19 Ağustos 2017 Cumartesi

Bankalar Google Analytics kullanıyor mu?

E-Devlette Yandex Skandalı ünvanlı yazım sosyal medyada büyük bir yankı uyandırdı. Yazıdan iki gün sonra da turkiye.gov.tr sitemizdeki o meşum kod kaldırıldı. Destek veren ve hassasiyet gösteren herkese teşekkür ediyorum.

Yine de bazı söylediklerim bazılarına abartılı geldi. Yazıda daha ziyade "potansiyel" den bahsettim. Olabilecek şeyleri anlattım. Olan şeyi bilemem. Belki de Yandex Metrica turkiye.gov.tr sitemizdeki kullanıcı bilgilerini çalmıyordur. Ancak güvenlik olabilecek şeylere göre yapılır. Olan şeye göre değil. Kapını kilitlersin, çünkü (potansiyel olarak) hırsız gelebilir. Ama kapını kilitsiz bırakırsan da illa hırsız gelecek demek değildir.

Şimdi yapılan eleştirilerden bazılarına istatiksel bir cevap vermek istiyorum. Benim "Bankalar kullanmaz" sözüme bazıları itiraz etti. Ben de bankaları tek tek inceledim. İşte durum.

Banka Adı Sitede İnternet Bankacılık Panelinde
A&T Bank yok yok
Abank var (analytics) var (globalsign)
Adabank var (jquery) panelsiz
Akbank var (analytics) var (analytics)
Aktifbank var (linkedIn) yok
Albaraka var (analytics, facebook) yok
Anadolubank yok yok
Bankasya var (muhtelif) panelsiz
Burganbank var (analytics, facebook) yok
Citibank sayfası göçmüş
Denizbank var (analytics) yok
Deutsche Bank Türkiye yok yok
Dilerbank yok yok
Eximbank yok yok
Fibabanka var (analytics) var (globalsign)
Fonbank yok yok
Garanti var (facebook) yok
Habibbank yok yok
Halkbank var (analytics) yok
HSBC var (cloudfront) var (verisign)
ICBC Turkey yok yok
ING Bank var (analytics, facebook) var (analytics, demdex, omtrdc)
İşbankası var (analytics, facebook) yok
J.P. Morgan (Türkiye) var (analytics) yok
Kuveytturk var (analytics, facebook) var (analytics)
Nurolbank yok yok
Odeabank var (analytics, facebook) yok
Pasha Bank var (analytics) panel arızalı
PTT var (analytics, facebook) var (rackcdn)
Radobank var (jquery) panelsiz
QNB Finansbank var (analytics) yok
Şekerbank var (analytics, facebook) (var globalsign)
T-Bank yok yok
Takasbank var (analytics) yok (ancak panel hata veriyor)
TEB var (analytics, facebook) yok
Turkish Bank var (muhtelif) yok
Türkiye Finans var (analytics) yok
Türkiye Kalkınma Bankası var (analytics) panelsiz
Vakıfbank var (analytics, muhtelif) yok
Yapı Kredi var (analytics, muhtelif) yok
Ziraat Bankası yok yok
(Not: Bu raporun yazının yazıldığı tarih itibarıyla olduğu unutulmamalı.)

%2,44    1 tanesinin tüm sayfası göçmüş (citibank)
%9,76    4 tanesinin internet bankacılık paneli yok
%4,88    2 tanesinin internet bankacılık paneli var ama biri açılmıyor öteki hata veriyor.
%7,33    3 tanesinde internet bankacılık panelinde Google analytics vardır.
%53,66    22 tanesinde normal sitede google analytics vardır, ancak internet bankacılık paneline geçince 19 tanesi analytics'i ve diğer tüm harici scripleri kaldırıyor.
%26,83    11 tanesinde hiçbir şekilde harici dosya yoktur
%17,07    7 tanesinde muhtelif CDN vardır ama Analytics hiç yoktur
%9,76    4 tanesinde internet bankacılığı kısmında verisign ve globalsign vardır. Güvenliği sağlaması için kullanılıyor.
%41,46    17 tanesinde normal sitede analytics, sosyal medya kodları ve diğer cdn frameworkleri mevcut iken panel kısmında bunlar kaldırılmaktadır.
%0    Yandex Metrica kullanan hiç yok.

Şimdi bunların ne anlama geldiğini biraz daha açayım.

