Yardımımız mı Gerekiyor ?
Bilgisayarınızdaki virüs yazılımının halledemediği dirençli bir zararlı yazılım mı var? Uzmanlarımız bilgisayarınızdaki bulaşmayı temizlemek için 7/24 hizmetinizdedir. Bilgisayarınıza uzaktan bağlanır, zararlı yazılımları temizler ve en iyi korumamızın kurulumunu yaparız; yani artık endişelenmenize gerek yok.
Dünya Devlerini Bile Etkileyen Hatalar
Çoğu zaman harici JavaScript dosyalarını toplayabilir veya web sitelerimizde CDN kullanabiliriz. Bu prosedürler ne kadar güvenli?
Yıl 2014, kendilerini Suriye Elektronik Ordusu (SEA) olarak adlandıran bir grup hacker, Gigya şirketini hackledi. Hack olduktan sonra, Gigya’nın javascript’ini sistemlerine entegre eden birçok site saldırıya uğradı, Peki nasıl oldu ?
Saldırılardan sonra, bu javascript dosyalarını kullanan sitelerin uyarıları () ve window.location kodlarını Gigya’nın javascript dosyalarına yerleştirerek etkilenmelerine neden oldu. Sonuç olarak, bu javascriptleri barındıran tüm web siteleri saldırıya uğradı.
Örneğin, Yemeksepeti, Ferrari, Forbes ve birçok dev şirket.
Resimden de görebileceğiniz gibi, onlarca devasa sitenin CDN’deki javascript’lere müdahale ederek saldırıya uğramasına neden oldular.
Peki Bu Durumdan Nasıl Korunabiliriz ?
Subresource Integrity’in faaliyete geçtiği yer burası.
Subresource Integrity Nedir ?
SRI, web uygulama geliştiricilerinin, İçerik Teslim Ağları (CDN) gibi üçüncü taraf hizmetlerinde barındırılan kaynakların beklenmedik modifikasyonlar olmadan dağıtılmasını sağlayan bir yöntemdir.
SRI Nasıl Çalışır ?
SRI karma karşılaştırması kullanılarak çalışır. Kaynak koda eklenen karma değeri, üçüncü taraf hizmetinde barındırılan dosyanın karma değeriyle karşılaştırır. Bu iki karma değerler eşleşmezse, Javascript dosyasının yüklenmesini iptal eder.
SRI Kullanılmayan Kaynak:
Örnek: <script type=”text/javascript” src=”http://mami.com/ornek.js”></script>
Bu arada, çapraz site komut dosyası (XSS) kullanıcılarının hesaplarından yapılan işlemler de dahil olmak üzere tüm veriler bu müdahalede çalınabilir.
SRI Kullanılan Kaynak:
<script src=”https://cdn.mami.com/ornek.js”integrity=”sha256-/EjR2A7 OcaeaezmHf0EE1J09psNmXPbcIDAA+330RH4=”crossorigin=”anonymous”></script>
İki kod arasındaki farklar bütünlük ve crossorigindir. Integrity etiketinde sha256- / EjR2A7OcaeaezmHf0EE1J09psNmXPbcIDAA + 330RH4 = değeri ornek.js dosyanızın hash değeridir. Tarayıcı, hash değerini kaynağımızdan alır ve example.js dosyasının karma değerlerini cdn.mami.com’dan alır ve bunları karşılaştırır. Bu iki karma değerler eşleşmezse, tarayıcı sayfadaki example.js dosyasını hariç tutar. Javascript dosyasında tek bir karakter değişirse karma değişir. Diğer bir deyişle, olası bir müdahale sırasında dosyanın karma değeri otomatik olarak değişecektir ve doğruluk etiketimizi kullanırsak değişiklikten etkilenmeyeceğiz.
Online Destek Size Ne Gibi Avantajlar Sunuyor?
Ekibimiz web sitenizi tarar ve gün sonu raporunda tarama sonuçları hakkında size bilgi gönderir. Tarama sonrasında tüm javascript dosyalarını web sitenizde gözden geçirin, eğer SRI kullanmıyorsanız, size bu konuda bir uyarı mesajı gelir. Tarama sonuçlarına hesabınıza giriş yaptıktan sonra raporlar menüsünden ayrıntılı olarak erişebilirsiniz.
Raporlar menüsünü tıkladıktan sonra, panel sayfasındaki tarama raporlarını göreceksiniz; Bu raporların içeriği, kaç sayfanın tarandığı, taranan sayfalarda düzenlemek için kaç kod önerdiğimiz gibi bilgiler ve öneriler içerecektir.
Her web sitesi için bir rapor tablosu olacak ve bu tablolar gün boyunca sürekli güncellenecek ve izlenecek. Rapor tablonun Raporlar Ayrıntısını tıklayarak Raporunuzun ayrıntılı bilgilerini görebilirsiniz.
Raporunuzun detayında, hangi javascript dosyalarının olduğunu belirtmelisiniz. JavaScript dosyalarınızda Güvenli Durum Oluştur’u tıklayarak SRI formatını alabilirsiniz. SRI formatını aldıktan sonra, eski kodu sayfalarınızdaki yeni sürümle değiştirmeniz gerekecektir.
