SSL açığı

Php, Asp, Perl, Html - SSL açığı Sponsorlu Bağlantılar Ben ssl açığı olduğunu ve tarayıcıdan tutunda server hatta kodlama diline göre farklı açıklara sahip olduğunu gördüm . 128 ile 256 üzerinde denemeler yaptım , burda açıklamasını yazmayacağım ...

Cevapla
SSL açığı
sevimsli isimli Üye şimdilik offline konumundadır

sevimsli

Hiç Biri / Yurtdışı

Standart

SSL açığı

Alt 07-10-2009 #1
Sponsorlu Bağlantılar

Ben ssl açığı olduğunu ve tarayıcıdan tutunda server hatta kodlama diline göre farklı açıklara sahip olduğunu gördüm . 128 ile 256 üzerinde denemeler yaptım , burda açıklamasını yazmayacağım güvenlik sebebiyle ama demekki türkiyedeki eticaretlerin hiçbiri güvenli değil , ve güvenlik olmadan pos veriyorlar ....Daha ayrıntılı istenirse anlatırım ama pratikde ssl kolayca aşılabiliyor...
Bu mesajdan alıntı yap
Sponsor Links

Grafikerler.net Reklamları

Heiken isimli Üye şimdilik offline konumundadır

Heiken

Webmaster / Ankara

Standart
Alt 07-10-2009 #2
                             Sponsorlu Bağlantılar
Kodlamada pekala açık olabilir evet, ama SSL açığı derken tam neyi kasdediyorsun? Yani http paketleri alıp açabiliyormusun ve giden bilgilerimi ele geçiriyorsun? POS için bankasına göre değişir her banka çok geniş bir taramaya tutmuyor verilen sistemi.
Bu mesajdan alıntı yap
sevimsli isimli Üye şimdilik offline konumundadır

sevimsli

Hiç Biri / Yurtdışı

Standart
Alt 07-10-2009 #3
Ben bizzat ssl den bahsediyorum , hatta opera ile ssl kodunun alındığını bizzat gözlerimle gördüm biraz internette araştırılırsa bu konudada açık olduğu ispatlanmış durumda... Şimdi ssl açığı olursa rahatlıkla server yada sunucuya girilebilir ve 3. şahıslar da yapılan işlemleri küçük operasyonlarla izleyebilir benim demek istediğim bu...Peki bu durumda posları veren bankalar gerçekten gereksiz şeylere kafa yorum teslimat yazıları gibi küçük ayrıntılara dikkat edip , bu tip testleri yapmıyolar bu durumda bankaların bilinçsiz olduğu ortaya çıkmıyormu
Bu mesajdan alıntı yap
kocagöz isimli Üye şimdilik offline konumundadır

kocagöz

Öğrenci (Grafik) / İstanbul

Standart
Alt 08-10-2009 #4
y akardeş o kadar hacker bunu bilmiyor bunu sen mi biliyorsun ?

belki biliyorsun ama sanmam
Bu mesajdan alıntı yap
Heiken isimli Üye şimdilik offline konumundadır

Heiken

Webmaster / Ankara

Standart
Alt 08-10-2009 #5
Ben bizzat ssl den bahsediyorum , hatta opera ile ssl kodunun alındığını bizzat gözlerimle gördüm biraz internette araştırılırsa bu konudada açık olduğu ispatlanmış durumda... Şimdi ssl açığı olursa rahatlıkla server yada sunucuya girilebilir ve 3. şahıslar da yapılan işlemleri küçük operasyonlarla izleyebilir benim demek istediğim bu...Peki bu durumda posları veren bankalar gerçekten gereksiz şeylere kafa yorum teslimat yazıları gibi küçük ayrıntılara dikkat edip , bu tip testleri yapmıyolar bu durumda bankaların bilinçsiz olduğu ortaya çıkmıyormu
Demek istediğini anladım. Evet bu açık ortada tabi, 2004 yılında microsoft serverı kullananlar çok zor bir durumda kalmıştı, SSL kullanılan 443 portlarında rahatça giriş yapabiliyorlardı. Bu durumda bankalar bilinçsiz mi veya vurdumduymaz mı tam emin değilim. Belkide başları tehlikeye girene kadar hareket etmeyecekler. Çalınan hesap haberlerini duyuyoruz. Kendisine ait güvenli bir uygulama geliştirememeleri onların suçu, sırtlarını SSL sertifikalarına dayayıp devam edemezler tabiki daha özel çözümler üretmeleri lazım. SSH ve key kullanarak farklı güvenlik uygulamalarına giden çözümlere rastladım, ama gerçekten bankalar ve diğer kuruluşlar bu konuda ne gibi bir çözüm üretmeyi hedefliyor bende merak ediyorum. Keza hepside hesap bilgilerini çaldırma tehlikesiyle karşı karşıya.
Bu mesajdan alıntı yap
sevimsli isimli Üye şimdilik offline konumundadır

sevimsli

Hiç Biri / Yurtdışı

Standart
Alt 08-10-2009 #6
y akardeş o kadar hacker bunu bilmiyor bunu sen mi biliyorsun ?

belki biliyorsun ama sanmam
Senin bu sözlerine Yorum yapmıyorum , konuyu ben buldumda diye idda etmedim, gördüm dedim ... Bu sektörün içindeysen azıcık interneti araştırmanı tavsiye ederim . Hacker lar sözün çok saçma , bulan hackerlar neden bu açığı internete yaysın ? Artı güvenlik şirketleri tarafından kanıtlanmış durumda ..

