Chrome Güvenli Değil Uyarısı – Not Secure!

Merhabalar,

İnternet hayatımıza gireli neredeyse 25 yıl olacak. Ve bilgisayarda internette gezinme yani surf diye tabir edilen işlemi yapabilmek için kullandığımız araçların (programların) tamamı internet gezgini bir diğer tabiri ile tarayıcı (browser) olarak adlandırılmaktadır. İnternet ile ilk tanışmamız da en çok kullandığımız tarayıcı şüphesiz windows işletim sistemini ile beraber gelen Internet Explorer olmuştur.

Zaman geçerken donanımsal teknolojiler (daha güçlü işlem yapabilen bilgisayarlar) ve yazılımlar geliştikçe rakipler de çoğaldı bu dönencede Nestcape, FireFox , Safari, Opera,Yandex ve Chrome gibi farklı marka tarayıcılar sürekli bir rekabet yani teknoloji savaşları içinde oldular.

Tarayıcıların atası aslında Nestcape iken şuanda esamesi bile okunmuyor ve en yaygın kullanılan Microsoft Internet Explorer da bitmiş durumda. İlk başlarda popüler olan Firefox 2000 li yılarda en çok kullanılan tarayıcı olarak Internet Explorer ‘a ilk tokatı atan marka olarak tarihteki yerini almış iken, Google firmasının popülerliğinin giderek artması ile Google Chrome liderliği kapmış durumda en ciddi rakibi Yandex ve Firefox olduğu da bir gerçek.

Internet Explorer ise Chrome indirmek için kullanıyor diye maalesef ironik bir durumda 🙂

Bana Apple ‘cılar belki kızacak Safari ‘den çok bahsetmiyorum diye ama sadece Apple bilgisayarlarında çalıştığından çok fazla detaya girmiyorum. Biraz sonra bahsedeceğim konu zaten Google Chrome yani google ‘ın aldığı bir güvenlik uyarısı kararı. Yani işletim sistemi bağımsız Apple Mac OS , Ubuntu veya Microsoft Windows için de çalışan tüm Chrome, Chromium (Linux verisyonu ) tarayıcılar için geçerli bir durum. Bu dip notu da ayrıca buraya düşeyim 🙂

Gelelim bu yazıyı yazmamdaki asıl konu sebebine 🙂

Geçtiğimiz 1- 2 yıldır en çok kullanılan Google Chrome tarayıcı’nın bir yeni sürümünde bir çok siteye girdiğinizde aşağıdaki görseldeki gibi bir uyarı gelmeye başladı “Güvenli Değil” “Not Secure” yani ziyaret ettiğiniz web sitesinin güvenli olmadığının bir uyarısı. Günümüzde dolandırılıcığın ve güvenilirliğin önem kazandığı hacker ve sahtekarların (fraud teknolojik tuzakların arttığı) sürekli kullanıcıların zaafiyetlerinde faydalanarak dolandırıldığı bugünlerde tüm herkeste bu uyarı bir tereddüt oluşturdu. Gezmekte olduğu web sitenin güvensiz olduğunu ima eden bu uyarı mesajı çok teknolojiden anlamayan kullanıclarda bir panik oluşturmuştur. Bu da gayet normaldir.

Bu uyarı Chrome’un 68 nolu verisyonundan sonra Google devreye aldığı bir politikadır. Zaten bu politikayı yanlış bulduğum için bu yazıyı yazma ihtiyacı duydum.

The latest version of the Google Chrome browser, version 68, introduced a new “Not Secure” warning in the address bar that appears anytime you are visiting an insecure web page. Soruce : https://www.digicert.com/blog/not-secure-warning-what-to-do/



Gelelim şimdi HTTPS ve HTTP veya SSL güvenlik konusunda biraz bilgilendirmeye. İnternet siteleri temelde şifrelenmiş veri iletişimi yapan veya yapmayan olarak iki teknolojiye sahiptir. HTTPS ise güvenli yani şifreleme (encryption) kullanıyor demektir HTTP olan websiteleri ise güvensiz protokol yani SSL Secure Sockets Layer ) sertifikası olmayan S ise burada Secure yani güvenli demektir.

HTTP (Hypertext Transfer Protocol)

HTTPS (Hypertext Transfer Protocol Secure)

Buarada web sitesi üzerinde bir veri girişi yapıyor iseniz, yani form işlemleri gibi. Kaydet veya gönder gibi aksiyonlarda yazdığınız veriler siteye bilgisayarınızdan iletirken HTTPS bir siteden verileriniz şifrelenerek güvenli bir şekilde iletilir ve bilgileriniz’in çalınma riski HTTP yani sertifika olmayan, şifreleme kullanmayan siteye göre daha güvemlidir diyebiliriz.

