"URL engelleme işinde SSL olsa dahi engelleme yapabilirsiniz" yerine
"HTTPS trafiğinde MITM yapmadan Domain engellemesi yapabilirsiniz" demek daha doğru olacak, zira URL/Domain kavramlarının karışması söz konusu yasanın mevcut düzeni nasıl etkileyeceğinin vatandaş tarafından algılanmasında büyük sıkıntı doğurdu. Pek çok kişi zaten engelleniyordu, ne değişti? diye soruyor. Ancak devletlümüz halihazırda domain(subdomain...) engelleme işini dns'de hallediyor. MITM olmaksızın, sertifika xxx ltd. adına yaratılmış ise engelle şeklinde bir rule tanımlamak da engelleme ve gözetleme açısından pratikte bir anlam ifade etmeyeceğinden çok önemli değil sanırım. Kişisel olarak ben türktrust ı uzun zamandır istemcimin güvendiği otoriteler arasından çıkartıyorum. e-devlet uygulaması bile sertifikasını rapidssl e imzalatmış iken çok da hayatımı etkilemiyor açıkçası. Sunucu tarafında güncel mevzuat için alınabilecek en pratik ve uygulanabilir yöntem tüm trafiği HTTPS'e yönlendirmek gibi. Kullanıcı olarak, temel güvenlik düsturu olan 100% güvenlik olmaz ilkesini sürekli akılda tutmak ve bu çerçevede HTTPS/SSL sessionlarımızın kesinlikle izlenemez/engellenemez algısının akıllarımıza yer etmemesini sağlamak yapılacak tek şey gibi görünüyor. 26 Şubat 2014 13:56 tarihinde Barkın Kılıç <bar...@barkin.info> yazdı: > Merhaba > > URL engelleme işinde SSL olsa dahi engelleme yapabilirsiniz, içeriği > görmenize gerek yok. SSL sertifikası içerisinde hangi CN adına verildiği > bilgisi açık olarak bulunur. Bu CN ismine bakarak hangi host olduğunu > dolayısı ile hangi sanal alan adına verildiğini ve yine dolayısı ile hangi > içerik alınacak karar verilebilmektedir. Bunun içinde trafiğe müdahele > etmenize gerek yoktur. Ama o sanal alan adı içinde özel bir URL için > engelleme yapmak istiyorsanız işte orda trafiğin arasına girmeniz gerekiyor > ve buda sahte bir yetki merkezi ile pek mümkün değil. Yani şöyle düşünün: > youtube.com yada www.youtube.com sitesi ziyaret edilmek isteniyor, SSL > sertifikasıda www.youtube.com alan adı yada host için yani > terminolojideki adı CN(Common Name) olarak imzalandığını düşünün, gelen > sertifikada kime imzalandığı bilgisi bu açık gelen alandan > görülebilmektedir arada trafiği izleyenler tarafından. Ama örneğin iletişim > başladıktan sonra www.youtube.com/babacigim_videosu gibi bir link > engellenmek gerisine izin verilmek isteniyorsa bunun için trafik şifresi > açılabilmeli ve içerisine bakılması gerekmektedir. Ufak bir düzeltme yapmak > istedim. > > Kolay gelsin. > > On 26 Feb 2014, at 01:35, Samed YILDIRIM <yildiri...@itu.edu.tr> wrote: > > Yanlış yazmışım. > > Gidilmek istenen adres bilgisi internet paketlerinde 4. katmandan sonra > (OSI Katmanları) yer alan bir veridir. URL bazlı engelleme veri > paketlerinin 7. katman üzerinden inceleme yapılarak mümkün olabilir. > Https'de ise şifreleme 7. katmanda gerçekleşir. Siz bir web sitesine > erişimi SSL ile şifrelediğinizde veri paketlerindeki URL bilgisini de > şifrelemiş oluyorsunuz. Veri paketindeki şifreli içerik çözümlenmeden > erişilmek istenen URL tespit edilemez ve buna bağlı bir > *filtreleme*gerçekleştirilemez. > > Bir de şu var. Arkadaşın önceki e-postalarda bahsettiği proxy cihazı ile > SSL trafiğinin arasına girmek de mümkün ancak bu kadarını yapmalarına > güvenlik nedeniyle özellikle internet üzerinden satış yapan firmalar, > bankalar vs. kolay kolay müsade etmezler. Orada büyük oyuncular devreye > gireceği için bu kadar kolay el kol oynatamazlar... > > İyi Çalışmalar > Samed YILDIRIM > > On 02/26/2014 01:31 AM, Samed YILDIRIM wrote: > > Gidilmek istenen adres bilgisi internet paketlerinde 4. katmandan sonra > (OSI Katmanları) yer alan bir veridir. URL bazlı engelleme veri > paketlerinin 7. katman üzerinden inceleme yapılarak mümkün olabilir. > Https'de ise şifreleme 7. katmanda gerçekleşir. Siz bir web sitesine > erişimi SSL ile şifrelediğinizde veri paketlerindeki URL bilgisini de > şifrelemiş oluyorsunuz. Veri paketindeki şifreli içerik çözümlenmeden > erişilmek istenen URL tespit edilemez ve buna bağlı bir şifreleme > gerçekleştirilemez. > > İyi Çalışmalar > Samed YILDIRIM > > On 02/26/2014 01:21 AM, guvenatbakan . wrote: > > URL bazlı engellemenin https ile aşılmasındaki teknik durum nedir? > > > 26 Şubat 2014 01:18 tarihinde Samed YILDIRIM <yildiri...