Web Sitenizi SSL MIM/MITM Ataklarına Karşı Güçlendirme

[Murat]

Yazının orijinal tarihi: 2007-09-24


SSL kullanan birçok banka ve alışveriş sitesinde bulunan bu zayıflık (SSL man in the middle) yıllardır bilinmekteydi ve çoğu site bu açığa karşı güvenli hale geldiğine göre biz sitede açık olup olmadığını anlamak için en basit tool'u anlatmalı diye düşünüyorum.

Rar'ı açtıktan sonra açtığınız klasöre dos emülasyonundan giriş yapın, başlat-çalıştır-cmd
SSL.Check-0.1.rar

Örnek:
Öncelikle antivirus/fw gibi programları kapatalım, daha sonra;

cd "c:\SSL Check 0 1\" klasöre girelim.

THCSSLCheck www.örneksiteniz.com 443 yazarak çalıştıralım.

Ekranda göreceğiniz çıktı, aynı klasör içindeki iyi.txt'teye benziyorsa siteniz nispeten güvenlidir. Çıktı kotu.txt'ye benziyorsa sitenizi IIS (Internet Information Server) sürüm 5.x/6.x için nasıl güvenli hale getireceğiniz SSL Kapatmaca.txt dosyasında ayrıntılı olarak anlatılmıştır. Apache için işlem çok daha kolay, readme.txt dosyasında anlatılmaktadır.

Not1: Yazıya başlarken "güvenli hale geldi" demiştim. Değilmiş...

Not2: IIS güvenli hale getirme dosyasının orijinali cronos mantas tarafından yazılmıştır, anlaşılabilir hale getirilmesi ve ilaveleri cnguru tarafından yazılmıştır.

[StreAmeR]

tool için teşekkürler, gördüğüm kadarı ile openssl api si ile yazılmış bir program mümkünse source code da verebilirmisiniz. openssl için özelleştirilmiş kaynak bulmak biraz zorda.

[Murat]

tool için teşekkürler, gördüğüm kadarı ile openssl api si ile yazılmış bir program mümkünse source code da verebilirmisiniz. openssl için özelleştirilmiş kaynak bulmak biraz zorda.

Bu tool'u biz yazmadık bu bakımdan yazanlarla görüşmende fayda var.

[StreAmeR]

ok içerisinde türkçe yazılmış dosya adına sahip dosyaları ve sitenin seviyesini düşününce birden sahipsinizdir izlenimine kapıldım üzgünüm. beyin ramazan modunda olduğundan gereksiz atraksiyonlara giriyor işte

[Murat]

Aynen, baş ağrısıda cabası.