HTML5 Güvenliği İçin Yapılabilecekler

Şüphesiz HTML5 İnternet dünyasında yeni bir çığır açacak ve hem geliştiriciler için hem de kullanıcılar için vazgeçilmez uygulamalara imkân tanıyacaktır. Burada gözden kaçırılmaması gereken HTML5 standardının henüz taslak halde bulunduğu gerçeğidir.

Taslak halde bulunan bir standarttan yola çıkılarak hızlı bir şekilde tarayıcılar tarafından desteklenen bu yeni özellikler bugüne kadar karşılaşılmamış, bilinmeyen zafiyetlere sebebiyet verebileceği gibi, bilinen zafiyetlerin farklı biçimlerde tekrar ortaya çıkartılmasına da sebep olabilirler.

 

HTML5 Güvenliği

Burada tekrar altını çizmemiz gereken bir başka nokta tarayıcıların desteklemesiyle birlikte bütün İnternet kullanıcılarının HTML5 kullanmaya başlamasıdır. Bu geçiş sırasında kullanıcının onayı alınmadığı gibi, otomatik güncellemeyle tarayıcısını güncelleyen kullanıcılar HTML5 zafiyetlerinin oluşturabileceği tehditlerin hedefi haline gelmektedir. Burada geliştiricilere önemli bir sorumluluk düşmektedir. Bugüne kadar İnternet üzerinden servis ettikleri yazılımlar HTML5 standardının tarayıcılarla desteklenmesinden sonra güvenlik zafiyeti gösterebiliriler. Nispeten yeni ve tamamlanmamış olan bu zafiyetlere karşı güvenlik testleri derinlemesine ve eksiksiz bir şekilde bir an evvel yapılmalı, yeni geliştirilen uygulamalarda da bu yazıda bir kısmı verilen güvenlik önerilerine uygun bir şekilde geliştirme yapılmalıdır.

 

HTML5 güvenlik testi yapmaya aday olan araçlar da var olan zafiyet ve tehdit veritabanlarını güncellemeli ve tarayıcılar tarafından desteklenen özellikler bütününü testlerine dâhil etmelidirler. Son olarak vurgulamak istediğimiz bir diğer nokta da Firefox ve Opera’nın yeni sürümlerde zafiyet ve açıklıklara sebebiyet verebileceğinden dolayı soket ara yüzünden desteğini çekmesidir. Süregelen tarayıcı savaşlarında öne çıkma arzusunun yerine kullanıcılarının güvenliğini ön plana çıkarması bu iki tarayıcıyı güvenlik açısından diğerlerinin önüne geçirmeyi başarmıştır.

 

Bütün bu önlem ve kısıtlamalarla birlikte İnternet üzerinde birlikte çalışabilirliği önemli ölçüde arttıracak olan HTML5 standardının kullanımı ve yaygınlaşması desteklenmeli; kritik olmayan uygulamalar aracılığıyla standarttaki zafiyetler bir an evvel tespit edilip kapatılarak HTML5 standardı bütün geliştiricilerin kullanımına açılmalıdır.

 

Sonuçlar

HTML5 standardı henüz taslak halinde olmasına rağmen çözüm getirdiği sorunlar ve web üzerinde çalışan uygulamaların yeteneklerini genişletmesi açısından özellikle Facebook, Google, Apple gibi üreticiler tarafından çoktan benimsenmiş ve uygulamaya konmuştur. Popüler tarayıcılar da bu sürece yoğun bir şekilde destek vermekte ve standardın olgunlaşması için çaba sarf etmektedirler. Bu görünüme göre çok uzak olmayan bir zamanda HTML5 standardının yetenekleri kullanıcılar tarafından istenmeye başlayacak ve web üzerinde geliştirme yapan bütün üreticiler standardı programlarına alacaktır. Böyle bir ortamda web uygulamalarının HTML5 standardına kısa zamanda keskin bir geçiş yapacaklarını öngörmek çok da yanlış olmaz.

 

Bu noktada, özellikle olgun bir HTML4 ile geliştirme hayatlarına başlamış geliştiricilerin HTML5 zafiyetleri konusunda bilgi sahibi olmaları, geliştirme sırasında güvenlik gereksinimlerini de göz önünde bulundurmaları kullanıcılar için hayati önem taşımaktadır. Bu ihtiyaç da web geliştiricilerinin web güvenliği ile ilgili çalışmaları her zamankinden daha yakından ve daha çok takip etmelerini gerektirmektedir.

 

Sibergah’tan Yararlı Ek Kaynaklar:

— YAZI DİZİSİ SONU —

M. MEKİN PESEN

YAZAR:

Özel bir kurumda kıdemli bilgi güvenliği uzmanı olarak çalışan M. Mekin Pesen, Elektrik-Elektronik Mühendisliği lisans ve Bilgi Güvenliği Mühendisliği yüksek lisans diplomaları ile CISSP, ECSA, CEH ve CCSA sertifikalarına sahiptir. Kendisi siber güvenlik ve bilgi güvenliği genel başlıkları altında çeşitli konularda uzmanlaşmaktadır.


    

E-Bültene Kaydolun, Makaleler Posta Kutunuza Gelsin

Bu yazıyı başka hiçbir yerde ve şekilde yayınlayamazsınız ve/veya kullanamazsınız. Bu yazıyı kullanmanız, başka herhangi bir uyarıya gerek kalmadan her türlü hukuki sonucu daha en baştan kabul ettiğiniz manasına gelir.