Bu yazımızda OAUTH 2.0'dan bahsedeceğiz.OAUTH standartlaşmış bir yetkilendirme protokolüdür.Bir uygulamadaki kullanıcı kaynaklarının,kullanıcının izni ile belirtilen yetkilerin,bir başka uygulamaya güvenli bir şekilde verilmesini sağlıyor.
Diyelim ki bir platform üzerinde bir sosyal medya hesabı oluşturmak istiyorsunuz.Bu uygulamaya üye olabilmeniz için facebook ile giriş yap diye bir butona tıklayıp,facebook hesabınızın kullanıcı adı ve şifre bilgilerinizi girdikten sonra,uygulamanın erişmek istediği izinleri kabul ettiniz.(Sizin yerinize paylaşım yapma veya arkadaşlarınızı görebilme gibi).İşte bu aşamalarda OAUTH 2.0 kullanılıyor.Bu protokol önceki ve sonraki sürümleriyle uyumsuz.Zaten OAUTH1.0'daki güvenlik açıklarının giderilmesi amacıyla geliştirilmiş.Bu arada oltalama adı verilen,örneğimizde verdiğimiz yetkileri değilde tüm yetkileri eline geçiren bir hackleme olayı var.Sahte arayüz tasarım ile kullanıcının bilgileri alınıp hesabı ele geçiriliyor.Bir banka üzerinden örneklendirelim.A bankasının internet bankacılığı sitesinin bir kopyası oluşturulmuş olsun.Bu sitenin adresi www.xyzbank.com olsun.Buradan yapılan girişlerde kullanıcı bilgileri ağda şifrelenmiş olarak akar,güvenlidir.Fakat siyah şapkalı hacker diye tarif ettiğimiz hacker'lar bu sitenin template'ini kopyalayıp www.xyzbankr.com domain'i aracılığıyla erişime açıyor.Daha sonra instagram gibi reklamların kolayca verildiği sitede tanındık bir banka ismine reklam veriyor.İnternet sitemizden giriş yapan ilk 10 kişi kol saati hediye veriyoruz diye.Altınada basıyor sahte adresi :).İnstagramın saçmalık diye nitelendirdiğim bir reklam politikası.Neyse sonra buna inanan insanlar bu adresi tıklayıp sazan gibi bilgilerini giriyorlar.Neyse telefona gelen doğrulama mesajı içinde bir arayüz oluşturuyorlar.Daha sonra kullanıcı arkadaş güzelce tüm bilgilerini hacker'lara post ediyor.Bu hacker'larda hesaba anlık olarak giriş yapıyor.Daha sonra hesaptaki tüm parayı çekiyorlar.Bazıları az çekiyor bu sayede dikkat çekmeyeceğini düşünüyor.İleride bir bankada çalışacak olursam bu sorunu çözebilirim :).Bence burada ilk suçlu bu reklamı verdirtende,sonraki suçlu bilgi sahibi olmayan kullanıcıda.En büyük suçluda insanların açıklarından kar elde etmeye çalışan siyah şapkalı hacker'lar.O siyah şapkayı çıkartıp,beyaz şapka kullanmalarını tavsiye ediyoruz :).
Kullanacağımız uygulamayı bizim sosyal medya uygulamamıza yetkilendirme yapılırken access token'ler kullanılıyor.Aşağıda bu olayı anlatan çok güzel bir animasyon mevcut.Bu animasyona ve bu konu ile ilgili daha fazla bilgiye ulaşmak istiyorsanız animasyon kaynağına buradan gidebilirsiniz.
Şimdi n11.com'a kendi facebook hesabımızdan bazı yetkiler vererek giriş yapalım.
Bu şekilde izinler doğrultusunda hesap bilgilerim kayıtlı olduğunda direkt devam et seçeneği geliyor.Ben buradan giriş yaparken erişebilecekleri yerleri kısıtladım.Her uygulamaya her yetkiyi vermeyin.Bu şekilde bu teknolojiden bahsetmeye çalıştım.Umarım faydalı olmuştur.
İYİ ÇALIŞMALAR :)
Hiç yorum yok:
Yorum Gönder