HTML5 Güvenliği: Yeni Nesil Web Tehditleri

Gelişmekte olan HTML5’in sunduğu yeniliklerin yeni uygulamalarla hızlıca sunulması ciddi güvenlik zaafiyetlerini de beraberinde getiriyor. Bu konuda, bir yazı dizisi halinde sunacağımız 4. Ağ ve Bilgi Güvenliği Sempozyumunda Emre Çakır’ın sunduğu “HTML5 Güvenliği: Yeni Nesil Web Tehditleri” makalesinde güvenlik hassasiyeti olmadan geliştirilen HTML5’te tanımlanan yeni özelliklerin sebep olabileceği zaafiyetler incelenmekte ve bu zafiyetlere meydan vermemek için uyulması gereken güvenli web yazılımı geliştirme prensiplerinden bahsediliyor.

 

HTML, HTML4 ve HTML5 TARİHİ

Halen Web uygulamalarını geliştirmek için kullanmakta olduğumuz HTML4 standardının geliştirilmesi 1997’de tamamlanmış olup W3C tarafından 1999 yılında geliştiricilerin kullanımı için önerilmiştir. O günden bu bugüne gerek yazılım dünyasındaki gerekse donanım dünyasındaki gelişmeler göz önünde bulundurulduğunda kullanıcıların İnternetten beklentileri belirgin bir şekilde artmıştır. Yazılım geliştirme ortamlarının yeteneklerinin artması, internet bağlantı hızlarının belirgin bir şekilde yükselmesi, İnternet erişiminin cep telefonlarına kadar ulaşması bu dünyada yer sahibi olmak isteyen üreticilerin ortam gereksinimlerini arttırmış; bankacılık, eğitim, alışveriş, iletişim, paylaşım gibi birçok aktivitenin İnternet üzerine taşınması yeni ihtiyaçlar ortaya çıkarmıştır. İnternet dünyasında bu köklü değişimler yaşanırken, uygulamaların üzerine kurulduğu standart aynı kalmış ve yakın dönemlerde çoğu zaman geliştiricileri kısıtlayan bir kurallar bütünü haline gelmiştir. Yeni gelişen ihtiyaçlar Adobe® Flash, JAVA Applet, Microsoft® Silverlight gibi yan çözümlerle giderilmeye çalışılırken bu birbirinden bağımsız üretici çözümleri İnternet üzerinde standarttan uzaklaşmayı arttırarak, İnterneti birlikte çalışamayan ve de çalışamayacak olan uygulamalar yığını haline getirmeye başlamıştır. Son dönemde hızlıca yükselen sosyal paylaşım siteleri ve özü gereği bu sitelerin paylaşım ve birlikte çalışırlığa yönelik yapıları İnternet için yeni bir standart ihtiyacını tepe noktasına çıkartmıştır.

 

HTML standardın İnternetin yeni gereksinimlerini karşılaması amacıyla güncellenmesi için WHATWG (Web Hypertext Application Technology Working Group) 2004 yılında çalışmalarına başlamış ve çok geçmeden W3C de bu sürece dâhil olmuştur. İnternetin yeni anayasası statüsündeki HTML5, Mayıs 2011 itibariyle yeni önerilere kapısını kapatmış ve 2014 yılı W3C tarafından standardın önerileceği tarih olarak belirlenmiştir.

 

HTML5 standardının 2014 yılına kadar önerilmeyeceği, 2014 yılına kadar HTML5 zafiyetlerinden kaynaklanacak tehditlere maruz kalmayacağımız manasına gelmemektedir. HTML5 WHATWG ve W3C önderliğinde ve koordinasyonunda geniş bir topluluk tarafından açık bir şekilde geliştirilmekte ve taslak standardın geçirdiği bütün evreler geliştiricilere sunulmaktadır. An itibariyle elimizdeki taslağın bazı kısımları olgunlaşmışken bazı kısımlarında geliştirme henüz devam etmektedir. Bu geliştirmeye aktif bir şekilde katılan tarayıcı üreticileri, bir yandan standardı gerçeklemeye devam ederken bir yandan da karşılaştıkları sorunları WHATWG ve W3C ile paylaşmakta, standart da bu şekilde birçok açıdan evrimleşmektedir. Bu süreç sırasında da daha önce bahsedilen sebeplerden dolayı, tarayıcı üreticileri taslak gerçeklemelerini yeni sürümlerinde piyasaya sürmekte ve HTML5 ile geliştirilmiş web uygulamaları bugün aktif olarak bütün popüler tarayıcılarda kısmi destekle çalışmaktadır.

 

Bu yazı dizisinde, şu an aktif olarak kullanılabilen HTML5 standardının düzgün yorumlanmadığında ve/veya düzgün gerçeklenmediğinde yol açabileceği zafiyetleri ve İnternet kullanıcılarını bu zafiyetlere maruz bırakmamak için uyulması gereken güvenlik prensipleri sunulmaktadır. Dizinin 2. bölümünde HTML5 standardında tanımlanan belli başlı yenilikler, bu yeniliklerin gereksinimleri ve yol açabileceği olası zafiyetlerle güvenli web yazılımı geliştirme prensipleri sunulacaktır. Dizinin 3. bölümünde bu güvenlik prensiplerinin bir özeti ve HTML5 güvenliği üzerine çalışacaklar için öneriler bulunacak ve son kısımda HTML5 güvenliği çalışmasından çıkarılan sonuçlara yer verilecektir.

M. MEKİN PESEN

YAZAR:

Özel bir kurumda kıdemli bilgi güvenliği uzmanı olarak çalışan M. Mekin Pesen, Elektrik-Elektronik Mühendisliği lisans ve Bilgi Güvenliği Mühendisliği yüksek lisans diplomaları ile CISSP, ECSA, CEH ve CCSA sertifikalarına sahiptir. Kendisi siber güvenlik ve bilgi güvenliği genel başlıkları altında çeşitli konularda uzmanlaşmaktadır.
    

E-Bültene Kaydolun, Makaleler Posta Kutunuza Gelsin

Bu yazıyı başka hiçbir yerde ve şekilde yayınlayamazsınız ve/veya kullanamazsınız. Bu yazıyı kullanmanız, başka herhangi bir uyarıya gerek kalmadan her türlü hukuki sonucu daha en baştan kabul ettiğiniz manasına gelir.