Bankaların yarısı normal sitelerinde Analytics kodu kullanırken İnternet Bankacılığı düğmesine tıkladığınızda bunları kaldırmaktadırlar. Sadece üç sitede (Akbank, Kuveytturk ve ING Bank) panelde de Analytics devam etmektedir. Burada Analytics'e güven duyulduğu kesin. Yandex'i ve ürünlerini hiçbir yerde kullanan banka bulunmamaktadır. Ancak bu gerekli mi? Buna biraz sonra geleceğim.

Şimdi sitesi bile çalışmayan, İnternet Bankacılığı paneli açılmayan bankalar bile olduğuna göre 41 banka içinden 3 bankanın panelde de Google Analytics kullanmasına şaşırmıyorum. Yine de bunu kullananların oranı bazı arkadaşların iddia ettiği gibi %90'lar filan değil, %7,3'dir.

Açıkçası bankanın bunu kullanma sebeplerini bilemem. Belki de yabancı ortakları bu sayede yapılan işlem ve hareketleri bir tür Google Analytics ile onaylatma durumdadırlar. Analytics'in en önemli gerekçesi şeffaflıktır. Lakin bunun yerine BDDK Analytics gibi bir sistem oluştursun ve bütün bankalar bunu dahil etsin. Böylece bankanın içinden bir raporlama hatasını BDDK izlesin.

4 tane bankanın panelinde verisign ve globalsign JS'leri koşmaktadır. %9,76. Efendim şimdi bu Verisign ve Globalsign güvenlik sertifikaları üreticileridir. Müşteri ile mağaza arasında SSL sertifikası kullanılırken Mağaza ile banka arasında da SET kullanılmaktadır. SSL i sağlayan mazağa, SET'i sağlayan ise bankadır.

Normal şartlarda sertifikayı alıp sunucuya yüklersiniz. Sertifikanın sağlayıcısının kodunu panele eklemek gerekmez. Ancak panele bunları dahil etmek müşteriye "bakın sizi bununla koruyoruz" demek anlamına gelmektedir. Bunun banka açısından bir güvenlik zaafiyeti teşkil edeceğini sanmıyorum. Yine de ben olsam kullanmazdım. Dikkat ederseniz bankaların çoğu da bunu kullanmamaktadır. Her fazlalık bir yüktür.

Bir banka Analytics kullanmalı mı?

Tabi ki hayır. Hatta bırakın paneli, bir bankanın sitesinde bile bunu kullanması gereksizdir. Açıkçası bir bankanın Analytics kullanması son derece mantıksız ve gereksiz.Analytics'in yada Metrica'nın bir özelliği yok. Onun sağladığı tüm bilgiler zaten sizin sunucunuzda var. Günümüzün yeni yetme Seocuları ve programcıları Analytics'in hangi kelimelerle aranarak gelindiğini söylemesini büyük bir matahmış gibi anlatabilir. Bu basitçe tarayıcının (browser) çevre değişkenlerinin REFERER parametresinde zaten mevcuttur. Ancak dikkat edin Analytics size hangi kelime ile hangi kişilerin geldiğini, geldikten sonra üye olup olmadığını, sisteme giriş yapıp yapmadığını o müşterinin giriş yaptıktan sonra hangi işlemlerle ilgilendiğini, hangi yorumları yaptığını hangi ürünleri sepete attığını, satın aldığını, favorilerine eklediğini ve daha yüzlerce şeyi Google Analytics size söyleyemez. Ama siz bunları kendi sunucunuzda yapacağınız programlar ile takip edip detaylandırabilirsiniz.

Ayrıca Google Analytics dahil edilmediği sayfaları izleyemez. Bu durumda vereceği rapor eksik ve sağlıksız olabilir.

Daha önce yazdığımı tekrar ediyorum. Google Analytics'in en önemli kullanım alanı şeffaflıktır. Eğer sitenizde reklam yayınlamak istiyorsanız reklamverenler sitenizin hitleri konusunda sizden Analytics gibi üçüncü tarafın sağlayacağı raporları isteyeceklerdir. Bir de kendi yazılımınızı yapmak istemiyorsanız, yapamıyorsanız buna benzer programlar kullanabilirsiniz.

E-Ticaret sitesinde kullanılabilir mi?

Bir okurum eticaret sitesinde kullanıldığında kredi kartı bilgilerinin çalınabileceğini söyledi. Teknik olarak doğrudur. Size tavsiyem tüm frameworkleri indirip kendi sitenizde yükleyerek kullanın. Sitenizde indexlenecek ve indexlenmeyecek bölümleri ayırın. Sitedeki tüm katalog ve ürün bilgilerinin olduğu sayfalar indexlenmeli. Ancak admin, login, sepet, checkout ve ödeme gibi bölümler indexlenmemeli ve yalıtılmalıdır. İndexlettiğiniz sayfalarda istediğinizi kullanılabilirsiniz. İndexletilmeyen sayfalarda bunu kullanmak gereksiz ve hatta tehlikelidir.