Peki hangi siteler https olmalı ?

Bütün siteler HTPS olmalı mı ? gibi soruları sorduğumuzda burada güvenlik kavramı devreye giriyor .

Güvenlik nedir? Ne olmalıdır? İnternet güvenliği nedir? Teknolojik olarak güvenlik nedir ?

Bir sürü sorular, soru içinde 🙂

Temel de güvenlik bir kabuldür. Sizin verileriniz’in hangileri önemli ise onun korunması sizin için gevenli olmalıdır. Mesela bir haber sitesini ele alalım sadece bilgi okunan ve bilgi girişi yapılmayan bir ansiklopedi bir kütüphane gibi güncel bilgilerin okunduğu bir siteden bahsediyorum, bu ve benzeri gibi web sitelerin de güvenlik çokda dert değildir 🙂 Bir kitap yazılmış kimse okumasın diye kasaya koymak kadar saçma geliyor bana. Hani bilgi paylşılacaktı felsefeside cabası 🙂 Bu gibi sitelerde HTTP yani hiç bir güvenlik SSL sertifikası (güvenlik katmanı da diyebiliriz) olmaması bu sitenin güvenli olmadığı anlamına gelmez diyorum. Bu gibi sietler de HTTPS gerek yok bu yorumumu aklınızın bir kenarına not edin.

Başka bir örnek ise bir elektronik alış veriş mağaza sitesini (e-commerce/e-ticaret) ele alalım . Burada ürünler ve fiyatları sergilenmiş bir üyelik sistemi var ve bazı ad soyad, adres, e-posta gibi kişisel bilgileriniz giriliyor ve siteye kaydediliyor. Bir veri toplama söz konusu ve en önemlisi de günün sonunda bir ürün almak için alışveriş tutarının bir metod ile ödenmesi gerkeiyor. Bbu ödeme yöntemide havale veya EFT değil ise Kredi Kartı ile yapılacak gibi duruyor ise, yani parasal bir işlem söz konusu. İşte tamda burada sitenin HTTPS olması yani güvenli verilerin şifrelenerek sörf edildiği bir protokol (SSL güvenlik katmanı ) olması gerekiyor.

HTTPS de yüzde yüz güvenli diyebilir miyiz?

Tabiiki hayır. Ama HTTP ‘den daha güvenlidir diyebiliriz. HTTPS ‘teknolojisinin şuanda alternatifi yok. Yani dahada güvenlisi. Sürekli şifreleme algoritmaları 128 bit 256 bit ve 1024 bit gibi giderek zorlaştırılıyor ama teknoloji hızla geliştikçe bunlarda kırılabiliyor. Teknolojik gelişmeler sürekli güvenliği artırsada aynı imkanları kullanarak kötü niyetli kişiler yine bir açık veya alternatif şifre krıma yöntemleri ile süreci aşağı çekiyor. Güvenlik tedbir ve zaafiyet olarak bir birini yukarı aşağıya çekecek bir denge oyunu gibi hayatını devam ettirecektir. Daha güvenli bir teknoloji çıktıkça dahada güvenlisine ihtiyaç hep olacaktır 🙂

Buna daha basit gerçek hayattan bir örnek vermek gerekir ise; Evinizin kapısı tahta bir sıradan kapı ise hırsız’ın açması sadece 5 dakika sürer . Kalitesiz sıradan tek kilitli bir çelik kapıda ise bu işlem ise 30 dakida açılabilir. Daha kaliteli bir çelik kapı alalım, 3 tane kilitdi olan dahada sağlam çelik kullanılan vs. bu kapı ise eğer hırsızın zamanı var ise bir şekilde kapıyı keser meser bir yöntem ile 1 saat de o kapıyı yine açmak ister ise açacaktır. Bu üç örnekte sadece zamanı uzattık .

Hiç bir şey yüzde yüz güvenli değildir. 🙂 sadece önlem alarak zamanı uzatabiliriz . Tabiki önlem almamız gerkeiyor. Evin kapısını da açık bırakcak değiliz 🙁

http://www.ornek.com sitesine Chroem ‘un 68 ve üstü verisyonu ile girdiğinizde Güvenli Değil uyarısı alırken aynı siteye Firefox veya Explorer ile girdiğinizde bu uyarısı almıyorsunuz. Aslında size bunu Google Chrome ‘un yeni aldığı politikası söylüyor . Yani google diyorki HTTPS olmayan tüm isteler güvenli değildir. İşte esas gelmek istediğimiz yere geldik. Google yalan söylüyor. Ve hiçte hoş olmayan yanlış bir uygulama oladuğunu altını basa basa söylüyorum .

