IBM’in, 2005 yılında, müşterilerine daha hızlı ve güvenli çözümler sunabilmek amacıyla Data Power’ı satın aldığını anlatan Mutlu, çözümün, sağladığı web olanakları ve servis odaklı mimariyle(SOA) diğer yazılım-donanımlara göre 20-60 kat arasında değişen hızlarda gönderim olanağı getirdiğini ifade etti.
‘Web İletişiminde Güvenlik Açıkları ve İhtiyaçlar’ sunumunu gerçekleştiren PRO-G Bilişim Güvenliği Genel Koordinatörü Burak Dayıoğlu da, WebSphere için; kimlik doğrulaması, hizmet sanallaştırma ve yönlendirme, kayıt tutma, zaman damgası, mesaj imzalama ve şifreleme konularının öne çıktığını söyledi.
Alınan mesajın doğruluğundan emin olmak adına bir doğrulama işlemi yapılması gerektiğini belirten Dayıoğlu, SOAP mesaj uyumluluk kontrolü, spesifikasyona uygunluk ile içerik doğrulaması gibi konuların öne çıktığını ifade etti. Tam ve doğru bir biçimde içerik doğrulaması yapmayan web servislerine karşı ihtiyatlı olmanın öne çıktığını vurgulayan Dayıoğlu, bu nedenle, servis sağlayıcıdan gelen akışın sürekli kontrol altında tutulması zorunluluğu bulunduğunu söyledi.
Servis sayısı arttıkça yönetme güçlüğüyle karşılaşıldığını belirten Dayıoğlu, “yönetemezseniz güvenliği sağlayamazsınız” şeklinde konuştu. Bir mesajlaşma protokolünden bahsederken, işlerin çoğunu bir gateway’e devredebilme olasılığının bulunduğunu anlatan Dayıoğlu, böylelikle kimlik doğrulaması ve yetkilendirme gibi zorunlulukların ortadan kaldırılabildiğini ifade etti.
Toplantının sonunda, IBM’in Datapower ürünleri bir demo ile tanıtıldı.
PRO-G Bilişim Güvenliği Genel Koordinatörü Burak Dayıoğlu, uygulama güvenliğinin sağlanması ile ilgili olarak turk-internet.com’a şunları söyledi;
Uygulama güvenliği açısından bakıldığında, uygulama, uzakta bir web tarayıcısıyla ya da bir web istemcisiyle çalışıyorsa, dikkat edilmesi gereken önemli bir nokta var ki, kullanıcının size eriştiği kanalı, size gönderdiği bilgileri kontrol etmekle ilgili. Bu, istisnasız her şeyi doğru ve beklentine uygun kontrol etmek ile ilgili. Örnek vermek gerekirse; “bunlar uygunsuz girdilerdir. Bunları kabul etmiyorum, bu olmaz” diye değil, her seferinde, girdi denetimi dediğimiz teknikle kontrol etmekle olabilir. Eğer, her gireni kontrol edebiliyorsanız, yazılım güvenliği ile ilgili hatanın programlanmış olmasından kaynaklanan; sitelerin kontrol altına alınması, web hackleri, internet bankacılığında yazılıma sızılması gibi durumlar tek bir noktaya konsantre olunarak çözümlenebilir. Bu bahsettiğimiz, takibi gerçekten zor bir durum. Yani, sonuç itibariyle kullanıcıların server’a her gelişlerinde bir kontrolün yapılması gerekiyor.
Kaynak : 