[]
Burasi neden https ssl secure degil?
Kredi karti odemesi yapmayinca ssl gerekli degilmis gibi dusunuluyor ama burdaki yazilanlar eger ayni aga bagli oldugunuz birbirileri varsa ve isterlerse kolayca veri akisini izleyebilirler cunku kabak gibi ortada. Yanlis mi?
şimdi olayın tekniğini bilmiyorum da biz zaten buraya yazdığımızı herkes okusun diye yazıyoz ki, neyi kimden gizliycez ssl ile?
- kibritsuyu (15.12.15 11:25:47)
google'da bile indexleniyor hemen. emin olmamakla birlikte sadece sözlük yazarları görsün işaretliler indexlenmiyor.
- sutlu nescafe (15.12.15 11:34:06)
gidip gelen veriler çok önemli değil diye bakılıyor olabilir. dediğin gibi eğer birisi network'ten gidip gelen paketleri izlerse buraya ne yazdığımızı görebilir. biz sadece ekşi sözlük üyeleri görsün desek bile yazılanlara erişilebilir. herhalde bunu çok önemsememişler.
direkt duyuru üyesi olanlar için ise durum biraz daha kötü. https olmadığı için üyelik bilgileri direkt görülebilir. ekşisözlük üyesi ise single sign on olduğu için bi sıkıntı yok ama duyuru üyeleri için bi güvenlik açığı aslında. çok pahalı bir şey de değil, neden https kullanmamışlar bilemedim.
direkt duyuru üyesi olanlar için ise durum biraz daha kötü. https olmadığı için üyelik bilgileri direkt görülebilir. ekşisözlük üyesi ise single sign on olduğu için bi sıkıntı yok ama duyuru üyeleri için bi güvenlik açığı aslında. çok pahalı bir şey de değil, neden https kullanmamışlar bilemedim.
- mesene (15.12.15 11:39:08)
@kibritsuyu
arkadaş "ben burada bilgiyi paylaşırım ama benim kim olduğumu, ne yazdığımı başkaları bilmesin, kullanıcı adımla bilinmek istiyorum sadece" diyor. mantıklı bir istek bence.
@bir varmis bir yokmus
bildiğim kadarıyla hem ekşiduyuru hem ekşisözlük 5651 nolu yasaya göre log tutuyor zaten, bizim kim olduğumuz herhangi bir vpn'in arkasında değilsek kabak gibi belli zaten :) mahkeme kararı gibi bir durum olduğunda duyuru ve sözlük kullanıcı bilgilerini vermekle yükümlü.
arkadaş "ben burada bilgiyi paylaşırım ama benim kim olduğumu, ne yazdığımı başkaları bilmesin, kullanıcı adımla bilinmek istiyorum sadece" diyor. mantıklı bir istek bence.
@bir varmis bir yokmus
bildiğim kadarıyla hem ekşiduyuru hem ekşisözlük 5651 nolu yasaya göre log tutuyor zaten, bizim kim olduğumuz herhangi bir vpn'in arkasında değilsek kabak gibi belli zaten :) mahkeme kararı gibi bir durum olduğunda duyuru ve sözlük kullanıcı bilgilerini vermekle yükümlü.
- hayirsiz (15.12.15 11:40:28 ~ 11:42:01)
yanlis anladiniz. yazdiklarimizi herkes gorsun bunda bir problem yok ama wifi sifrenizi bilen birisi, sirf denemek icin, ne karistiriyor bu adam diye sizin network verilerinizi izlemesinden bahsediyorum. ya da calistiginiz kurumda. burda patronunu sikayet eden var, ev arkadasini sikayet eden var. ateist oldugunu soyleyen var.
- bir varmis bir yokmus (15.12.15 11:45:38)
@hayirsiz: log tutması ayrı konu bence, o tamamen yasal sorumluluk. ama arkadaşın bahsettiği güvenlikle ilgili. yani ben şirketten giriyorum örneğin duyuruya. birisi network'ü dinliyorsa, hangi local ip adresinden geldiğini bilir isteğin. local ip adresini bulduktan sonra da basit bir wireless network taraması ile cihazın adına erişir. oradan da kim olduğunu bulabilir. bu bilgiye normal şartlar altında erişememesi gerekir, ekşi sözlük veya duyuru bu bilgileri zaten tutamaz, sadece dış ip adresini tutabilir o da şirketten giriyorsan 20 tane bilgisayar bağlıysa şirkette yine kim olduğu bulunamaz. ama bu şekilde isteyen birisi direkt kim yazmış onu görebilir, ekşi sözlük nick'ini saklayan birinin sözlük nick'i de böylelikle deşifre edilmiş olabilir şirkette :)
gidip gelen verilere bakmadım gerçi ama belki client'ta bi şifrelem yapıyor olabilir, server'da da bu şifreyi çözüyor olabilir. bu tür şifreleme algoritmaları var, client public key'le şifreler göndereceği verileri, server ise kimsenin bilmediği bir key ile o şifreli veriyi açabilir. https kullanmadıysa böyle bir şey yapar mı gerçi o da bilinmez :D
gidip gelen verilere bakmadım gerçi ama belki client'ta bi şifrelem yapıyor olabilir, server'da da bu şifreyi çözüyor olabilir. bu tür şifreleme algoritmaları var, client public key'le şifreler göndereceği verileri, server ise kimsenin bilmediği bir key ile o şifreli veriyi açabilir. https kullanmadıysa böyle bir şey yapar mı gerçi o da bilinmez :D
- mesene (15.12.15 11:52:06)
bu arada merak ettim baktım şimdi fiddler'dan gidip gelen verilere. ekşi sözlük'e login oldum ilkönce orada sslv3 ile şifrlendiği için verileri göremedim
daha sonra duyuruya login oldum ve kabak gibi kullanıcı adım ve şifrem görünüyordu.
edit: duyuruya başka bir direkt duyuru hesabı ile login oldum.
daha sonra duyuruya login oldum ve kabak gibi kullanıcı adım ve şifrem görünüyordu.
edit: duyuruya başka bir direkt duyuru hesabı ile login oldum.
- mesene (15.12.15 12:01:59 ~ 12:02:39)
1