E-Siber.com
M. Mekin Pesen
Sitede 1774 okunmaya değer yazı var.

Niçin Bütün Web Siteleri ve Uygulamalarýnda HTTPS Kullanýl(a)maz

httpsHTTPS (HTTP-Secure), baðlantý kurulan site ile ziyaretçi arasýndaki bilgilerin baþkalarý tarafýndan okunamayacak þekilde iletilmesi prensibine dayanan yöntemleri ve kurallarý düzenleyen güvenli internet iletiþimi protokolüdür. Kredi kartý ve kiþisel veriler gibi hassas bilgilerin online taþýndýðý sitelerde ve platformlarda kullanýlmasýnýn beklendiði çok önemli bir protokoldür. Twitter ve Facebook gibi popüler aðlarda bile son zamanlara kadar kullanýlmayan HTTPS, bu kadar güvenli olmasýna raðmen neden tüm sitelerde kullanýl(a)maz?


?zellikle banka ve alýþveriþ sitelerinin adreslerinin baþýnda görülen "https://", bize kullanmakta olduðumuz baðlantýnýn güvenli olduðunu, hassas bilgilerimizin baþkalarý tarafýndan okunamayacak þekilde iletildiðini gösterir. Bu baðlantýda iletiþim sadece karþý tarafýn (sunucunun) anlayabileceði þekilde þifrelenir. Böylelikle hassas bilgilerimizin güvende olduðundan emin olmamýz saðlanýr.


Aslýnda bütün bu HTTPS tartýþmalarý halka açýk aðlarda, aðý kolaçan ederek aða baðlý diðer bilgisayarlardaki açýk sosyal að profillerine eriþebilen FireSheep uygulamasýndan çýktý. Uygulama sayesinde kafe, kütühane gibi halka açýk alanlardaki wi-fi aðlar üzerindeki tüm kullanýcýlarýn Facebook ve Twitter gibi profillerine ulaþýlabiliyordu. Bu tip bir uygulamanýn varlýðý, iki büyük sosyal að sitesinin baðlantýlarýnda https protokolünü kullanmaya itti. 

Oysaki o ana kadar ne Twitter ne de Facebook gibi çoðu kullanýcýnýn doðrudan þahsi bilgilerini paylaþtýðý platformlar, güvenlik için https protokolünü kullanýyordu. FireSheep problemi yüzünden önce Twitter, masaüstü tarayýcýlarýdan https kullanýmýna geçti. Tabiki yine kullanýcýnýn isteðine baðlý olarak. Ve hala cepten Twitter'e eriþimler http üzerinden gerçekleþtiriliyor. Bunun için adresi https olarak elle girmeniz gerekiyor.

Google da kendi servislerinin API ile kullanýmlarýnda bundan böyle https kullandýracaðýna dair duyuruyu yine yakýn bir zamanda yaptý. Kiþisel gizlilik ve mahremiyet üzerine yoðun çalýþmalar yapan EFF (Elektronik Sýnýrlar Vakfý) ile Firefox web tarayýcýsý kullanýcýlarý için tüm internet baðlantýlarýný HTTPS protokolü üzerinden gerçekleþtirebilecekleri (HTTPS Everywhere) bir Firefox eklentisini uzun bir süre önce yayýnladý.


http-secure


Yakýn zamana kadar Twitter ve Facebook'un bile 'normalde' vermediði bu hizmetin güvenli olmasýnýn yanýnda bir takým dezavantajlarýndan ötürü tüm sitelerde kullanýlmasý mümkün olamamaktadýr.

Tüm bir Web'in HTTPS baðlatýsýna geçmesi görünürde olasý ise de, aslýnda herkesin https kullanmamasýnýn çok önemli gerekçeleri mevcut.


Bu protokole geçmemekteki ilk sorun, bu protokolü kullanmak için gerekli olan SSL (Secure Socket Layers) sertifikalarýnýn gerekeðinden pahalý olmasýdýr. Fakat bu bahane milyonlarca dolarý döndüren web servisleri için çok ta sorun olmasa gerek.

