Bir kaç gece önce rüyamda sitenin hack’lendiğini gördüm. Şimdi içinizden biri :

“Güvenlik ile ilgili durmadan sitede geyik çeviriyorsunuz, bir de hack’lenmekten mi korkuyorsunuz?”

Diye sorabilir.

Burada söylenecek bir çok söz var. Olaya genel olarak bakmak gerekirse; öncelikli olarak hiçbir sistem hacklenemez değildir.HackerSafe’in geçenlerde yaşadığı olaylar bunun en büyük göstergesi.

Haricinde; her ne kadar kullandığımız blog scriptinin herhangi bir bilinen güvenlik açığı olmasa da korkuyorum. Netekim kullandığımız blog hazır bir script, open source. “There is always one more bug” gibi bir atasözümüz de olduğu üzere, hack’lenme riskimiz yok değil. Yani kaynak kodu incelemeye girişen birisi şans eseri hemen, ya da bilmem kaç gece uyumaksızın sürdürdüğü amansız çalışma sonrasında çok ciddi bir güvenlik zaafiyetine rastlayabilir. Muhtemelen bu korkum kendi yazdığım blog scriptini yazana kadar da devam edecek. O zaman ne farkı olacak diye sorabilirsiniz.

1. Scriptin zayıflıklarından ben sorumlu olacağım. Yani bir nevi direksiyona oturmak gibi bir şey.
2. Blog’da update yapılmış mı;  güvenlik açığı mı bulunmuş diye maillistlerden takip etmeyeceğim.
3. Kaynak kodu kapalı olacak, Black Box testlerinin de White Box’lara göre ne kadar verimsiz olacağından bahsetmeye gerek yok.(Linux vs Windows muhabbetine bağlanmasın konu, o apayı bir karşılaştırma ve blog post konusu)
4. Bu blogun hiç kullanmadığım ıvır-zıvır özellikleri olmayacak, bu sayede atak yüzeyi daralacak.

Aslında bu özelliklerden en önemlisi herhalde ilki. Netekim bir parça daha rahat uyuyabileceğim.

Add a comment

Posted by Mesut TİMUR on May 17, 2008 9:46:45 AM EEST#