Benim bunlardan haberim var.
Cumhuriyet gazetesi IT ekibindekilerin böyle şeylerden haberdar olmayıp
da çok masumca ssl konusunu ihmal ettiğiği düşünmüştüm.
On 06/20/2018 10:20 PM, Özgür KOCA wrote:
Çok masumsunuz Timuçin Bey,
https://www.google.com/search?q=turkish+isp+turk+telekom+intercepting&ie=utf-8&oe=utf-8
*Özgür Koca*
<http://www.tankado.com/><http://www.tankado.com/acik-kaynak/raspberry-pi-board/><https://github.com/enseitankado>
<https://www.instagram.com/ozgur0koca/>
<https://www.linkedin.com/in/%C3%B6zg%C3%BCr-koca-287ba534/>
<https://tr.pinterest.com/ozgurkocaandroi/>
<https://twitter.com/OzgurKoca2>
<http://www.facebook.com/zerostoheroes/>
On Wed, Jun 20, 2018 at 11:05 AM Timuçin Kızılay
<[email protected] <mailto:[email protected]>> wrote:
Login işlerı dışında ssl kullanmaya ne gerek var abi yaa, serverın
işlemcisinden yer SSL falan gibi laflar eden birileri vardır IT
ekibinde ve onun sözünü dinlemişlerdir.
SSL kullanmayınca cumhuriyet gazetesi sitesinde hangi haberleri
okuduğumuzu ISP'lerin yani devetin de fişleyebileceği kısmı
akıllarından bile geçmemiştir.
On 06/20/2018 10:09 AM, Cerem Cem ASLAN wrote:
Selamlar,
Geçen gün Twitter'da bir linke tıkladığımda Cumhuriyet
Gazetesi'nin sitesinin HTTP kullandığını gördüm. Önce önemsemedim
ama sonra hem vatandaşın fişlenme ihtimaline yol açabileceği
için, hem de MITM ile asılsız haberler paylaşılabileceği için
Cumhuriyet Gazetesi'ne "Bu devirde SSL kullanmamak nedir?"
kabilinden durumu ilettim.
Fakat sonra başka bir şey fark ettim. SSL Labs'a göre Cumhuriyet
Gazetesi'nin 4 ayrı IP'si var ve 4'ü de "A" derecesinde güvenli
yapılandırılmış.
Normalde SSL olan bir siteye MITM uygulanmak istenirse "Bağlantı
güvenli değil" uyarısı alırız, bu tamam. SSL-Strip uygulanmak
istenirse, http://example.com yazdığımızda normalde
https://example.com'a yönlendirme yapılıyorduysa aradaki adam
https'deki istekleri alıp içeriğini değiştirip http'ye
yönlendirir, eğer kullanıcı tarayıcının adres çubuğunda https
yazdığını fark etmezse bu tuzağa düşmüş olur; bu da tamam.
Fakat tarayıcının çubuğuna https://cumhuriyet.com.tr yazdığımızda
nasıl oluyor da http://cumhuriyet.com.tr'ye yönlendiriyor? Bunu
ancak Cumhuriyet'in kendi sunucusu yapabilir diye düşünüyorum. Bu
durumda SSL yapılandırması olması zaten gerekir, aksi halde
http'ye yönlendirme de yapamazdı.
Yani Cumhuriyet'in önce A derecesinde SSL kurulumu olacak, sonra
bile isteye gelen istekleri http'ye yönlendirecek olması kafa
karıştırıcı... Atladığım bir yer mi var?
_______________________________________________
Linux-sohbet mailing list
[email protected]
<mailto:[email protected]>
https://liste.linux.org.tr/mailman/listinfo/linux-sohbet
Liste kurallari:http://liste.linux.org.tr/kurallar.php
_______________________________________________
Linux-sohbet mailing list
[email protected]
<mailto:[email protected]>
https://liste.linux.org.tr/mailman/listinfo/linux-sohbet
Liste kurallari: http://liste.linux.org.tr/kurallar.php
_______________________________________________
Linux-sohbet mailing list
[email protected]
https://liste.linux.org.tr/mailman/listinfo/linux-sohbet
Liste kurallari: http://liste.linux.org.tr/kurallar.php
_______________________________________________
Linux-sohbet mailing list
[email protected]
https://liste.linux.org.tr/mailman/listinfo/linux-sohbet
Liste kurallari: http://liste.linux.org.tr/kurallar.php
