Her ne kadar Web 2.0 uygulamaları geliştiricilerden oldukca fazla rağbet gorse de ve her gecen gun daha fazla kurumsal anlamda kullanılsa da, guvenlik uzmanları bu uygulamaların ciddi bir tehdidi de beraberinde getirdiğinin ve bu tehdidin işletmeler cok daha kapsamlı korunma yontemleri talep etmediği surece ortadan kalmayacağının altını ciziyorlar.

Bu konu 1 Kasım’da Reston Virginia’da duzenlenen New New İnternet konferansının ana temalarından birisiydi. Konferanstaki bir panelde guvenlik uzmanları dinleyenlere Web 2.0 uygulama geliştiricilerin uygulamalarını guvenli hale getirecek araclardan yoksun olduklarını anlattılar. Bu sorun IT yonetiminden cok daha ciddi boyutlarda bir talep gelmezse cozuleceğe de benzemiyor.

Intel Corp.’un guvenlik cozumleri sorumlusu Steve Orrin "Sağlayıcılarınız ve geliştiricileriniz uzerinde baskı kurun," diyor. "Uygulamalarınızda mutlaka guvenlik ozelliklerini arayın ve yoksa talep edin. Zira siz talep edene dek geliştiriciler ve sağlayıcılar bunu bir gereksinim olarak gormeyeceklerdir."
Panelistler bu sorunun kaynağı olarak yeni Web uygulamalarında ve Web hizmetlerinde kullanılan alt teknolojilerin coğunun daha başlangıcta uygun bir bicimde guvenliğe alınmamasını goruyorlar.

Orrin "Henuz Web 1.0’ın guvenliği sağlanmamışken hemen ileri atılarak Web 2.0 teknolojisini geliştirmeye başladık," diyor. "Şimdi karşılaştıklarımız ise daha oncelerde kullanılmış olan bazı saldırı yontemlerinin geliştirilmiş halleri." Orneğin Cross-site scripting, Orrin’e gore Web 2.0 ortamında kullanıldığında cok daha guclu bir hal alıyor. "Web 2.0 teknolojisi geliştiriciler ve kullanıcılar icin ne kadar guclu bir gerec ise saldırıda bulananlar icin de o denli hatta daha da guclu bir gerec."

Orrin bu durumun ozellikle de phishing saldırısı tarzındaki saldırılar icin gecerli olduğunu soyluyor. "Web 2.0 ile kullanıcıları kandırmak cok daha basit hale geldi. Oyle ki saldırının gercekleşmesi icin artık kullanıcının bir şeyler yapması dahi gerekemeyecek hale gelindi."

Araştırma ve muhendislik devi Science Applications International Corporation (SAIC) firmasının şef guvenlik teknolojisi calışanı Hart Rossman da bu goruşlere katılıyor. Rossman guvenlik uzmanlarının bazı Web 2.0 uygulamalarını olası guvenlik acıkları icin tset ederken yaşadıkları zorluklara dikkat cekiyor.
Rossman "AJAX seksapalitesi acısından en cok tercih edilen silah ancak şu anda kullanılan acık değerlendirme gerecleri AJAX sitelerini takip etmekte sorun yaşıyorlar ve dolayısıyla da acıkları tespit etmek gittikce zorlaşıyor," diyor. "Oturumları aynı kolaylıkta tekrar yaratmanız mumkun değil bu yuzden de eğer bir şey soz konusu olursa analiz edilecek verilerini oluşturmak cok zor hale geliyor."

Rossman’a gore insanlar her ne kadar insanlar walled garden (kapalı bahce) yapısına karşı baş kaldırsalar da, ironik olarak pek cok sosyal network’un uygulama programlama ara-yuzlerinin ice donuk doğası, bazı saldırıların bu ara-yuzlerden diğer platformlara sıcramasına da engel oluyor. "Coğu sosyal network sitesi walled garden yapısındadır, ancak yine de bu yapı kendi icinde kalacak uygulamaları geliştirmeye olanak tanımaktadır."

Rossman yukarıda bahsi gecen bu gerceğin bazı atakların daha yaygın hale gelmesini onlediğini soylemekle birlikte, widget adı verilen kucuk aracların ve MySpace gibi sitelerde yer alan diğer dış bileşenlerin kullanımında yaşanan artış daha geniş caplı networkler arası saldırılar duzenlemek isteyen kişilerde “Web 2.0 ustune Web 2.0” anlayışını one cıkartıyor.

Orrin "Sosyal networkler Flash kurtcuklar icin adeta bir ureme alanı oluşturdular," diyor. Orrin gectiğimiz Aralık ayında kullanıcı profillerine saldırarak onları phishing sitelerine yonlendirmek uzere tekrar duzenleyen MySpace QuickTime kurtcuk saldırısına dikkat cekiyor. "Sadece bir gecede bir videoyu yukleyerek bu videoyu goruntuleyen 1 milyon kişi virus saldırısına maruz kalmıştı."

Belki de daha ironik olan ise bu konferanstan sadece bir gun once Google ve bir dizi sosyal network sitesi kendi sitelerinde ortak API’lar geliştirmek uzere bir ortaklık anlaşması imzaladıklarını duyurmaları oldu.

Eğer Rossman'ın "walled garden" teorisi gerceği yansıtıyorsa, aralarında endustride yer alan en buyuk firma olan MySpace’in de yer aldığı henuz yeni ortaklık anlaşması yapmış olan soz konusu sosyal network siteleri bu sitelerin şu anda sahip olduğu izole korunma ortamına kendi kendilerine bir son verebilir ve bir sitede karşılaşılan bir sorunun diğer bir siteye taşınma riski de artar.
1 Kasım’da duzenlenen panel sosyal networklerin uzerine kurulduğu temelin doğası gereği sahip oldukları zarar olan yabancılarda guven yaratma konusuna da dikkat cekti.

Ucuncu şahıs bir ticari sigorta şirketi olan BuySAFE firmasının yonetim kurulu başkanı Jeffery Grass, eBay uzerinden gercekleştirilen ve yuzde 90 oranında pozitif ratinge sahip tuccarlardan alım yapan kullanıcılar arasında gercekleştirilen bir anketin sonuclarını ortaya koydu. Soz konusu ankete katılan kullanıcıların yarısından fazlası, “gonderim ucretinin fazla alınması, kullanma talimatlarının doğru olmaması vb. nedenlerle” kendilerini bir kandırmaca kurbanı olarak goruyorlar.

Grass "Web 2.0 cok fazla bağlanırlık yaratmakta," diyor. "Web 2.0 diğer bir şahıs ile cok daha guvenilir bir işlem yaratılmasına yardımcı oluyor. Ancak aynı zamanda şoyle bir risk de yaratıyor: Guvenilir işlem yaptığınız şahısın guvenilir birisi olup olmayacağını nereden bileceksiniz?"

Orrin ve Rossman guven meselesinin mash-up ve add-on bileşenler alanına dek uzandığını belirtiyorlar. Rossman "İnsanlar mash-up geliştiricilerine guvenmeme eğilimdedirler," diyor. "Bunun yerine guvenlerini API sağlayıcısına duyarlar. Ancak mash-up’ın kendisi hakkında durup da duşunen cok az kişi var.