E-Siber.com
M. Mekin Pesen
Sitede 1775 okunmaya değer yazı var.

Modern Web Tarayýcýlarýnýn Handikaplarý

Web tarayýcý pazarýndaki þiddetli rekabetten ötürü yeni özellikleriyle zenginleþen ve fonksiyonlarý artan web tarayýcýlarý aslýnda güvenlik ve gizlilik açýsýndan giderek daha da karmaþýklaþýyor. Karmaþýklýk ise güvenlik ve gizliliðin baþ düþmaný konumunda.

 

Modern web tarayýcýlarýnýn rekabetteki en baþat parametresi "hýz" oluyor. Hepsi web sayfalarýný kullanýcýnýn karþýsýna daha hýzlý bir þekilde getirmenin derdinde. Bunun için protokol bazlý geliþmelerden tutun oturum ve çerez bazlý iyileþtirmelere kadar onlarca inovatif geliþme üzerinde çalýþýlýyor. Sayfalarý hýzlý getirmek adýna yapýlan bütün bu çabalar kullanýcý farkýna varmadan arka planda çok ciddi veri sýzýntýlarýna ve güvenlik zaafiyetlerine neden olmaktadýr. Ýþte bu yazýda bunlardan birkaçýna deðineceðiz.

 

 

OTURUM ÇEREZLERÝ (Cookies)

Birçok tarayýcý kullanýcý tüm çerezlerini sildiðinde oturum çerezlerini de silerken baþta Chrome ve bazý web tarayýcýlarý oturum (session) çerezlerine dokunmamaktadýr. Bu yüzden siz tarayýcýyý tamamen kapatmadýðýnýz sürece ilgili servisler hala sizi takip edebilme yeteneðini sürdürebiliyor.

 

TARAYICI EKLENTÝLERÝ

Web deneyimini zenginleþtiren eklentiler, kullanýcý onu kurar kurmaz çoðu kez inanýlmaz ayrýcalýklarý da alýyor. Bu yüzden kullanýcý farkýnda olmadan eklentiler arka planda iþlemeye ve sahip olduðu inanýlmaz yetkilerle çalýþmaya devam edebiliyor. Özellikle antivirüs firmalarýnýn eklentileri kullanýcýnýn ziyaret ettiði her siteyi kontrol ettiði için bütün ziyaret trafiði bu firmalarýn sunucularýna doðru akýyor. Her geçen gün ortaya çýkan yeni veri sýzýntýsý skandallarýna benzer bir þekilde antivirüs firmalarýnýn topladýðý bu kullanýcý tarama verilerinin herkese ayan olmasý da neredeyse an meselesi. Bir de antivirüs eklentilerinin bu verileri þifresiz olarak aktarmasý veya barýndýrmasý neticesinde durum daha da vahim bir hale dönüþüyor.

 

DNS ÖNYÜKLEME

DNS önyükleme özelliði, web tarayýcýlarýnýn, kullanýcýlar herhangi bir sayfayý ziyaret ettiklerinde o sayfalarda yer alan linkleri daha kullanýcý onlarý ziyaret etmeden önce çözmesidir. Yani ziyaretçi bu sayfadaki diðer linklere týkladýðýnda DNS çözümlemesi çoktan yapýlmýþ oluyor. Ýlk bakýþta çok yararlýymýþ gibi gözüken bu modern özellik aslýnda çok fena bir açýk meydana getiriyor.

Örneðin, ziyaretçinin ziyaret ettiði sayfada kötücül amaçlý olarak gizlenmiþ bir web baðlantýsý DNS önyüklemesi sayesinde önceden çözümlenebiliyor. Böylece bu kötücül amaçlý baðlantýnýn sahibi ziyaretçi daha o sayfaya gitmeden önce ona gelecek olan kaynaðý öðrenebiliyor. Yani ziyaretçinin IP adresini ve geldiði sayfayý kötücül baðlantýnýn sahibi çok önceden tespit edebiliyor. Bu durum özellikle e-postalar ve forum sayfalarýnýn içine gizlenmiþ kötücül linkler için bulunmaz bir nimet.

 

SAYFA ÖNYÜKLEME

Kullanýcýnýn adres çubuðuna gitmek istediði sayfanýn adresini yazmaya baþlar baþlamaz web tarayýcýnýn hemen adresin geri kalan kýsýmlarýný tamamlamasý ve sayfasý çözmeye baþlamasý olarak bilinen bu özellik yüzünden kötücül amaçlý sayfalar ve sunucular ziyaretçileri daha tam olarak gelmeden öðrenebiliyor ve iþlem sorgularýný anýnda gerçekleþtirmeye baþlayabiliyor. Özellikle Chrome'un bariz bir özelliði olarak bilinen sayfa önyükleme ile kullanýcýlar yanlýþlýkla bazý üye olduklarý web servislerini direkt baðlantý adresine ulaþtýklarý için silebilir ya da anýnda kötücül içerikler maruz kalabilirler.

 

Web sayfalarýný daha hýzlý yüklemek adýna HTTPS protokolü üzerinde bile sýkýþtýrma yöntemleri ile oynanmasý neticesinde, en son yapýlan Black Hat konferasýnda ortaya çýkan BREACH (Browser Reconnaissance & Exfiltration via Adaptive Compression of Hypertext ) yöntemiyle SSL/TLS oturumlarý 30 saniye içinde kýrýlabilir hale geldi. Bu da bize tarayýcýlar ve protokollerde iyileþtirmeler adýna yapýlan oynamalarýn nasýl yan etkilerinin olabileceðinin en bariz kanýtý oldu.

 

Ayrýca konuyla baðlantýlý olarak diðer yazýlarý da inceleyebilirsiniz:


· · · · · ·
Yazan: | 04.08.2013 | 2565 kez okundu.

Yazılar E-Posta Kutunuza Gelsin:

Bu yazıyı izinsiz olarak alıp başka herhangi bir yerde yayınlayamazsınız (Bkz "dijital at hırsızı" kimdir?). Yazıların başka yerlerde yayınlanmasına ücreti mukabili izin veriyoruz. Yazıları izinsiz olarak başka bir yerde yayınlamanız, her türlü hukuki sonucu kabul ettiğiniz manasına gelir. Yazıları izin almak ve kaynak göstermek kaydıyla sadece kamu kurumları ve akademik araştırmacılar ücretsiz olarak kullanabilir. Bunların dışında kalan herkes ücret öder. Detaylar için bize ulaşın.

Yorum altyapısı: Disqus

Yukarı Çık

M. MEKİN PESEN
© 2007-2015 E-SİBER BİLGİ-İLETİŞİM TEKNOLOJİLERİ
E-Siber.com | E-Siber.net | ESiber.com | ESiber.net | RSS | Facebook | Twitter | E-Posta Aboneliği
IP: 54.146.28.90 | Yüklenme: 0.403 saniye. | Hakkımızda | İletişim | Reklam Verin | Site Politikaları | Atıflar