Paylaş:

15 Ağustos 2017 Salı

Bulut Sistemleri, Bireysel ve Kolektif Mahremiyet

E-Devlet platformundaki Yandex açığından bahsettiğimde bazı arkadaşlar bunu benim kişisel pimpirikliğime yorumladı. Halbuki öyle değildir.

Sosyal medya ve bulut sistemleri olan Facebook, Google, Hotmail, Yandex, Yahoo Dropbox gibi sistemleri ben de kullanıyorum. Bu kaçınılmaz. Hatta çoğunuzdan daha çok kullanıyorum. Mesela Cep telefonu adres defteri olarak SİM kartını yada telefon hafızasını değil, doğrudan Google Rehberi'ni kullanıyorum.

Bir ara şirketim varken kimlik resmi, imza sirküsü, vergi levhası, ticaret sicil kaydı vb dosyaları Google Driver üzerinde kaydediyordum. Bu konuda Google, Yandex yada Dropbox farketmez. Kişisel olarak beni takip edeceklerini sanmıyorum, ederlerse de etsinler. Yediğimiz önümüzde yemediğimiz arkamızda. :D

Fakat bazı şeyler gizlilik ister. Mesela vergi borcumu, sağlık sorunlarımı, bankadaki paramı, çocuğumun eğitim seviyesini, notlarını devamsızlıklarını, yada her neyse; sosyal olmayan yönümüzün bir başkası tarafından bilinmesini istemeyiz. Halbuki devlet sistemi bundan çok daha fazla gizlilik ister. Çünkü orada sadece bireysel değil, kollektif mahremiyet de vardır. Yani devlet tek tek bütün bireylerin mahremiyetini koruduğu gibi, ayrıca tümünün bileşiminden toplumun da kolektif mahremiyetini koruması gerekmektedir. Bireysel planda bile olsa devlet bazı şeyleri kendinden bile gizler. Mesela kime oy verdiğinizi...

Demek ki korunması gereken bir mahremiyet vardır.

Diğer taraftan e-Devlet verilerinin çalınmasından, çalan ülkenin yararına sağlanabilecek muazzam bir bilgi vardır. Bunları bizim devlet olarak yapamadığımız şekilde raporlara dönüştürebilirler. Tarih ve zaman aralıklarına göre, bölgelere, illere göre filtrelenebilir bir şekilde emlak ve araç vasıta hareketleri, vergi hareketleri, sağlık işlemleri hukuk ve davalar ve daha bir çok şeyi raporlayıp belirli yerlere, makamlara sunabilirler.


Paylaş:

14 Ağustos 2017 Pazartesi

E-Devlet Sisteminde Yandex Skandalı

Çocuğun üniversite kaydı için www.turkiye.gov.tr adresine girdiğimde kaynak kodunda yandex.ru sitesinden çalıştırılan bir javascript kodu olduğunu gördüm.

Yandex Metrica tıpkı Google Analytics gibi çalışan bir sistem. Siteye gelen ziyaretçilerin bilgilerini toplayıp, topladığı bilgilerin çok önemsiz bir kısmını ülke/bölge lokasyonu, ip, tarayıcı bilgisi vs. gün, ay, yıl olarak raporluyor. Ancak bu sistemlerin topladığı bilgi bundan çok daha fazladır. Bir sitenin kaynak koduna böyle bir kod konulduğunda siteye gelen ziyaretçinin doldurduğu bütün form bilgileri, ve bütün çerezleri okuyabilir. Böylece sisteme giriş için kullanılan kullanıcı adı ve şifre de dahil pek çok bilgiyi ele geçirebilir.

Türkiye’nin tüm e-devlet uygulamalarının bel kemiğini oluşturan www.turkiye.gov.tr adresinde hem de (.ru) uzantılı yandex kodunun ne işi vardır?

Zaten bütün web sunucularının kendi ayrıntılı istatiksel raporlamaları vardır. Örneğin önceleri yönettiğim Linux tabanlı kendi sunucularımda açık kaynak Apache web sunucusunu kullanıyordum ve onunla birlikte yine açık kaynak kodlu Webalizer ve Awestats gibi raporlama programlarını yüklüyordum. Tüm sunucularda benzer programlar mevcuttur. Google Analytics veya Metrica’nın verdiği ziyaret raporlarından daha ayrıntılı raporlar veriyorlar.

