ns ler cloudflare olarak tanimli görünüyor. Bu durumda SSL sertifikalari da cloudflaressl.com adına. Sanırım bu detayı gözden kacirdiniz.
20 Haziran 2018 10:09:09 GMT+03:00, Cerem Cem ASLAN <[email protected]> yazdı: >Selamlar, > >Geçen gün Twitter'da bir linke tıkladığımda Cumhuriyet Gazetesi'nin >sitesinin HTTP kullandığını gördüm. Önce önemsemedim ama sonra hem >vatandaşın fişlenme ihtimaline yol açabileceği için, hem de MITM ile >asılsız haberler paylaşılabileceği için Cumhuriyet Gazetesi'ne "Bu >devirde >SSL kullanmamak nedir?" kabilinden durumu ilettim. > >Fakat sonra başka bir şey fark ettim. SSL Labs'a göre Cumhuriyet >Gazetesi'nin 4 ayrı IP'si var ve 4'ü de "A" derecesinde güvenli >yapılandırılmış. > >Normalde SSL olan bir siteye MITM uygulanmak istenirse "Bağlantı >güvenli >değil" uyarısı alırız, bu tamam. SSL-Strip uygulanmak istenirse, >http://example.com yazdığımızda normalde https://example.com'a >yönlendirme >yapılıyorduysa aradaki adam https'deki istekleri alıp içeriğini >değiştirip >http'ye yönlendirir, eğer kullanıcı tarayıcının adres çubuğunda https >yazdığını fark etmezse bu tuzağa düşmüş olur; bu da tamam. > >Fakat tarayıcının çubuğuna https://cumhuriyet.com.tr yazdığımızda nasıl >oluyor da http://cumhuriyet.com.tr'ye yönlendiriyor? Bunu ancak >Cumhuriyet'in kendi sunucusu yapabilir diye düşünüyorum. Bu durumda SSL >yapılandırması olması zaten gerekir, aksi halde http'ye yönlendirme de >yapamazdı. > >Yani Cumhuriyet'in önce A derecesinde SSL kurulumu olacak, sonra bile >isteye gelen istekleri http'ye yönlendirecek olması kafa karıştırıcı... >Atladığım bir yer mi var?
_______________________________________________ Linux-sohbet mailing list [email protected] https://liste.linux.org.tr/mailman/listinfo/linux-sohbet Liste kurallari: http://liste.linux.org.tr/kurallar.php
