{"id":1150,"date":"2014-05-06T18:35:14","date_gmt":"2014-05-06T22:35:14","guid":{"rendered":"http:\/\/www.kaspersky.com.tr\/blog\/?p=1150"},"modified":"2020-02-26T18:36:02","modified_gmt":"2020-02-26T15:36:02","slug":"soguk-kanli-ve-tedbirli-olun-openid-ve-oauth-savunmasizmis","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/soguk-kanli-ve-tedbirli-olun-openid-ve-oauth-savunmasizmis\/1150\/","title":{"rendered":"So\u011fuk Kanl\u0131 ve Tedbirli olun, OpenID ve OAuth Savunmas\u0131zm\u0131\u015f!"},"content":{"rendered":"<p><a href=\"https:\/\/www.kaspersky.com.tr\/blog\/heartbleed-guvenlik-acigi-binlerce-sitede-guvenliginizi-tehlikeye-atabilir\/\" target=\"_blank\" rel=\"noopener\">Heartbleed g\u00fcvenlik a\u00e7\u0131\u011f\u0131n\u0131n<\/a> ortaya \u00e7\u0131kmas\u0131ndan sadece bir ka\u00e7 hafta sonra normal internet kullan\u0131c\u0131lar\u0131n\u0131n endi\u015felenmesini gerektirecek \u00e7ok yayg\u0131n yeni bir sorun daha ortaya \u00e7\u0131kt\u0131. Ve kolay bir \u00e7\u00f6z\u00fcm\u00fc de yok. Nanyan Teknoloji \u00dcniversitesi doktora \u00f6\u011frencisi Wang Jing taraf\u0131ndan ortaya \u00e7\u0131kar\u0131lan bu g\u00fcvenlik a\u00e7\u0131\u011f\u0131 kelimenin tam anlam\u0131yla \u201cgizli y\u00f6nlendirme\u201d hatas\u0131. Sorun pop\u00fcler internet protokolleri OpenID ve Oauth ile ilgili. Bu protokoller \u00f6nceleri Google, Facebook, LinkedIn vs. gibi web siteleri taraf\u0131ndan kullan\u0131l\u0131yordu sonra zamanla Facebook\/G+\/vs. servisleri veya uygulamalarda \u015fifrelerinizi g\u00f6r\u00fcnt\u00fclemeden \u00fc\u00e7\u00fcnc\u00fc partileri yetkilendirmek i\u00e7in kullan\u0131lmaya ba\u015fland\u0131. Ortaya \u00e7\u0131kan duruma g\u00f6re genellikle birlikte kullan\u0131lan bu iki protokol bilgilerinizin yanl\u0131\u015f ellere ge\u00e7mesine neden olabilir.<\/p>\n<h3>Tehdit<\/h3>\n<p><a href=\"https:\/\/threatpost.com\/critical-holes-in-oauth-openid-could-leak-information-redirect-users\/105876\" target=\"_blank\" rel=\"noopener nofollow\">Threatpost<\/a>\u2018daki arkada\u015flar\u0131m\u0131z durumu teknik ayr\u0131nt\u0131lar\u0131yla ve orijinal ara\u015ft\u0131rmaya da link vererek gayet iyi a\u00e7\u0131klam\u0131\u015flar. Ancak biz gereksiz detaylar\u0131 pas ge\u00e7erek sadece olas\u0131 sald\u0131r\u0131 senaryolar\u0131n\u0131 ve sonu\u00e7lar\u0131n\u0131 anlataca\u011f\u0131z. \u0130lk olarak kullan\u0131c\u0131 \u015fu bildik \u201cFacebook hesab\u0131n ile giri\u015f yap\u201d tu\u015fu olan zararl\u0131 <a href=\"https:\/\/www.kaspersky.com\/blog\/phishing-101-your-official-guide\/\" target=\"_blank\" rel=\"noopener nofollow\">oltalama web sitelerinden<\/a> birini ziyaret eder. Oltalama sitesi kendisini pop\u00fcler 3. parti servislerden birini benzetmi\u015f veya tamamen yeni bir servis gibi g\u00f6z\u00fck\u00fcyordur. Tu\u015fa bast\u0131\u011f\u0131n\u0131z zaman ger\u00e7ek Facebook\/G+\/LI penceresi a\u00e7\u0131l\u0131r ve kullan\u0131c\u0131dan kullan\u0131c\u0131 ad\u0131 ve \u015fifresini girip profilini kullanarak bahsi ge\u00e7en (muhtemelen me\u015fru) bir servisi yetkilendirmesi istenir. Sonunda ise yetkilendirme profili yanl\u0131\u015f bir (oltalama) siteye y\u00f6nlendirilir.<\/p>\n<div class=\"pullquote\">\u0130lk olarak kullan\u0131c\u0131 bir oltalama sitesini ziyaret eder ve Facebook veya ba\u015fka bir OpenID sa\u011flay\u0131c\u0131 arac\u0131l\u0131\u011f\u0131 ile giri\u015f yapmay\u0131 dener.<\/div>\n<p>G\u00fcn\u00fcn sonunda siber su\u00e7lu kurban\u0131n\u0131n profiline eri\u015fmek i\u00e7in orijinal uygulaman\u0131n kapsad\u0131\u011f\u0131 t\u00fcm haklara sahip yetkilendirmeyi (OAuth token) ele ge\u00e7irmi\u015f olur. En iyi senaryoda sadece temel kullan\u0131c\u0131 bilgilerine eri\u015febilir; en k\u00f6t\u00fc senaryoda ise kontaklar\u0131 g\u00f6rebilir, mesajlar\u0131 okuyabilir vs.