Şimdi Metrica’ya yada Analytics’e neden ihtiyaç duyuluyor? Yandex’teki e-devlet kullanıcı istatistiklerini Cumhurbaşkanına, Başbakana, ilgili bakanlıklara ve ilgili birimlere yine Yandex sitesi üzerinden mi gösteriyorsunuz? Demek ki, birileri devlet sırrı ve mahremiyeti ile blog sitesinin gizliliği ve mahremiyeti arasındaki farkı kavrayamamış!!!

Ben bu konuyu sosyal medyada paylaşmaya başlayınca bazı webmaster arkadaşlarım orada basit bir sayaç olduğunu ve abartılmaması gerektiğini savundular. Mübarek insan, e-devlet sistemi senin kendi köyünün ziyaretçi defteri değil ki sayaç koyasın!!! Kendi sitelerinin Admin (Yönetim) kısmına yandex google sayacı ve arama motorları indexlemesi koymayan bu arkadaşlar devlet yönetiminin programına sayaç konulmasını savunabiliyor. Bilgisizlik ve sorumsuzluk, başka bir şey değil.

Siteye dahil edilen bir javascript kodun ne kadar zararlı olabileceğini herhalde bazıları farkedememiş.

Bu kod eklendiği zaman sitedeki tüm javascript etkinliklerini yapabilir. Sitede girilen tüm formları, formların içindeki tüm inputları ve bu inputlarda taşınan tüm değerleri alıp yine kendi sunucusu ile iletişim kurarak saklayabilir. Yani sisteme girmek için kimlik numarası ve edevlet şifresini yazıp enterladığın o form varya, o formdaki user ve password bilgilerini aynen yandex.ru adresine aktarabilir. Aynı şekilde sitenin tarayıcıya kaydettiği ve tekrar oradan okuduğu yine kullanıcı, password ve diğer bilgileri içeren çerezleri (cookie) okuyabilir, değiştirebilir ve kendi sunucusuna (yandex.ru) aktarabilir. Dahası, javascriptler sadece cookie ve form okumakla sınırlı değildir. Harici bir site ile makine dilinde de etkileşim sağlayabilir. XML ve JSON kullanarak da başka bir sunucudan bilgi alabilir ve başka bir sunucuya bilgi aktarabilir.

Yani o kod orada edevletin tüm veritabanını çekemez. Ama edevlete giriş yapan kullanıcının site ile etkileşiminden doğan tum bilgileri çalabilir. Alma işinin tümünü tabi ki kod yapmaz ama o kod giriş bilgilerini alır ve o giriş bilgilerine sahip olan kişiler botlar ile işin geri kalanını halleder.

Ben web sitelerinin yanısıra eticaret sistemleri ve otomasyon tasarlamış birisiyim. Arama motorlarında E-Devletin giriş sayfaları dışında indexlenmesi zaten doğru değildir. Vatandaşın tapu kayıtlarının olduğu sayfaları mı indexleyeceksiniz? Neyi indexliyorsun? Ama şifre ile giriş yapıldıktan sonraki vatandaşın tapu kayıtlarının olduğu sayfada da Yandex'in Metrica kodu hala aktif!!!

Yada (örneğin) adalet bakanlığı bölümündeki "devam eden davalar" dosyalarına da erişebiliyor Yandex'in Metrica kodu...

Ruslar bu kod ile e-devlet sistemine giriş yapan bütün vatandaşların edevlet platformu içinde yer alan tüm bilgilerini çalabilirler. Sadece şifresini değil, tapu kayıtlarından devam eden davalarına kadar!!!

Dikkat edin e-devlet bir site değil, bir sistemdir. Orası Hürriyet gazetesi değil. Bir haber sitesi yada bir alışveriş sitesi de değil. Devletin vatandaş ile bağlantı kurduğu ve gizlilik taşıması gereken KOMPLİKE BİR SİSTEMDİR. Bir site değil, bir program ve uygulamadır. Kurumlar arasında bilgi akışının sağlandığı bir platformdur. Oraya basitçe bir yandex sayacı koyamazsın. F16daki yazılımı değiştirdik, artık amerikan yazılımını değil %100 Türk yazılımı kullanıyoruz diye böbürlenen bizler, kalkmış F16 yazılımından bile daha önemli olan e-devlet sistemine (.ru) uzantılı bir sayaç programı dahil ediyoruz. Bu mudur yani?

