Sitenizde HTTPS kullanmanız tek başına yeterli değildir: ziyaretçinin ilk isteği hâlâ şifresiz HTTP üzerinden gidebilir ve araya giren bir saldırgan bu kısa anı “SSL stripping” tekniğiyle kötüye kullanabilir. HSTS tam da bu açığı kapatır. HSTS Nedir? HSTS (HTTP Strict Transport Security), sunucunun tarayıcıya “bu siteye yalnızca HTTPS ile bağlan” talimatı veren bir yanıt başlığıdır: Strict-Transport-Security: … Devamını oku
Bir SSL sertifikasının sessizce süresinin dolması, bir DNS kaydının habersiz değiştirilmesi ya da alan adı transfer kilidinin açılması… Bunların hepsi fark edilmediğinde kesintiye, güven kaybına ve hatta alan adı kaçırmaya yol açar. Her şeyi tek tek elle kontrol etmek ise sürdürülebilir değildir. SecRadar tam bu noktada devreye girer: alan adınızı ve sertifikalarınızı 7/24 izler ve … Devamını oku
Bir kurumun internete açık tüm alt alan adlarını (subdomain) bilmek, hem saldırganlar hem de savunmacılar için kritiktir. Certificate Transparency (CT) logları, bu keşfin en güçlü ve pasif kaynağıdır. Certificate Transparency Nedir? CT, düzenlenen her SSL sertifikasının herkese açık, denetlenebilir loglara kaydedildiği bir sistemdir. Amacı, yetkisiz (rogue) sertifika düzenlemelerini görünür kılmaktır. Yan etki olarak, bir alan … Devamını oku
HTTP güvenlik başlıkları, tarayıcıya sitenizi nasıl koruyacağını söyleyen yanıt başlıklarıdır. Doğru yapılandırıldığında XSS, clickjacking ve protokol düşürme gibi yaygın saldırıları büyük ölçüde engeller. En Önemli Güvenlik Başlıkları HSTS (Strict-Transport-Security) Tarayıcıyı siteye yalnızca HTTPS ile bağlanmaya zorlar, SSL stripping saldırılarını önler. Örnek: Strict-Transport-Security: max-age=63072000; includeSubDomains CSP (Content-Security-Policy) Sayfada hangi kaynakların (script, stil, görsel) yükleneceğini sınırlar; XSS’in … Devamını oku
TLS (Transport Layer Security), internette şifreli iletişimin standardıdır. Bugün “SSL” denildiğinde aslında TLS kastedilir. Hangi sürümü kullandığınız, sitenizin güvenliğini doğrudan etkiler. TLS Sürümlerinin Durumu TLS 1.3: En güncel ve en güvenli sürüm. Daha hızlı el sıkışma, sadeleştirilmiş ve güvenli cipher’lar. TLS 1.2: Hâlâ güvenli ve yaygın. Doğru cipher yapılandırmasıyla güvenle kullanılır. TLS 1.0 / 1.1: … Devamını oku