Eğer bir alışveriş veya banka sitesinde değerli bir parasal işlem gibi aksiyon alacak iseniz kesinlik ile HTTPS ve gerçekten o bankasnın yani sahte bir sitede olmadığından emin olun HTTPS olmayan sitelerde bu işlemleri yapmayın işte anlatmak istediğim bu . HTPS olmayan her site güvenli değildir manasına gelmez ve bu uarı insanları yanlış bir bilgilendirme ile altadan bir Google Chrome uygulama politikasıdır. Umarım Google bu hatasından geri döner. Bu bir iyi niyet temennisidir 🙂

Aslında internette hangi sitelerin güvenli olduğunu nasıl anlarızı daha detaylı bir yazıda yazmayı düşünüyorum şimdi burayı yeri olsun yazıyı yazınca kısıma ekleyeceğim. Sadece HTTPS var diye site güvenlidir demekte yanlış belki kötü amaçlı HTTPS kurulmuş sahte bir dolandırıcılık sitesinde geziniyorsunuz 🙂 Google Chrome bu siteye güneli değil uyarısıda vermeyecektir 🙂 Haydaaa kafalr iyice karıştı 🙂 bu yaızyı en kısa sürede yazmam gerektini iyice hissetim.

Özetin de demek istediğim güvenlik kabuller ile alakalıdır.

Peki Google HTTPS olamyan tüm sitelerin neden güvensiz olduğunu ima eden bana göre bu yanlış kararı aldı ?

Aklımda teoriler hemen geldi. Bir sitenin HTTP den HTTPS çalışabilmesi için SSL güvenlik sertifikasına sahip olması gerekiyor.

SSL sertifikası satın almak yıllık dolar üzerinden bir maliyet. Dünyada çok fazla SSL sertifika satıcıları yok. Acaba Google bu firmaların işleri açılsın diye Google Chrome gücünü ticari bir manipülasyon için mi kullandı ?

Dünyada milyonlarca HTTPS olmayan web sitesi var 🙂 Şimdi panik halinde veya prestij için bir çok kurumsal veya kobi kuruluşları hiç gerek olmayan web siteleri için SSL sertfikası alacak ve almaya zorlanıyor. Birde bu iş için yıllık buna dolar üzerinden para ödeyecekler. SSL sertifika satan firmaların bir anda işleri nasıl da açıldı değil mi ?

Google zaten arama motorundaki dünya liderlerliğindeki gücü sayesinde en çok gelirini reklamdan kazanır iken şimdi ise firmalara iş üreterek de ne kadar para kazandı acaba 🙂 Tüm sitelerdeki verileri analiz edebilenve belirli hizmet karlışığı google reklam firmasının bana bu site güvenli değil demesine niye güveneyimki adamlar zaten sürekli dünyanın verisini toplamıyorlar mı ?

Gerek mobile ceptelefonu Android eko sisteminden gerek ise google arama motoru ve Google Chrome ile herşeyimiz kayıt altına almıyorlar mı?

Bir başka yaklaşımda dünyada artan internet dolandırıcılığını Google HTTPS olmayan sitelere güvenmeyin ben siteleri tek tek kontrol edemiyorum diyor olabilir. Ama Google haricinde diğer Explorer , Firefox , Opera ve Yandex bu yanlış uyarıyı yapmayarak doğru bir iş yaptıkları düşüncesindeyim.

Diğer kanaat notunu sizlere bırakıyorum.

Üzerine bssa basa tüm sözde güvenlikçi diye piyasada danışman olarakta gezen herkes ile bunun tartışmasını yaparım. Güvenlik neye göre kime göre güvenlik ? Güvenlik kabuller ile alakalıdır. Benim evimde değerli birşey yok ise kapının açık olması benim için güvensizlik değildir diyerek bitiriyorum .

Kendi güvenliğinizi , bilinçli bir kullanıcı olmanız tavsiyesi ile kendi kararınıza bırakarak daha özgür ve daha bilinçli kullanıcı olmanız temenlisi ile. kendinizden başka kimseye güvenmeyin paradoksu ile yaşayın 🙂

http://burhankaradere.blogspot.com/2009/08/web-30-e-gecis.html

VN:F [1.9.22_1171]
Rating: 10.0/10 (1 vote cast)
VN:F [1.9.22_1171]
Rating: 0 (from 0 votes)
Chrome Güvenli Değil Uyarısı - Not Secure!, 10.0 out of 10 based on 1 rating