Dijital dönüşümün hızlanmasıyla birlikte gerek kurumsal gerekse son kullanıcıya yönelik birçok hizmet ve süreç web Escort Üsküdar uygulamalarıyla yönetilir hale geldi Bankacılıktan eğitime sağlıktan ulaşıma kadar pek çok süreç web uygulamaları üzerinden yürüyor Çağdaş hayatın kritik bileşenlerinden biri haline gelen bu uygulamaların güvenliğini garanti altına almak ise Üsküdar Escort hizmet sağlayıcıların en değerli misyonlarından biri oldu Türkiye nin öncü siber güvenlik entegratörü Innovera inançlı bir internet tecrübesi için web uygulama geliştiricilerin alması gereken güvenlik önlemlerini 10 unsurda özetledi
1 Üsküdar Escort Bayan İNANÇLI TEMAS VE YENİ SERTİFİKALAR KULLANIN Tarayıcıların adres çubuğunda yeşil bir kutucuğun içerisinde yer alan Güvenli ibaresi bağlı olduğumuz internet sitesinin uçtan uca şifrelendiğini gösteriyor Bu ibareye sahip olabilmek için ise sitenin HTTPS protokolüyle çalışması gerekiyor Sıradan HTTP sayfalarının sonuna eklenen S ibaresi ismini İngilizce güvenlik sözünden alıyor ve interneti şifreleyerek inançlı hale getiriyor Bu yüzden ödeme ve üyelik sayfaları üzere kullanıcı tarafından data girişi yapılan her internet sayfasında bu protokolün kullanılması gerekiyor
Güvenli internetin gelişmesine öncülük eden Google üzere arama motorları her internet sitesinin bu protokolü kullanmasını tavsiye ediyor İnançlı kontaklar farklı hizmet sağlayıcılardan satın alınan SSL Sertifikaları ile elde ediliyor Bu sebeple sertifikalandırma süreçlerinde hem sağlam bir firma ile çalışmak hem de sertifikanın yeni olduğuna emin olmak gerekiyor
2 DIŞ AĞA AÇIK GİRİŞ EKRANLARINA CAPTCHA YERLEŞTİRİN Bir siteye üye olurken ortaya çıkan Ben robot değilim kutucuğunu hepimiz yakından tanıyoruz Bu kutucuğa tıkladığımızda yapay zeka ve makine tahsilinden beslenen algoritmalar internet üzerindeki tüm faaliyetlerimizi denetim ederek bizim gerçek bir insan olup olmadığımızı denetim ediyor Kuşkulu bir hareket sezdiğinde ise karşımıza görseller çıkararak bizden yanlışsız seçimleri yapmamızı bekliyor
Captcha olarak isimlendirilen ve hayatımıza okunması güç harf kombinasyonlarıyla giren bu denetleme sistemini şirketinizin dış ağa açık olan giriş ekranlarında kullanabilirsiniz Çoklu yanlış denemelerde hesabı muhakkak bir mühlet kısıtlayarak brute force olarak da bilinen ve sistemlere sızmak için gerisi gerisine bilgi girişi yapılması gereken hücumların önüne geçebilirsiniz
3 İSTEMCİLERDE ÇEREZ GÜVENLİĞİNİ SAĞLAYIN İnternet üzerindeki her hareketimizde gerimizde bir iz bırakıyoruz Bu izler pazarlama ve reklam için kullanılabileceği üzere makûs emellerle da kullanılabiliyor Bu sebeple kullanıcıların dijital dünyadaki ayak izleri manasına gelen çerezlerin cookie en âlâ biçimde korunduğuna emin olmak gerekiyor Örneğin çerezlerin samesite başlıklarındaki güvenlik httponly ve secure kullanarak artırılabiliyor İnternet sitesinde CSRF ve XSS üzerinden oluşabilecek riskler ise sunucunun başlık header bilgilerine sameorigin SOP cross origin resource sharing CORS ve http nosniff ibarelerinin eklenmesiyle minimuma iniyor Bu süreçler biraz teknik olsa da kısa bir internet araştırmasıyla çarçabuk uygulanabiliyor
4 İDDİA EDİLEBİLİR DİZİNLERDEN KAÇININ Uygulama sunucusu üzerinde iddia edilebilir dizin isimleri olmadığından emin olmak kritik evrakların güvenliği için hayli kıymetli Dışarıdan erişilmesini istemediğiniz bir belgenin ismini belge olarak kaydettiğinizde site domaininin sonuna eklenen belge sözü rastgele bir kullanıcının ilgili belgelere erişmesi manasına geliyor Bu sebeple belge ve dizinlere yüksek hassasiyetle yaklaşmaya daha isimlendirme evresindeyken başlamak gerekiyor