<\/p>\n<h3>D\u00fczeldi mi? Pek say\u0131lmaz<\/h3>\n<p>Bu tehdit muhtemelen yak\u0131n zamanda ortadan kalkmayacak. D\u00fczeltme hem servis sa\u011flay\u0131c\u0131 (Facebook\/Google\/LinkedIn vs.) taraf\u0131nda hem de istemci taraf\u0131nda (\u00fc\u00e7\u00fcnc\u00fc parti uygulama veya servis) yap\u0131lmal\u0131. OAuth protokol\u00fc halen beta a\u015famas\u0131nda ve \u00e7e\u015fitli servis sa\u011flay\u0131c\u0131lar de\u011fi\u015fik y\u00f6ntemler uyguluyorlar. Bu nedenle bu sald\u0131r\u0131 senaryosuna kar\u015f\u0131 \u00f6nlemleri birbirinden farkl\u0131 olacakt\u0131r. LinkedIn \u00e7\u00f6z\u00fcm konusunda iyi bir pozisyon alarak kat\u0131 bir y\u00f6ntem izledi ve t\u00fcm \u00fc\u00e7\u00fcnc\u00fc parti geli\u015ftiricilerin uygun y\u00f6nlendirmeler i\u00e7in \u201cbir beyaz liste\u201d sa\u011flamas\u0131n\u0131 \u015fart ko\u015ftu. \u015eu anda LinkedIn kullanan her bir uygulama ya g\u00fcvenli veya \u00e7al\u0131\u015fm\u0131yor. Facebook i\u00e7in ise durum farkl\u0131 \u00e7\u00fcnk\u00fc hem daha eski bir OAuth uygulamas\u0131 kullan\u0131yor hem de \u00e7ok geni\u015f miktarda \u00fc\u00e7\u00fcnc\u00fc parti uygulamaya sahip. Bu nedenle Facebook temsilcisi Jing\u2019e beyaz liste alternatifinin \u201ck\u0131sa vade de uygulanabilir olmad\u0131\u011f\u0131n\u0131\u201d belirtmi\u015f.<\/p>\n<p>Savunmas\u0131z durumda olan daha pek \u00e7ok sa\u011flay\u0131c\u0131 (a\u015fa\u011f\u0131daki resme g\u00f6z at\u0131n) bulunuyor. Bu nedenle e\u011fer bu servisleri kullanarak baz\u0131 sitelere giri\u015f yap\u0131yorsan\u0131z mutlaka \u00f6nlem almal\u0131s\u0131n\u0131z.\u00a0<a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/91\/2014\/05\/06014913\/openid2.png\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-1152\" alt=\"openid2\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/91\/2014\/05\/06014913\/openid2.png\" width=\"536\" height=\"355\"><\/a><\/p>\n<h3>Eylem plan\u0131n\u0131z<\/h3>\n<p>Tedbirli olmay\u0131 sevenler i\u00e7in en etkin \u00e7\u00f6z\u00fcm, bir ka\u00e7 ay i\u00e7in OpenID kullanmay\u0131 b\u0131rak\u0131p eski \u201cGiri\u015f yap\u2026\u201d tu\u015funu kullanmak olacakt\u0131r. B\u00f6ylece artan gizlili\u011fin artan faydalar\u0131ndan da yararlanabilirsiniz. Sosyal a\u011flar\u0131 kullanarak giri\u015f yapt\u0131\u011f\u0131n\u0131zda online davran\u0131\u015flar\u0131n\u0131z\u0131n takibi kolayla\u015fmakta ve pek \u00e7ok web sitesi temel demografik verilerinize eri\u015febilmektedir. Bu arada onlarca hatta y\u00fczlerce farkl\u0131 siteye ait giri\u015f bilgilerini ezberlemek yerine etkin bir \u015fifre y\u00f6neticisi <a href=\"https:\/\/www.kaspersky.com\/blog\/tag\/passwords\/\" target=\"_blank\" rel=\"noopener nofollow\">kullanmaya ba\u015flayabilirsiniz<\/a>. Pek \u00e7ok servis art\u0131k \u00e7oklu platform istemcileri ve bulut senkronizasyonu sayesinde sahip oldu\u011funuz t\u00fcm cihazlardan \u015fifrelerinize eri\u015febilmenize imkan sa\u011flamaktad\u0131r.<\/p>\n<blockquote class=\"twitter-pullquote\"><p>Tedbiri seven kullan\u0131c\u0131lar i\u00e7in en iyi \u00e7\u00f6z\u00fcm, bir ka\u00e7 ayl\u0131\u011f\u0131na Facebook\/Google ile giri\u015f yap se\u00e7ene\u011fini kullanmamakt\u0131r. #OpenID #GizliY\u00f6nlendirme<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2Fi16C&amp;text=Tedbiri+seven+kullan%C4%B1c%C4%B1lar+i%C3%A7in+en+iyi+%C3%A7%C3%B6z%C3%BCm%2C+bir+ka%C3%A7+ayl%C4%B1%C4%9F%C4%B1na+Facebook%2FGoogle+ile+giri%C5%9F+yap+se%C3%A7ene%C4%9Fini+kullanmamakt%C4%B1r.