SSL uyarıları

Merhaba,

Her hafta TOBB ETÜ’de yapmaya çalıştığımız okuma grubunda bu haftayı SSL uyarılarının etkinliğini inceleyen bir makaleye ayırdık. Bruce Schneier bu çalışmayı “bildiğimizi kanıtlayan araştırma” olarak özetlemiş. Evet gerçekten de SSL uyarılarının genelde dikkate alınmadığını, insanların bu uyarıları rahatsızlık olarak gördüklerini vs. uzun uzun anlatmaya gerek yok. Peki makalede kayda değer neler var?

Öncelikle satır aralarında Firefox 3 geliştiricilerinin ilk başta kullanıcıların SSL uyarılarını atlayabilmesi için 11 adımdan geçer bir sistem kurduklarını fakat biraz da IE’a geçiş olur korkusuyla bunu nasıl 4 aşamaya indirdikleri gibi ilginç bilgiler bulunuyor.

Ama daha önemlisi yazarların daha etkin SSL uyarıları geliştirme yönünde başarısız olduklarını deneylerle kanıtladıkları bilgisini okuyorsunuz. Varılan sonuç SSL uyarıları yerine güvensiz bağlantılara hiç bir şekilde izin vermeyen bir sistem kurulmasının gerekliliği. Herhalde böyle bir şey en çok Verisign gibi CA’leri sevindirir. Yoksa üniversite web e-posta sunucusu vs.’ye böyle bir sertifika yüklemesi gereken büyük bir çoğunluk bu öneriye burun kıvıracakladır. Haklılar ama kararı onlar vermiyor maalesef. Nedense bu sonuç cümlesini okuyunca web tarayıcısı olarak sadece IE olmamasının ne kadar da iyi bir şey olduğunu hissettim. İyi ki varsın Firefox ve diğerleri.

Kendi önerilerinin başarısız olduğunu gösteren çalışmaların iyi güvenlik konferanslarında yayınlanması bir ilk değil. Bu durumun makale sahiplerinin kim olduklarıyla ilişkili olduğunu söylemek biraz kolaya kaçmak olabilir. Makaleyi okurken geçenlerde katıldığım SOUPS 2009 tutorial’inde  Roy Maxion‘un üzerinde ısrarla durduğu bir konuyu hatırladım. Roy bazı güvenlik uzmanlarının kullanışlılık deneyleriyle ilgili verilen bilgiyi sıkıcı bulabildiklerini hayretle aktarmıştı. Kullanışlı Güvenlik konusunda ilerlemenin ancak tekrar edilebilir deneyler yoluyla mümkün olduğunu ve yapılan deneylerin ayrıntılarının bilinmemesinin bu alanda mesnetsiz iddialar dışında elle tutulur bir şey olmaması sonucunu doğuracağına ben de inanıyorum. 

Titiz bir deney sonrasında gerekli ayrıntıda bir anlatım ve analiz bu makalede de kendini hissettiriyor. Yine de makale özünde iddia edilen kendi SSL uyarılarının mevcut uyarılardan daha iyi olduğu savının biraz havada kaldığını düşündüğümü de ekleyeyim.

Son olarak yapılan deneylerde 10-20 dolar gibi paralar dağıtılması ile katılımcıların %69’unun Hindistan doğumlu olması arasında nasıl bir ilişki olduğunun makalenin ilginç sonraki çalışmalarından biri olabileceğini bir şekilde Lorrie’ye iletmeyi siz değerli okuyuculara bırakıyorum demek isterim.

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Connecting to %s

%d blogcu bunu beğendi: