Bir güvenlik önlemi daha yerle bir oldu

Banka ve online alışveriş sitelerinin çok güvendiği bir kale daha yerle bir oldu: SSL'i de kırdılar.

Okumak için: https://www.chip.com.tr/konu/Bir- ... bir-oldu_11100.html

Secure Socket Layer, yani SSL, web sitelerini özel şifreleme yöntemleri ile koruyan bir teknoloji. Gönderilen ve alınan tüm veriyi gelişmiş yöntemlerle şifreleyen SSL, bu sayede transfer edilen verilere başkaları ulaşabilse bile, şifreyi kırmadan kullanamamalarını garanti ediyor. Fakat tek amacı SSL'in güvenli olmadığını ispatlamak olan ve kendini  Moxie Marlinspike adıyla tanıtan bir araştırmacı, bir konferansta SSL ile korunan sitelere bir hacker gibi saldırarak, bu sitelerde güvenli bir şekilde saklandığı sanılan bilgilere çok kolay bir şekilde erişmeyi başardı.

SSL ile korunan sitelerin adres satırının başında yer alan http protokol tanımı, HTTPS'e dönüyor. Fakat çoğu kez, pek çok kullanıcı HTTPS protokolünü doğrudan kullanmadan, standart http üzerinden istediği siteye bağlanıyor ve bir link üzerinden SSL güvenliği bulunan HTTPS bölümüne geçiyor. Kimliğini açıklamayan araştırmacı SSL'e hiç dokunmadan bu geçişe ufak bir müdahalede bulunup, kendi zararlı yazılımını bu araya yerleştiriyor ve kimsenin ruhu bile duymadan tüm verilere ulaşmayı başarıyor.

Araştırmacı bunu engellemek için tek yöntemin kullanıcıların HTTPS protokolüne geçiş yaptıkları HTTP sayfasında çok dikkatli olmaları gerektiğini söylüyor.

Tüm konu: Bir güvenlik önlemi daha yerle bir oldu

Kaynak: www.chip.com.tr

Tartışıyoruz: Sizce standart kullanıcılar HTTPS ile http farkını ayırt edebilir mi?

Çoğu zaman edilmiyor. Zaten çoğu web yazılımları HTTPS protokolüne otomatik geçiş sağlıyor. Bu bahsedilen açık orada da geçerli ise, vay halimize.. Gerçekten SSL e güvenirdim. Umarım bir hal çaresine bakılır.

Tabi bu açıdan baktığımızda, SSL'in suçundan çok, geliştiricinin suçuna benziyor bu olay. Yani web yazılımını yapan kişi bu konuda önlemler alırsa, güvenlik katmanına geçerken bu tarz açıklara yol açmayabilir. Olay hakkında detaylı bilgi almadan böyle konuşmak kolay tabi ama herhalde bu yöntemle bu olayın önüne geçilebilseydi, bu makalede de yer alırdı diye düşünüyorum.

sunu 256 bıt yapsınlarda korunalım barı  ssl de patladı demek bende hep https olanı guvenlı sanardım demek bır sure netten ıslem yapmıcaz demek...

SSL'in 256 bit olan çeşitleride mevcut.

Bence SSL çözülmüş değil sadece geçiş aşamasında ki belki açılan session (özel tünel diyelim) açılması anında ilk girişine yerleştirilen progmla SSL e dahil oluyor. elen eçen şifreli bilgiyi tünel içinde olduğu için görüyor. Yoksa 128 bit SSL kırmak bile çok uzun zamanlar alıyor. Hatta çok üölü makinalarla yıllar aldığını okumuştum. Kaldı ki SSL çözüldü diye düşünmüyorum. Çünkü bir şekilde SSL'e dahil olunuyor.

Zaten http https olma süresi çokta uzun bir süre değil bence sertifikalarla da desteklendiğinde gerçekten çözmek çok kolay gibi görünmüyor.

Bu kişisel fikrim.

olay kırmaktan çok hızlı kırmak....yoksa kırdığında adamın hesabı kapanmış olacaksa...

OnlyMann

Bence SSL çözülmüş değil sadece geçiş aşamasında ki belki açılan session (özel tünel diyelim) açılması anında ilk girişine yerleştirilen progmla SSL e dahil oluyor. elen eçen şifreli bilgiyi tünel içinde olduğu için görüyor. Yoksa 128 bit SSL kırmak bile çok uzun zamanlar alıyor. Hatta çok üölü makinalarla yıllar aldığını okumuştum. Kaldı ki SSL çözüldü diye düşünmüyorum. Çünkü bir şekilde SSL'e dahil olunuyor.

Zaten http https olma süresi çokta uzun bir süre değil bence sertifikalarla da desteklendiğinde gerçekten çözmek çok kolay gibi görünmüyor.

Bu kişisel fikrim.

Güvendiğimiz dağlara kar yağdı..

walla bu saatten sonraa netten işlem yapılamaz duruma düştük...s ve  p yı farkını aciliyetı olan bıseyde gormemız asla mumkun degıl bu nasıl bır sorudur ayrıcaaa:????*?*

sanalk ortamda zaten bu gibi şeylerin yapılmasına çok ta sıcak bakmıyorum her zaman için risk taşımaktadır

Ama bu HTTP ile HTTPS arasındaki bağlantının kırılması.Yani SSL koruması güvenli,HTTP arasındaki bağlantıda bir açık var.