5 BOTLARA DİKKAT EDİN Web uygulamanızdaki hassas dizinlerin robots txt evrakı içinde yer almadığından emin olun Google Yandex ve Bing üzere arama motorları tarafından yaratılan ve interneti nizamlı olarak tarayan akıllı botlar her internet sayfasını tek tek tarayıp arama sonuçlarında tüm dünyaya sunmak için durmaksızın çalışıyor Özel bilgiler içeren ve sizden öbür kimsenin görmesini istemediğiniz sayfaların ezkaza bir Google aramasında çıkmasını istemezsiniz Neyse ki kolay robots txt düzenlemeleri ile bu durumun önüne geçilebiliyor
6 GÜÇLÜ PAROLALAR KULLANIN 2019 yılında azımsanmayacak sayıda insan hala doğum tarihi ve isimlerinden oluşan kombinasyonlarla parolalar oluşturuyor Bu parolalar hem makus niyetli bireyler tarafından rahatlıkla iddia edilebiliyor hem de dakikada binlerce deneme yapabilen ziyanlı yazılımlar tarafından çarçabuk çözülebiliyor Bu yüzden en az sekiz karakterden oluşan ve içerisinde sayı özel karakter büyük ve küçük harf barındıran güçlü şifreler oluşturmak gerekiyor
7 HER FRAMEWORK VE KÜTÜPHANEYİ KULLANMAYIN İnternet üzerinde çalışan tüm uygulamalar sayısız framework ve kütüphaneden faydalanıyor Framework web uygulamasının ortaya çıkmasını sağlayan çalışma ortamını kütüphane ise daha evvel diğerleri tarafından hazırlanmış hazır kod parçacıklarını temsil ediyor Bu ikili çoklukla yapılacak işin gereksinimine nazaran projenin başlangıç evrelerinde seçiliyor Web uygulamanızda bir kütüphane kullandığınızda aslında dışarıdan dayanak almış oluyorsunuz Grubunuzdan olmayan farklı bir geliştirici tarafından yazılmış kod parçacıklarını projenize dahil ediyorsunuz Hülasa seçici olmakta büyük yarar var Aktüel versiyonlara sahip olmayan ya da günümüz teknolojileriyle uyumlu çalışmayan kütüphane ve framework ler faydadan çok ziyan getirebiliyor
8 FORMLARINIZI İNANÇTA TUTUN Uygulamalarda bulunan form süreçlerinde kullanıcılarınız için rastgele üretilmiş eşsiz bir token geçici anahtar ile Siteler Ortası Talep Sahteciliği CSRF zafiyetine karşı tedbir alabilirsiniz Bu token lar kullanıcıların yapmak istedikleri süreç için sırf bir sefer üretilir ve bir mühlet sonra kullanım dışı kalır Böylece uygulamanızda uçtan uca güvenlik sağlar
9 TEMİZLEME SÜRECİ SANİTİZE Kullanıcılarınızdan gelen tüm bilgilerin denetim edilerek sürece alındığından emin olmak ismine temizleme süreci Sanitize yapılmalıdır Sanitize girdinin kabul edilebilir bir formata çevrilmesi sürecidir Beyaz liste mantığı ile sanitize sürecine örnek vermek gerekirse kullanıcıdan alınan TCKN verisinin içinde geçen ve sayı olmayan tüm karakterlerin silinmesidir Kara liste mantığı ile sanitize sürecine örnek vermek gerekirse kullanıcıdan alınan isim parametresi üzere alanlarda bulunan ve uygulama için risk oluşturabilecek tek tırnak çift tırnak vb karakterlerin silinmesi gösterilebilir Bilgi kontrolü gerçekleştirirken uygun alanlarda beyaz liste mantığı ile tedbir alınmasını önermekteyiz
10 AYRINTILI KUSUR BİLDİRİSİ GÖSTERMEYİN Ortaya çıkan kusur bildirilerini tek tek denetim ederek kullanıcılarınıza gereğinden fazla bilgi sunan detaylı kusur iletilerinin verilmesini engellemeniz gerekiyor Çünkü bir siber saldırgan ayrıntılı bir kusur iletisinden sisteminizin nasıl çalıştığına ait fikir edinebilir Bu sebeple yanılgı ayıklama datalarını incelenmek üzere harici bir kayıt evrakına yönlendirmenizi tavsiye ediyoruz