+%23OpenID+%23GizliY%C3%B6nlendirme\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>Ancak, e\u011fer OpenID kullanmaya devam etmeyi d\u00fc\u015f\u00fcn\u00fcyorsan\u0131z \u00e7ok acil bir tehlike sizi beklemiyor. Sadece genellikle posta kutunuzdaki rahats\u0131z edici bir mektuptan veya Facebook yada di\u011fer sosyal a\u011flardaki provokatif bir linkle ortaya \u00e7\u0131kan oltalama sald\u0131r\u0131lar\u0131na kar\u015f\u0131 olduk\u00e7a dikkatli olmal\u0131s\u0131n\u0131z. E\u011fer Facebook\/Google\/vs. kullanarak giri\u015f yapacaksan\u0131z ba\u011flanaca\u011f\u0131n\u0131z servisin adresini elinizle yaz\u0131n veya taray\u0131c\u0131 favorilerinizi kullan\u0131n. Eposta veya mesajla\u015fma uygulamalar\u0131ndaki linkleri kullanmay\u0131n. Sahte sitelerden ka\u00e7\u0131nmak i\u00e7in her zaman adres \u00e7ubu\u011funu iki kez kontrol edin ve me\u015fru oldu\u011fundan 100% emin olmad\u0131\u011f\u0131n\u0131z s\u00fcrece yeni bir servise OpenID kullanarak kay\u0131t yapt\u0131rmay\u0131n. Bunlara ek olarak, sizi oltalama siteleri de dahil olmak \u00fczere tehlikeli yerleri ziyaret etmekten koruyacak <a href=\"https:\/\/www.kaspersky.com\/advert\/free-trials\/multi-device-security?redef=1&amp;THRU&amp;reseller=blog_tr\" target=\"_blank\" rel=\"noopener nofollow\">Kaspersky Internet Security \u2015 \u00e7oklu cihaz<\/a> gibi g\u00fcvenli web tarama \u00e7\u00f6z\u00fcmleri kullan\u0131n.<\/p>\n<p>Bunlar\u0131n hepsi her bir internet kullan\u0131c\u0131s\u0131n\u0131n g\u00fcnl\u00fck hayatta s\u00fcrekli kullanmas\u0131 gereken tedbirli davran\u0131\u015f y\u00f6ntemleri. Kredi kart\u0131 numaralar\u0131, eposta giri\u015f bilgileri gibi pek \u00e7ok dijital varl\u0131\u011f\u0131n\u0131z\u0131n \u00e7al\u0131nmas\u0131na neden olabilecek oltalama tehditleri yayg\u0131n ve etkin bir \u015fekilde ortal\u0131kta dola\u015f\u0131yor. OpenID ve OAuth ile ortaya \u00e7\u0131kan \u201cGizli y\u00f6nlendirme\u201d hatas\u0131 bunlar\u0131 kullanmak i\u00e7in gereken sebeplerden sadece bir tanesi. \u0130stisna yapmadan bu y\u00f6ntemlere uyman\u0131z\u0131 \u00f6neriyoruz.<\/p>\n<p>\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Heartbleed g\u00fcvenlik a\u00e7\u0131\u011f\u0131n\u0131n ortaya \u00e7\u0131kmas\u0131ndan sadece bir ka\u00e7 hafta sonra normal internet kullan\u0131c\u0131lar\u0131n\u0131n endi\u015felenmesini gerektirecek \u00e7ok yayg\u0131n yeni bir sorun daha ortaya \u00e7\u0131kt\u0131. Ve kolay bir \u00e7\u00f6z\u00fcm\u00fc de yok. Nanyan<\/p>\n","protected":false},"author":350,"featured_media":1151,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1284,1351],"tags":[20,22,503,581,582,584,583],"class_list":{"0":"post-1150","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-tips","8":"category-threats","9":"tag-facebook","10":"tag-google","11":"tag-guvenlik-acigi","12":"tag-kaspersky-internet-security-coklu-cihaz","13":"tag-oauth","14":"tag-oltalama","15":"tag-openid"},"hreflang":[{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/soguk-kanli-ve-tedbirli-olun-openid-ve-oauth-savunmasizmis\/1150\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.tr\/blog\/tag\/facebook\/","name":"Facebook"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/posts\/1150","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/users\/350"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/comments?post=1150"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/posts\/1150\/revisions"}],"predecessor-version":[{"id":7756,"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/posts\/1150\/revisions\/7756"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/media\/1151"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/media?parent=1150"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/categories?post=1150"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.tr\/blog\/wp-json\/wp\/v2\/tags?post=1150"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}