Heiken evet gerçekten bankaların ben bu konuda çokda bilinçli olduklarını düşünmüyorum , hatta şu an için bu durumla karşı karşıya kaldıklarını bildiklerinide inanmıyorum. Şu anda verisign yada rapid gibi ssl sertifikası veren firmalar sha1 şifrelemeden sha2 ve hatta sonrada sha3 şifreleme yöntemine geçeklerini beyan etmişler yanlız sha1 şifreleme mantığı oldukça düşük güvenlik düzeyinde, üstelik 3d security de sha2 ile işlem yapmakta , bu tür algoritmalrı biz veri tabanı tablolama şifrelemesinde kullanırken server yada sunucu için hala port ve tarayıcı açıkları kalabilmekte , sha3 daha güvenli ama onunda ilerde açığının bulunacağı görüşündeyim, bu tür teknik eksikliklerde , bankaların hala bu tür gereksiz prosedürler sonucunda, güvenlik uygulamaları yazabilecekleri konusundada tereddütlerim bulunmakta..amerikada daha farklı güvenlik önlemleri bulunmakta ve hergün sunucu ve serverlar güvelik için taranmakta iken türkiyede herşeyde olduğu gibi eticaretlerimizde de güvenlik konusunda Allah yolundayız
Bu mesajdan alıntı yap
Heiken isimli Üye şimdilik offline konumundadır

Heiken

Webmaster / Ankara

Standart
Alt 10-10-2009 #7
Türkiye'de önceden güvenlik önlemi ve tedbirleri almak pek dikkate alınan bir konu değil. Standartlardan uzak yaşıyoruz, özellikle iş sektöründe. Sha2 ve 3'de farklı bir çözüm sağlamayacak, dikkat edersen internet üzerinde rastlıyacağın büyük çaplı projelerde temel olarak AES (Advanced Encryption Standard) aranmakta. Birilerinin başı yanana kadarda ben herhangi bir ilerleme olacağını düşünmüyorum. Açıkçası ilerme kısmıda ürkütücü, oturup 443 portunu mesela tamamen kapatabilirler... Devletin işine akıl sır ermez, çözüm sağlabileceklerinide sanmıyorum.

...eticaretlerimizde de güvenlik konusunda Allah yolundayız
Katılıyorum, bilişim sektörü olarak aslında tamamen pamuk ipliğine bağlı olarak dolaşıyoruz...
Bu mesajdan alıntı yap
BLUE_AZ isimli Üye şimdilik offline konumundadır

BLUE_AZ

Webmaster / Ankara

Standart
Alt 12-10-2009 #8
açıktan kastınızı hala anlayamadım ssl sertifikası kullanan sitelere kolayca güvenlidir diye kimse uğraşmaz ve bu arada esas açık ssl üzerinden başlar senaryo devam eder ....
hikaye bumu birde ssl sertifikalarındaki güvenlik kulananlar bilir çok saçma zaten bnim yaptığım siteyi https protokolunde açıyor birde bir elektronik sertifika veriyor al sana ssl ama hala anlamış değilim nasıl güven sağlıyor
hadi ben posu bağladığım apilerde açıkalr bıraktıysam ????
kardeşim bu konuya azıcık daha açıkca değinirmisin? tam olarak nedir bu nasıl açık ne yapınca sisteme sızıyoruz bilelimki önlemlerimizi alalım
Bu mesajdan alıntı yap
sevimsli isimli Üye şimdilik offline konumundadır

sevimsli

Hiç Biri / Yurtdışı

Standart
Alt 15-10-2009 #9
Açıktan kastım bizzat ssl in açığı ne senin yazdığın program nede yükleme açıklarından bahsediyorum ssl kendi açığından bahsediyorum ... Yukarda ssl güvenlik kodunun şifreleme yöntemini izah ettim bu ssl koduna ulaştığında da posta direk ulaşabiliyorsun ve bilgileri kolayca ele geçirebilir konumuna geliyorsun . Dikkat ne yükleme nede eticaret uygulaması benim kastım bizzat ssl , ssl güvenli değil ve bizzat uygulama değişikliği dünyada yapılmııtır . Ssl le uğraşılmaz sözü yanlıştır bizzat kredi kartı sahteciligi ve dolandırıcılığının %18 sı ssl açığı ile ele geçirilmiş durumda ..Bu orana kıyaslarsanız virüsden sonraki en büyük rakam ve amazon yada e bay gibi sitelere bakarsanız ssl kullanmamakta farklı güvenlik yöntemleri bulunmakta..Heiken in dediği gibi AES aranmakta ve AES standartlarını bizzate eticaret sahipleri yazmakta yada sunucu servisi sağlanmakta ..
Bu mesajdan alıntı yap
Cevapla

Benzer Konular
Konu Konu Bilgileri Forum Cevaplar Son Mesaj
Mac OSX Snow Leopard'da Güvenlik Açığı... Ali Emre Yazılım Rehberi 0 04-09-2009 15:29:10
Sabah Gazetesi Haberi: Explorer programında güvenlik açığı bulundu. VolkanTEKiN Yazılım Rehberi 8 17-12-2008 17:21:00

Kapat
Şifremi Unuttum?