@itu.edu.tr>yazdı: > >> Merhabalar, >> >> URL bazlı engelleme https ile aşılabilir, IP bazlı bir engelleme >> yapıldığında maalesef bu da pek mümkün değil. >> >> İyi Çalışmalar >> Samed YILDIRIM >> >> On 02/25/2014 10:46 PM, Mustafa Aldemir wrote: >> >> teşekkürler. >> >> aslında benim tartışmak istediğim, kullanıcının sansürü aşma >> yöntemlerinden daha çok sunucu tarafında yapılabilecek bir şey olup >> olmadığı. >> >> *sevgiler...* >> *Mustafa* >> >> ------------------------------ >> *From:* guvenatbakan . <guvenatba...@gmail.com> <guvenatba...@gmail.com> >> *To:* Linux'la ilgili sınırsız tartışma ve haberleşme listesidir >> <linux-sohbet@liste.linux.org.tr> <linux-sohbet@liste.linux.org.tr> >> *Sent:* Tuesday, February 25, 2014 8:12 PM >> *Subject:* [Linux-sohbet] Re: Sansüre karşı önlemler >> >> Gozetimin nasil yapilabilecegi uzerine bir ongoru: >> https://network23.org/kame/2014/02/22/suriyeden-turkiyeye-internet-sansuru/ >> Gozetime karsi teknik onlemler: http://kemgozleresis.org.tr >> Bu linkler yardimci olabilir. >> On Feb 25, 2014 5:58 PM, "Mustafa Aldemir" <m_alde...@yahoo.com> wrote: >> >> Merhaba, >> >> sanırım herkes yeni çıkan yasayla internette uygulanmak istenen >> sansürün farkındadır. Yeni yasa mahkeme kararı olmadan engellemeler >> yapılabilmesine (ki zaten yapılıyordu) ek olarak servis sağlayıcılara >> trafiğin de kaydedilmesi zorunluluğu getiriyor. >> >> En son dün gece ortaya çıkan kasetlerle bu yasanın gerekçesini daha da >> net görmüş olduk. Elbette bilinçli bir kullanıcı olarak VPN, tünel, proxy >> vs. yöntemlerle engellemeleri aşmak mümkün ama bunları uygulayabilecek >> teknik bilgisi olan insanların sayısı sınırlıdır diye tahmin ediyorum. >> >> Peki, sunucu tarafında bu engellemelere karşı ne gibi bir önlem >> alınabilir? >> >> URL ve IP bazlı engellemeden bahsediliyor. Bu engellemeler teknik >> olarak nasıl uygulanacak, bilgisi olan var mı? >> >> *sevgiler...* >> *Mustafa* >> >> _______________________________________________ >> Linux-sohbet mailing list >> Linux-sohbet@liste.linux.org.tr >> https://liste.linux.org.tr/mailman/listinfo/linux-sohbet >> Liste kurallari: http://liste.linux.org.tr/kurallar.php >> >> >> _______________________________________________ >> Linux-sohbet mailing list >> Linux-sohbet@liste.linux.org.tr >> https://liste.linux.org.tr/mailman/listinfo/linux-sohbet >> Liste kurallari: http://liste.linux.org.tr/kurallar.php >> >> >> >> >> _______________________________________________ >> Linux-sohbet mailing >> listlinux-soh...@liste.linux.org.trhttps://liste.linux.org.tr/mailman/listinfo/linux-sohbet >> Liste kurallari: http://liste.linux.org.tr/kurallar.php >> >> >> >> _______________________________________________ >> Linux-sohbet mailing list >> Linux-sohbet@liste.linux.org.tr >> https://liste.linux.org.tr/mailman/listinfo/linux-sohbet >> Liste kurallari: http://liste.linux.org.tr/kurallar.php >> >> > > > _______________________________________________ > Linux-sohbet mailing > listlinux-soh...@liste.linux.org.trhttps://liste.linux.org.tr/mailman/listinfo/linux-sohbet > Liste kurallari: http://liste.linux.org.tr/kurallar.php > > > > _______________________________________________ > Linux-sohbet mailing list > Linux-sohbet@liste.linux.org.tr > https://liste.linux.org.tr/mailman/listinfo/linux-sohbet > Liste kurallari: http://liste.linux.org.tr/kurallar.php > > > > _______________________________________________ > Linux-sohbet mailing list > Linux-sohbet@liste.linux.org.tr > https://liste.linux.org.tr/mailman/listinfo/linux-sohbet > Liste kurallari: http://liste.linux.org.tr/kurallar.php > >
_______________________________________________ Linux-sohbet mailing list Linux-sohbet@liste.linux.org.tr https://liste.linux.org.tr/mailman/listinfo/linux-sohbet Liste kurallari: http://liste.linux.org.tr/kurallar.php
