Web Yayıncılığına Erişim ve Güvenlik

Güvenli Yuva Katmanı olarak Türkçe’ye çevrilebilecek olan SSL, Secure Sockets Layer teriminin kısaltmasıdır. En basit tanımıyla, sunucu ile istemci arasındaki iletişimin şifrelenmiş bir şekilde yapılmasına olanak sağlayan standartlaşmış bir teknolojidir. “Dijital sertifika” olarak da bilinmektedir.

SSL sertifikası iki işleve sahiptir: 1. Web sitesi kimliğini doğrular (böylece ziyaretçilerin sahte bir sitede olmadıkları garantilenir). 2. Aktarılan verileri şifreler.

Netscape tarafından geliştirilen ve standart hâle gelen SSL sertifikası, bilginin şifrelendirilerek gönderilmesini ve sadece doğru adreste deşifre edilebilmesini sağlar.

Simetrik Şifreleme, Gizli Anahtarlı Şifrelemedir. Sunucuda da istemcide de birbirinin aynısı tek bir anahtar vardır. Gönderilen veri o anahtar ile şifrelenir. Alıcı veriyi alınca yine aynı anahtar ile veriyi çözer. Güvenlik düzeyi düşüktür. 3DES, AES, Blowfish, IDEA ve RC4 simetrik şifreleme algoritmalarındandır.

Veri/bilgi akışından kullanılan şifrelemenin gücü kullanılan anahtar uzunluğuyla doğrudan bağlantılıdır. Örneğin, 8 bit şifreleme ile verinin çözülmesi oldukça kolaydır. 8 bit yalnızca 28 =256 olası farklı anahtar içerebilir. 256 farklı olasılık kolaylıkla denenebilir ve sonuca ulaşılabilir. SSL sertifikalarında şifreleme türleri 40, 128, 256, 1024 ve 2048 bit olabilmektedir. Örneğin, 128 bit şifrelemede 2128 değişik anahtarın çözülebilmesi 67 yıl gibi bir zaman gerektirir.

SSL sertifikaları türlerini tek (standard), wildcard veya birden fazla etki alanı içeren (çoklu alan) olarak sıralayabiliriz. Bu sertifikalar,Tek (Standard): Tam nitelikli bir alan adı ya da alt etki alanı adını güvence altına alır. Örneğin: www.alanadiniz.com alanadiniz.com, Wildcard: Bir alan adını ve sınırsız sayıda alt etki alanlarını kapsar. Örneğin: www.alanadiniz.com alanadiniz.com altalan1.alanadiniz.com altalan2.alanadiniz.com, Birden Fazla Etki Alanı (Çoklu Alan): Birden fazla alan adını ve gerektiğinde Etki Alanı Doğrulaması, Kuruluş Doğrulaması, Genişletilmiş Doğrulama gibi doğrulama düzeylerini güvence altına alır.

Bir web sitesi SSL sertifikasına sahipse dört görsel işaret vardır: Adres linkinin sonundaki yeşil asma kilit, HTTP yerine HTTPS ön eki, Bir güven mührü ve yeşil bir adres çubuğu ile kurumun adının yazılması (Genişletilmiş doğrulama ile SSL sertifikasının düzenlenmesi durumunda)

Öncelikle favorilerin (favorites) yapılandırılması gerekmektedir. Daha sonra favorinin kopyalanması (copy), aktif hâle getirilmesi (enable) ve dosya şifrelemesinin yapılandırılması (configure) gerçekleştirilmelidir. Sunucuya bağlandıktan sonra favoriler menüsünde “favorileri yönet” düğmesine tıklanır. Favoriler penceresi açıldığında, mevcut favori kopyalanır, adı değiştirilir ve dosya şifreleme ayarlarına gidilerek yapılandırılır. Kopyalanarak adı değiştirilen favorinin yapılandırılması için “Özellikler (properties)” seçeneğine tıklanır. Özellikler penceresi açıldığında, sol bölmede bulunan “Şifreleme (Encryption)” kısmına tıklanır. Burada “Dosya Şifreleme (File Encryption)” açılır kutusuna tıklanarak “Aktif (Enable)” seçeneği seçilir.

Web sitelerinin sunucularına Dosya virüsleri, Makro virüsleri, Casus yazılımlar (spyware), Reklam yazılımları (adware), Truva atı (trojan horse), Solucan (worm) gibi bilgisayar virüsleri bulaşabilir ve diğer bilgisayarlara bulaştırabilir. Ayrıca bu web sitelerinde zararlı kodların çalıştırılması da mümkündür.

Çapraz site betik virüsleri dışında iFrame virüsleri de web ortamlarında sıklıkla karşılaşılan ve web yayıncılığını tehdit eden zararlı kodlardır. Virüslü bir yerel bilgisayardan FTP girişiyle sunucuya bağlandığında, başta ana sayfa (index, default) olmak üzere, diğer tüm dosyalara zararlı iFrame kodu yerleştirilmesiyle çalıştırılmaktadır. Virüs, siteye giren kullanıcıların bilgisayarlarına virüs bulaştırmayı hedeflemektedir. Zararlı iFrame virüsü web sitelerine FTP sunucuları üzerinden bulaşmaktadır.

FTP şifresi değiştirilmelidir. Dosyaların uzak sunucuya aktarımının gerçekleştiği yerel bilgisayar antivirüs yazılımlarıyla taranmalıdır. FTP şifresi otomatik olarak ayarlanmamalı, her girişten sonra değiştirilmelidir. Dosyaların yazma izinleri kaldırılmalı, sadece gerekli dosya ve klasörlere yazma izni verilmelidir. Özellikle site ana sayfa dosyaları olan index ve default dosyalarının izinlerinin 444 (okuma) olarak ayarlanması gerekmektedir.

