Site güvenliği ve fttp

Selamlar
İlerde bir site oluşturmayı düşünüyorum.
Ama sitenin güvenliği için cloudfare ve caphtca dışında bildigim pek bir sey yok. Sitenin güvenliğini nasıl saglayabilecegimiz hakkinda bilginiz varsa yazarsaniz sevinirim. :upside_down_face:
Bu arada kendi fttp nizi vermeyin diye bir yazi vardi. Bu konuda da yardimci olursaniz sevinirim.

Dediğiniz konu hakkında çok fazla bilgim yok ancak sitenizde üyelik sistemi bulunacaksa şifrelerin güvenliği konusunda teorik olarak yardım edebilirim.

Şu anlık üyelik sistemi düşünmüyorum

Diğer konular hakkında bilgi sahibi değilim. Ancak eğer sitenizde herhangi bir input alacaksanız şuna bakmanızı tavsiye ederim (ingilizce altyazı var, anlayamıyorsanız açıklamaya çalışırım):

Pek anlayamadım açıklarsanız sevinirim

Sitelerde header olarak yollanan veya inputlara yazacağımız girdilerdeki < ve > işaretleri javascript ile &#60; ve &#62; ye dönüştürülmez ise bazı işlemler sonucu tarayıcı bunları HTML tagları zannediyor ve işliyor. Buradaki sıkıntı < ve > işaretlerini <script></script> gibi taglar yazmak için de kullanabilecek olmamız. Böyle bir durumda kullanıcı sitenizdeki bir açıktan faydalanarak sitenizin servere javascript olarak işlenebilecek bir değer yollamasına sebep olabilir. Bu daha önce büyük şirketlerin başına gelmiş. Peki bu tam olarak ne oluyor. Şöyle bir örnek verebiliriz. Eğer gmail bu açığa karşı önlem almamış olsaydı siz başkasına <script>alert("Sitede açık var")</script> şeklinde bir mail gönderdiğinizde, daha sonra da karşı taraftaki kullanıcı bu maili görmeye çalıştığında bu kod tarayıcı tarafından çalıştırılabilir ve bu da kullanıcının sitesinin bir mesaj göstermesine sebep olur. Javascript ile yapabileceklerimi düşündüğümüzde bu çok büyük bir açıktır. Günümüzde bu açık çoğu sitede < ve > işareti &#60; ve &#62; ye dönüştürülerek engellenmektedir.
Bu google’ın hazırladığı ve sitede bu şekilde (sanal olarak) açık aradığınız bir site:
https://xss-game.appspot.com/

Site güvenliği birçok konuyu içinde barındırıyor. Host güvenliği, kod güvenliği, veritabanı güvenliği, veri güvenliği vs vs. Hepsi kendi içinde ayrılıyor. Bunların hepsini karşılayabilmek için güvenlik konusunda ciddi bilginiz olması, piyasadaki ciddi güvenlik açıklarından haberiniz olması gerekiyor. Bir sorun olduğunda bunu kapatabilecek derecede kod bilginiz olması gerekiyor. Tek başıma bunlarla başa çıkabilirim diyorsanız, güvenliğin alt alanlarıyla ilgili konuşabiliriz belki.

Genelde programcılar, topluluk desteği olan sistemleri kullanmayı tercih ederler, sıfırdan kendi sistemini geliştiren az. Topluluk desteği olan ve stabil sistemler kullanıldığı zaman, bir sorun olduğunda düzeltilmesi kolay ve hızlı olur. Programcıya da sadece işini yapmak kalır.

1 Like

Topluluk desteği olan programa bir örnek mesela ?

Peki &#60 a falan nasıl dönüştüreceğiz .( Kusura bakmayın web geliştirmede yeniyim :slight_smile: )

Topluluk desteği olan program değil, kütüphaneler veya sistemler. Örneğin PHP kullanacaksanız Laravel kullanabilirsiniz. Tabi bu tamamen güvenli olacağını garanti etmiyor ama, birçok güvenlik açığı dikkate alınarak geliştirilmiş bir kütüphane. Böylece, acaba sql açığı var mı gibi endişelerinizi azaltabilir. Çünkü eğer varsa, bunu gören bir başka geliştirici bunu düzeltecek ve güncelleme yayınlayacaktır. Siz de bu güncellemeyi alarak bu açığı kapatmış olacaksınız. Veya yukarıdaki gibi, dönüşümleri nasıl yapacağım diye düşünmenize gerek kalmaz, çünkü önceden düşünülmüş ve kütüphaneye eklenmiştir. İleride web sitenize bir kimlik doğrulayıcı eklemek istediğinizde bunu kütüphane ile yapmanız da kolay olur(captcha gibi)

Bu verdiğim örneklerle genel olarak vurgulamak istediğim şu. Güvenlik konusunda önleminizi almaya, stabil bir sistemle geliştirme yaparak başlayabilirsiniz.

1 Like

Katılıyorum. Güvenlik açığı çok farklı şekillerde olabilir. Gerçek bir site oluştururken hepsiyle tek başınıza uğraşamazsınız. Ben sadece bildiğim bir konuya dikkat çektim o kadar. Bahsettiğim XSS için de kütüphaneler bulunmakta.

2 Likes

TEŞEKKÜRLER hepinize

Ne kadar ileride? Ne sitesi? Kim girecek? Nasil kullanilacak?

Cryptocurrency exchange sitesi yapmayi dusunuyorsan guvenlik uzmani takimi kiralaman lazim.
Blog sitesiyse Wordpress kendi guvenligini sagliyor, gerek yok.
Kisisel web sitesiyse icerigine bagli.

Boyle bir yazi olamaz cunku “fttp” diye bir sey yok. “FTP” diye bir protokol var, ama ondan bahsederken de “kendi FTP’nizi vermek” nedir tahmin edemedim. Istersen yaziyi paylas, uzerinde tartisalim. Cunku -acik olmak gerekirse- birak buraya aktarmayi, kendin anlayacak bilgiye sahip degilmissin gibi duruyor.

2 Likes

Öncelikle sitenin icerigi blog yada takım kiralayacak kadar ust duzey degil. Yazinin oldugu siteyi bulamadigim icin kusura bakmayin . Xss hakkinda araştırma yaparken görmüştüm . Ayrica web gelistirmede yeniyim demiştim dikkat ederseniz :slight_smile:

Peki guvenlik gerektirecek kadar ust duzey mi?

Benim kisisel sitemde JavaScript yok mesela. Dinamik data da olmadigi icin XSS veya benzeri browser tabanli guvenlik sorunlarina karsi hic bir onlem almadim, cunku gerek yok.

Nasil bir icerik sunulacak?

Ayni seyi soylemisiz. Bu bir sorun degil; ben neden tek cumleyle ozetlenen yazinin orijinali olmadan tartismanin gereksiz olacagini aciklamak icin soylemistim.

1 Like