2014-02-26 14:18 GMT+02:00 Mehmet Gürevin <mehmetgure...@gmail.com>: > "URL engelleme işinde SSL olsa dahi engelleme yapabilirsiniz" > yerine > "HTTPS trafiğinde MITM yapmadan Domain engellemesi yapabilirsiniz" > demek daha doğru olacak,
Bu çok doğru. > Ancak devletlümüz halihazırda domain(subdomain...) engelleme işini dns'de > hallediyor. Bu biraz karmaşık halde. Bazı ISP ler başka yollar deniyor. Yasa geçmeden hemen önce çeşitli videolara URL temelli engellemeler yapılmaya çalışıldı. Tam o sıralarda mesela pastebin.com sitesine erişmeye çalıştığımızda (başka sitelerde vardı ama isimlerini hatırlamıyorum) ekran görüntülerinden, mesajlardan anladığımız kadarıyla Palo Alto[1] firmasının cihazlarından biriyle karşılaşıyorduk. Şimdi denedim yeniden eski haline dönmüş ve mahkeme kararı ile karşılaşıyoruz. Yeni yasa ile bu durum DNS bozarak mümkün olmayacak. Çünkü alternatif yolları engellemek gibi bir sorumlulukları var. Ya tüm DNS isteklerini nereye giderse gitsin port ya da paket analizi ile anlayıp kendileri karşılamaya çalışacak -ki bu bana çılgınlık olur gibi geliyor- ya da DNS konusunu devre dışı bırakıp başka yollar deneyecekler.. > MITM olmaksızın, sertifika xxx ltd. adına yaratılmış ise > engelle şeklinde bir rule tanımlamak da engelleme ve > gözetleme açısından pratikte bir anlam ifade > etmeyeceğinden çok önemli değil sanırım. Bazı network firmalarının youtube, facebook gibi içerik / servis sağlayıcısı firmalarla anlaşıp, hangi teknik yöntemle olduğunu bir türlü öğrenemediğim ve bu yüzden doğrulatamadığım yöntemler kullanarak, sistemlerine içerik filtreleme kabiliyetleri kazandırdıkları söylentisi dolanıyor. Facebook / youtube gibi firmaların rızaları alınarak, sahte değil ama CA lar tarafından doğrulanan türev/alt sertifikalar üretmeleri ve bunları kullanıyor olmaları mümkün mü? Ya da böyle bir teknikten haberdar olan var mı? > Sunucu tarafında güncel mevzuat için alınabilecek en pratik ve uygulanabilir > yöntem tüm trafiği HTTPS'e yönlendirmek gibi. > > Kullanıcı olarak, temel güvenlik düsturu olan 100% güvenlik olmaz ilkesini > sürekli akılda tutmak ve bu çerçevede HTTPS/SSL sessionlarımızın kesinlikle > izlenemez/engellenemez algısının akıllarımıza yer etmemesini sağlamak > yapılacak tek şey gibi görünüyor. Bu konuda bir dernek projesi hazırlıyoruz. Yardımcı olmak isteyen iletişime geçebilir. SSL kullanmak ve kullandırmak üzere. 1 ay önce başladık. İçerikler falan da hazır. Siteyi hazırlayıp sunuş yapacağız. Belki burada konuşanların katkıları ile içerikler biraz geliştirilebilir. Kolaylıklar.. -- Ali Rıza Keleş 1: https://www.paloaltonetworks.com/products/platforms/firewalls.html _______________________________________________ Linux-sohbet mailing list Linux-sohbet@liste.linux.org.tr https://liste.linux.org.tr/mailman/listinfo/linux-sohbet Liste kurallari: http://liste.linux.org.tr/kurallar.php