Asýl önemli problem ise, HTTPS'de cache yani belleklemenin olmamasýdýr. Esasýnda bu sorun, sitenin yayýn yaptýðý yerde yani ayný kýtada bulunan kullanýcý için sorun teþkil etmese de, çoðu kullanýcýsý kendisinden uzak farklý kýtalarda bulunan Facebook, Google ve Twitter gibi siteler için çok önemlidir. ?ünkü kendisinden çok uzak bir noktadan siteye baðlanmaya çalýþan kimsenin ilk dikkat edeceði husus, iþlemlerine ani ve hýzlý karþýlýk/tepki verilmesidir. Bu durum https kullanýmýnda ise iþi çok daha zorlaþtýrmaktadýr. ?ünkü https ile baðlantý sürekli yenilenmekte, bellekleme yapýlamadýðýndan iþlemlere tepki ve karþýlýk verme süresi uzamaktadýr.


SSL sertifkasýnýn ilk anahtar deðiþiminin gecikmeyi daha da artýrmasý, sadece HTTPS ile çalýþan web sitelerinin performansýný önemli ölçüde etkileyecektir.

Tüm bu bahsettiklerimiz, þifrelemeye ihtiyaç duymayan ve https kullanmayan servisler için önemli olmasa da Facebook, Google ve Twitter gibi hem hýza, hem performansa þiddetle ihtiyaç duyan siteler ve servisleri için kesinlikle gözardý edilemez.


Diðer dikkat çeken bir husus ise, HTTPS kullanýmýnýn sunuculara (server) getirdiði operasyon maliyetidir. Ne kadar optimize edilirse edilsin hala iþlem maliyetsi HTTP'li iþlemlere nazaran daha maliyetlidir.


https-baglanti


Bu soruna çözüm bulmak için akla sanal sunucular (virtual hsoting) gelebilir. Ama birden çok web sitesini ayný IP üzerinden çalýþtýrabilen çoðu sanal sunucu üzerinde HTTPS çalýþamýyor. En düzenli ve uygun çalýþtýðý protokol yine HTTP oluyor. Sanal sunucularýn HTTPS ile birlikte çalýþmalarýný saðlayabilecek TLS (Transport Layer Security) Extensions protokolünün uygulanabilirliði küçük ve orta ölçekli siteler için mümkün gözükmemekte. Bunun ancak yüzbinlerce sunucuya sahip siteler için mümkün olduðunun yanýnda bu protokolün sadece kýsmi olarak uygulanabilmesi de HTTPS'nin tüm internette kullanýmýnýn önünde önemli bir engel olarak duruyor.


Bütün bu sorunlar bize HTTPS'nin tüm internette heryerde birden kullanýlamayacaðýnýn gerçek nedenlerden çok pratik sebeplere dayandýðýný gösteriyor. Web'in geleceðinde sadece sitelerin ne kadar hýzlý yüklendiðinde ziyade verilerin güvenliði nasýl saðladýðý ve kullanýcýsýný koruduðu da önemli olacak.


Referanslar


· · · · · · · · · · · · ·
Yazan: | 24.03.2011 | 8455 kez okundu.

Yazılar E-Posta Kutunuza Gelsin:

Bu yazıyı izinsiz olarak alıp başka herhangi bir yerde yayınlayamazsınız (Bkz "dijital at hırsızı" kimdir?). Yazıların başka yerlerde yayınlanmasına ücreti mukabili izin veriyoruz. Yazıları izinsiz olarak başka bir yerde yayınlamanız, her türlü hukuki sonucu kabul ettiğiniz manasına gelir. Yazıları izin almak ve kaynak göstermek kaydıyla sadece kamu kurumları ve akademik araştırmacılar ücretsiz olarak kullanabilir. Bunların dışında kalan herkes ücret öder. Detaylar için bize ulaşın.

Yorum altyapısı: Disqus

Yukarı Çık

M. MEKİN PESEN
© 2007-2015 E-SİBER BİLGİ-İLETİŞİM TEKNOLOJİLERİ
E-Siber.com | E-Siber.net | ESiber.com | ESiber.net | RSS | Facebook | Twitter | E-Posta Aboneliği
IP: 54.156.58.187 | Yüklenme: 0.261 saniye. | Hakkımızda | İletişim | Reklam Verin | Site Politikaları | Atıflar