[Linux-sohbet] Re: Cumhuriyet Gazetesi'nin garip SSL davranışı

Wed, 20 Jun 2018 01:04:44 -0700

Login işlerı dışında ssl kullanmaya ne gerek var abi yaa, serverın işlemcisinden yer SSL falan gibi laflar eden birileri vardır IT ekibinde ve onun sözünü dinlemişlerdir.
SSL kullanmayınca cumhuriyet gazetesi sitesinde hangi haberleri okuduğumuzu ISP'lerin yani devetin de fişleyebileceği kısmı akıllarından bile geçmemiştir. 

On 06/20/2018 10:09 AM, Cerem Cem ASLAN wrote:

Selamlar,


Geçen gün Twitter'da bir linke tıkladığımda Cumhuriyet Gazetesi'nin 
sitesinin HTTP kullandığını gördüm. Önce önemsemedim ama sonra hem 
vatandaşın fişlenme ihtimaline yol açabileceği için, hem de MITM ile 
asılsız haberler paylaşılabileceği için Cumhuriyet Gazetesi'ne "Bu 
devirde SSL kullanmamak nedir?" kabilinden durumu ilettim.



Fakat sonra başka bir şey fark ettim. SSL Labs'a göre Cumhuriyet 
Gazetesi'nin 4 ayrı IP'si var ve 4'ü de "A" derecesinde güvenli 
yapılandırılmış.



Normalde SSL olan bir siteye MITM uygulanmak istenirse "Bağlantı 
güvenli değil" uyarısı alırız, bu tamam. SSL-Strip uygulanmak 
istenirse, http://example.com yazdığımızda normalde 
https://example.com'a yönlendirme yapılıyorduysa aradaki adam 
https'deki istekleri alıp içeriğini değiştirip http'ye yönlendirir, 
eğer kullanıcı tarayıcının adres çubuğunda https yazdığını fark 
etmezse bu tuzağa düşmüş olur; bu da tamam.



Fakat tarayıcının çubuğuna https://cumhuriyet.com.tr yazdığımızda 
nasıl oluyor da http://cumhuriyet.com.tr'ye yönlendiriyor? Bunu ancak 
Cumhuriyet'in kendi sunucusu yapabilir diye düşünüyorum. Bu durumda 
SSL yapılandırması olması zaten gerekir, aksi halde http'ye 
yönlendirme de yapamazdı.



Yani Cumhuriyet'in önce A derecesinde SSL kurulumu olacak, sonra bile 
isteye gelen istekleri http'ye yönlendirecek olması kafa 
karıştırıcı... Atladığım bir yer mi var?








_______________________________________________
Linux-sohbet mailing list
Linux-sohbet@liste.linux.org.tr
https://liste.linux.org.tr/mailman/listinfo/linux-sohbet
Liste kurallari: http://liste.linux.org.tr/kurallar.php




_______________________________________________
Linux-sohbet mailing list
Linux-sohbet@liste.linux.org.tr
https://liste.linux.org.tr/mailman/listinfo/linux-sohbet
Liste kurallari: http://liste.linux.org.tr/kurallar.php






















					Cevap