Selamlar, Geçen gün Twitter'da bir linke tıkladığımda Cumhuriyet Gazetesi'nin sitesinin HTTP kullandığını gördüm. Önce önemsemedim ama sonra hem vatandaşın fişlenme ihtimaline yol açabileceği için, hem de MITM ile asılsız haberler paylaşılabileceği için Cumhuriyet Gazetesi'ne "Bu devirde SSL kullanmamak nedir?" kabilinden durumu ilettim.
Fakat sonra başka bir şey fark ettim. SSL Labs'a göre Cumhuriyet Gazetesi'nin 4 ayrı IP'si var ve 4'ü de "A" derecesinde güvenli yapılandırılmış. Normalde SSL olan bir siteye MITM uygulanmak istenirse "Bağlantı güvenli değil" uyarısı alırız, bu tamam. SSL-Strip uygulanmak istenirse, http://example.com yazdığımızda normalde https://example.com'a yönlendirme yapılıyorduysa aradaki adam https'deki istekleri alıp içeriğini değiştirip http'ye yönlendirir, eğer kullanıcı tarayıcının adres çubuğunda https yazdığını fark etmezse bu tuzağa düşmüş olur; bu da tamam. Fakat tarayıcının çubuğuna https://cumhuriyet.com.tr yazdığımızda nasıl oluyor da http://cumhuriyet.com.tr'ye yönlendiriyor? Bunu ancak Cumhuriyet'in kendi sunucusu yapabilir diye düşünüyorum. Bu durumda SSL yapılandırması olması zaten gerekir, aksi halde http'ye yönlendirme de yapamazdı. Yani Cumhuriyet'in önce A derecesinde SSL kurulumu olacak, sonra bile isteye gelen istekleri http'ye yönlendirecek olması kafa karıştırıcı... Atladığım bir yer mi var?
_______________________________________________ Linux-sohbet mailing list [email protected] https://liste.linux.org.tr/mailman/listinfo/linux-sohbet Liste kurallari: http://liste.linux.org.tr/kurallar.php