.htaccess, Hypertext Access’in kısaltması olarak Zengin Metin Erişimi olarak bilinen ve başta Apache olmak üzere çoğu ağ sunucusu tarafından kullanılan web alanı üzerinde ayar değişimleri yapılmasını sağlayan dosyaya verilen addır. .htaccess ile sitenin güvenlik düzeyi ve işlerliği küçük kod parçalarıyla yapılabilmektedir. .htaccess dosyasında birkaç değişiklik yapılarak web sunucular üzerinde gizli klasörler oluşturulabilir, direk dosya erişimi (hotlinking) engellenebilir ve zararlı botlardan koruma sağlanabilir.

Alan adı (domain) bir web sitesinin internet ortamında yer alması için sahip olunması gereken kimliktir. Diğer bir değişle alan adları web sitelerinin adıdır. Kullanıcılar bu adresleri tanımlayarak oluşturulan web sitelerini ziyaret etmektedirler.

Alan adlarının kısa ve basit tutulması gerekmektedir. Alan adlarının özgün olması gerekmektedir. Alan adlarında fazla noktalama işaretleri kullanılmamalıdır. Arama motorlarında daha yukarılarda yer alabilecek olan uzantılar seçilmelidir. Telif sorunu yaratabilecek olan alan adlarından kaçınılmalıdır.

.com Ticari kuruluşlar için kullanılır.

.net Çalışma alanı internet olan kuruluşlar için kullanılır.

.org Vakıf, dernek ve sivil toplum örgütleri için kullanılır.

.gov Devlet kuruluşları için kullanılır.

.edu Eğitim kuruluşları için kullanılır.

.mil Askerî kuruluşlar için kullanılır.

.tv Televizyon kanalları için kullanılır.

.bel Belediyeler

.tsk Türk silahları kuvvetleri bünyesinde yer alan birimler için kullanılır.

.pol Emniyet Genel Müdürlüğü ve bünyesinde yer alan birimler için kullanılır.

Aksi yönde bir sınırlama yoksa şifreler en az 8 karakterden oluşmalıdır. Oluşturulan şifreler, harflerin yanı sıra rakam ve “?, @,!, #” gibi özel karakterleri de içermelidir. Büyük ve küçük harfler bir arada kullanılmalıdır.

E-posta kutusuna düşen her mail açılmamalı, bu maillerde verilen bağlantılara gidilmemeli ve bu maillerle birlikte gönderilen dosyalar indirilmemelidir. Şifreleme yönteminde kullanılan gizli soruların cevabı, tahmin edilebilme olasılığına göre cevaplandırılmalıdır.  Şifre bilgisi isteyen hiçbir maile cevap verilmemelidir.  İnternet ortamında kullanılan şifreler ikinci bir kişiye verilmemelidir. Alan adı alınacak olan firmanın güvenirliği denetlenmelidir. Tahmin edilmesi zor şifreler kullanılmalıdır.

Menü ve Ekran Yerleşimi, Site Ekran Yayılımı, Site Logosu Yükleme, Site Arka Plan Özelleştirme, Ana Sayfa Özelleştirme, Ana Sayfada Manşet Oluşturma, Ana Sayfada İstenilen İçeriğin Uygulanması, E Postaların Yönetimi, İletişim Bilgilerinin Düzenlenmesi, İstenilen Kadar Sayfa Eklenmesi, Genel Ayarların Yönetimi, Sosyal Medya Hesaplarının Tanımlanması, Site Menüsünü Yönetme, Yazı Karakterlerini ve Yazı Fontunu Belirleme, Site İçi Bağlantıların Ayarlanması işlemleri yapılabilir.

DDOS (Distributed Denial of Service/Dağıtık Hizmet Engelleme), çok sayıda makine üzerinden daha önceden belirlenen hedef bilgisayara saldırı yaparak hedefin kimseye hizmet veremez hâle gelmesini amaçlayan bir saldırı çeşididir. DDOS saldırıları üç ana sınıfta toplanmaktadır. Bu sınıflar, Hacim Tabanlı Saldırı (Volume Based Atak), Protokol Saldırıları (Protokol Atak) Uygulama Katmanlı Saldırı (Application Layer Atak) şeklindedir.

DDOS saldırısı sırasında ilk yapılması gereken önlem, saldırının gerçekleştiği IP adreslerinden gelen bağlantı isteklerini reddetmek olmalıdır. Hız Sınırlandırması (Rate Limit) adı verilen teknik kullanılarak

belirli bir zaman dilimindeki trafik miktarının sınırlandırılması gerekmektedir. Çok sık kullanılmamakla birlikte IP engelleme yöntemi de DDOS saldırılarından korunmak için kullanılabilmektedir. Rutin bir şekilde ağın genel bakımı yapılarak temel güvenlik önlemi alınmalıdır. Ağ kullanıcısı ağın bant genişliğini bilmeli ve normal olamayan durumlar olduğunda bunu önceden fark edebilmelidir. Firewall gibi güvenlik donanımları kullanılarak gelebilecek saldırılara karşı önlem alınmalıdır. Piyasadaki bazı büyük şirketlerin önerdiği DDOS atak önleme hizmetlerinden faydalanmak bu saldırıları önleyebilme noktasında kullanılabilmektedir.

HTTP üzerinden uygulamaların bilgi alışverişinin gerçekleşmesini sağlayan XML tabanlı bir protokoldür. Diğer bir değişle Web servislerine erişmek için kullanılan protokoldür.