem | kdincer}@baskent.edu.tr
Özet
Bu bildiride son yıllarda webde sörf
yapanları etkileyen web
güvenliği problemlerinden sörf yapan kişinin mahremiyetini ihlal
etmeye, kullandığı sistemin bütünlüğünü bozmaya, sistemin
yararlı hizmet vermesini engellemeye veya sadece rahatsızlık
vermeye yönelik yapılan saldırılar, sebepleri ile birlikte
açıklanmaktadır. Güvenlik problemlerinin birçoğunun web tarayıcılarının
kaynak kodunda yer alan hatalardan veya
JavaScript, ActiveX ve Java gibi aktif içerik sağlayan
teknolojilerin doğurduğu
güvenlik boşluklarından istifade edilerek
yapıldığı sonucu ortaya çıkmaktadır.Bazen de bu
tür aktif içerik teknolojilerinin tarayıcılarla etkileşimi
sırasında ortaya güvenlik boşlukları çıkabilmektedir.
Yaptığımız
çalışma sonucunda değişik tarayıcı tip ve
sürümlerindeki güvenlik problemlerini kapsayan bir arşiv
oluşturulmuş ve web kullanıcılarını kendi
güvenlikleri konusunda bilgilendirmek amacıyla bir web tarayıcı
güvenlik uyarı sistemi sitesi tasarlanmıştır. Bu siteye
bağlananlara kullandıkları tarayıcıların
dışarı sızdırdığı bilgiler
gösterilmektedir. Sızan bilgilerin içeriği tarayıcının
tür ve sürümüne, sörfçünün sistemine göre değiştiği için
ziyaretçilere gösterilen bilgilerin içeriğinde kişiden kişiye
farklılıklar olabilmektedir. Tarayıcılarla ilgili ortaya
çıkan güvenlik problemlerinin büyük kısmı çözülmüş olmakla
beraber farkında olmadan halen eski sürüm tarayıcılar
kullananlar tehdit altındadır. Sörfçünün tarayıcısı
ile ilgili bilinen güvenlik problemleri de kendisine bildirilmekte, hatta
bilgisayarına zarar vermeyecek şekilde bunlardan
bazılarının online demosunu görmesine olanak
sağlanmaktadır. Kullanıcının sistemine uygun yeni
sürüm tarayıcılar veya gerekli sistem yamaları da bu siteden
merkezi olarak hizmete sunulmaktadır.
Anahtar kelimeler: web güvenliği, web tarayıcı güvenliği, aktif içerik teknojilerinin güvenliği, web güvenliği arşivi.