Google

Google, web tarayıcısı Chrome için geçtiğimiz günlerde bir güvenlik güncelleştirmesi yayınladı. Buna göre 9'u kritik olmak üzere 11 güvenlik açığı kapatılmış oldu. Bu güvenlik güncelleştirmesinde ilginç noktalardan biri ise güvenlik açıklarından biri olan DOM yöntemini Chrome'da keşfeden Sergey Glazunov $2,000 ile ödüllendirildi.

Chrome benzer şekilde güvenlik açıkları tespitlerini $500 ile ödüllendirmekteydi fakat daha sonra bunu $1337 çıkarmıştı. Bu son verilen ödül ile de yeni güvenlik açıkları keşifleri için 2000 dolar para ödülü verebileceğini gösterdi. Fakat bu güvenlik açıklarının komplike ya da kritik güvenlik tehditleri olması gerekmekte.

Google aramalarına alternatif bir sayfayla SSL desteği getirdiğini duyurdu. Bu sayede https://www.google.com adresinden yapılan arama verileri sadece Google ve kullanıcı arasında gidip gelmekte ve olası veri hırsızlığı saldırıları engellenmekte.

Google mühendislerinden Evan Roseman'in bildirdiğine göre, henüz beta olarak yayın yapan SSL servisi henüz tam anlamıyla arama motoruna adapte edilmiş değil. Bu nedenle deneme süresi biraz daha uzayacaktır. Bu süre zarfında SSL üzerinden yapılan aramalar normalden daha yavaş olabilir.

Geçtiğimiz günlerde Google Mail'de de SSL servisi aktif edilmişti. Diğer Google servisleri için ise çalışmaların yapıldığı söyleniyor.

Son yıllarda artan iFrame ve benzeri saldırılarla web sitelerine yerleşen zararlı kodlar artık Google sayesinde daha çabuk bir şekilde tespit edilebilecek. Webmasterların baş düşmanlarından olan zararlı kodlar, çeşitli yollarla sitelerin değişik bölgelerine kendilerini bulaştırabilmekte. Bu yüzden bu siteye giren bir kullanıcı da bu zararlı kodlar yüzünden risk altına girmekte. Google ise sayfaları indekslerken eğer zararlı bir kodla karşılaşırsa arama sonuç sayfasında bunu kullanıcıya bildirip tehlikeyi kısmende olsa engellemekteydi.

Yeni uygulama ile birlikte artık Google, webmasterlara da bu konuda yardımda bulunabilecek. Google Webmaster Araçlarında bulunan özellik sayesinde sitede bulunan zararlı kodların tam olarak nerede olduğu görülebiliyor. Bu sayede webmaster kodu sitesinden temizleyebilir.

Bir yıllık gelişim sürecinden sonra Google Chrome'un yeni kararlı sürümü 3.0 nihayetinde duyuruldu. Bu sürümle birlikte 2 ve önceki versiyonlarda olan hataların düzeltilmesinin yanı sıra bir çok yeni özellikte eklenmiş.

Chrome blog'una göre Chrome 3.0 ile birlikte ilk versiyona göre JavaScript performansı yüzde 150, son kararlı sürüme göre ise yüzde 25 artmış durumda. Özellikle V8 JavaScript motorundaki güncellemeler buna önayak oldu. Bunun yanı sıra görsel olarakta 3.0 özelleştirilebilme ve yeni tab sistemiyle gayet şık durmakta. HTML 5 desteği ise özellikle web tasarımcılarını rahatlatan bir özellik olarak karşımıza çıkıyor.

İçlerinde uzman, araştırmacı ve akademisyenlerin bulunduğu bir grup güvenlikçi, Google CEO'su Eric Schmidt'e 6 sayfalık bir mektup yollayarak Google'ın web uygulamaları güvenliğinde yapması gerekenleri bildirdi. Google Online Security ise bu mektuba yanıt olarak bazı geliştirmekte olduğu projeleri sundu.

Güvenlikçilere göre Google'ın iletişim servislerinde (Google Apps ve Google Docs) bir şifreleme kullanmaması bir çok kullanıcıyı saldırılara açık hale getiriyor. Örneğin şifrelenmemiş açık bir kablosuz ağda kullanıcıların döküman ve e-postaları rahatlıkla okunabilmekte. Yine benzer şekilde Gmail'de bile bu seçenek varsayılan olarak değil ancak el ile yapılabilmekte. Oysa ki bu tip bir önlemin varsayılan olarak gelmesi güvenlik açısından çok önemli.

Google Labs'ın üzerinde çalıştığı ve geleceğin internetinin önemli parçalarından biri olması beklenen yeni Google servisi Google Squared bugün görücüye çıktı. Bu yeni servisle birlikte anahtar kelime aramaları değişik kriter ve başka kelimelerle birlikte tablo haline getirilip veritabanı mantığıyla listeneliyor. Bu şekilde bilgiye ulaşmak ve bilgiyi almak çok daha kolay bir hale gelebilmekte.

Örneğin, "güvenlik" kelimesi ile birlikte güvenlik açıkları, haberler, firmalar... şeklinde hücreler oluşturabiliyorsunuz. Bu şekilde veriler yarattığımız bu tabloda tek bir sayfa üzerinde görünebiliyor. Bu da internetteki verilerin anlamlandırılıp düzenlenmesini sağlıyor.

Geçtiğimiz günlerde Google Mail üzerinde kritik olarak nitelendirilen bir güvenlik açığı keşfedildi. Buna göre saldırganlar, kurbanların e-postalarını çeşitli filtreler yardımıyla kendi istedikleri adrese yönlendirebiliyor. Güvenlik açığının etkili olabilmesi için kurbanın Gmail hesabına giriş yapmış olması ve aynı anda özel olarak hazırlanmış web sayfasına girmesi gerekiyor. CSRF (cross-site request forgery) saldırısı olarak bilinen yöntemle kurbanın e-postaları ele geçirilebiliniyor. Güvenlik açığı ile ilgili detaylı bilgiye şu adresten ulaşabilirsiniz.

Diğer yandan, güvenlik açığının açıklanmasından sonra Google bu güvenlik açığını reddetti. Google'dan yapılan açıklamada bahsi geçen güvenlik açığının bir "phising" (olta) saldırısı olduğu belirtildi. Açıklamaya göre saldırganlar sahte web sayfalarına kullanıcıların girmesini sağlayarak hesaplarını ele geçirebiliyor. Bu sahte domainlerin (google-hosts.com gibi) Google ile bir ilgisinin olmadığından, bunun Gmail'de bir güvenlik açığı olarak kabul edilemeyeceği belirtildi.