E-devlet vatandaşın, eğitim durumunu, sağlık durumunu, vergi durumunu, sgk sicillerini, tapu ve araç kayıtlarını ve daha onlarca uygulamayı içeren komplike bir sistemdir.


Eğer bu kod dışardan yetkisiz bir şekilde konulmuşsa (ki bu ihtimal daha güçlü görünüyor), e-devlet sistemi hacklenmiş demektir. Yok eğer içerideki mühendisler koymuşsa, son derece bilinçsiz bir şekilde bir güvenlik açığı oluşturmuşlardır. Bunun sorumluluları bulunmalı!!!

Analytics yada Metrica gibi sistemlerin kullanılmasının tercih edilmesinin amacı, reklamverenlere doğru bir bilgi sunmaktır. Eğer bir haber siteniz varsa reklam almak için sitenizin ziyaretçi sayısı konusunda reklamverenleri ikna etmeniz gerekiyordur. Sizin kendi sitenizdeki sunucunuzdaki webalizer sonuçlarına güvenmeyebilir. Çünkü oradaki raporlarla oynama ihtimaliniz olabilir. Bu durumda Analytics üçüncü bir taraf olarak reklamverenlere ziyaretçilerin sayısı konusunda daha güvenilir bilgiler sağlar. E-Devlet sitesi reklam alan bir site midir?

Giriş için SMS Aktivasyonu Uygulansın

Çok mühim bir konu da girişteki kolaylıktır. Mevcut haliyle şifreyi ele geçirmesi durumunda sadece yetkisiz kişiler değil, aynı zamanda yazılım robotları (bot deniyor) da sisteme giriş yapabilir. Robotlar sistemi sömürür ve tıkanmasına da sebep olurlar. Çünkü bir vatandaşın sitede gezinirken açabileceği sayfalardan çok daha fazlasını açarlar.

Vatandaşların e-devlet şifreleri belirli mahfiller tarafından ele geçirildikten sonra, (ki muhakkak geçirilmiştir) bir robot yazılımı ile o vatandaşlara ait e-devlet platformu üzerindeki tüm bilgiler çok ayrıntılı olarak çalınabilir. Sanki o vatandaş siteyi ziyaret ediyor işlem yapıyormuş gibi bir uygulama yapılabilir. (Ki muhakkak yapmışlardır) Bu yüzden e-devlet giriş bölümüne acilen SMS Aktivasyonu uygulanmalıdır. Tıpkı bankalarda olduğu gibi vatandaş şifreyle giriş yaptığı zaman sistemde kayıtlı cep telefonuna SMS ile geçici aktivasyon şifresi gelmelidir. Vatandaşın sistemde kayıtlı cep telefonu yoksa, ilk girişte cep telefonunu tanımlamaya ve aktivasyonunu yapmaya zorlanmalıdır. Hatta yine bankalarda olduğu gibi giriş sırasında rastgele ve daha özel sorular da sorulmalı. Doğum yeri, doğu tarihi, anne kızlık soyadının bazı harfleri vs.

Önemli Sitelerde Bir Başka Güvenlik Sorunu

www.edevlet.gov.tr adresine bakınca da daha hafif olsa da yine güvenlik sorunu oluşturabilecek bir durumla karşı karşıyayız. Bir site başka bir siteden kod çalıştırmasına izin vermemeli. Bunu hiç bir banka yapmaz.

Yan resimdeki www.edevlet gov.tr sitesinde bizim sitenin dışında aspnetcdn.com, devexpress.com, jquery.com, onlinehtmltools.com, ajax.googleapis.com domainlerinden harici olarak kod kullanımına izin verildiği görülmektedir.

Günümüzde web tasarımında ve programlamasında önemli bir hale gelen framework'ler doğrudan kendi sitelerindeki CDN üzerinden kullanılmamalı.

Bu sitelerde çoğu açık kaynak olan bu framework'lerin indirilerek (download) sitenin içine kurulması bu konuda olası bazı güvenlik sorunlarını azaltmış olur.


Yeni Devam Yazısı ...
http://www.marufcetin.com/2017/08/bankalar-google-analytics-kullanyor-mu.html
Paylaş:

Grafikerler Yazılımcılar

 
Grafikerler ve Yazılımcılar
Kapalı grup · 14 üye
Gruba Katıl
Grafikerlerin ve yazılımcıların paylaşım yapacakları seviyeli bir gruptur.
 

E-posta Aboneliği

İletişim

Ad

E-posta *

Mesaj *