Tüketici, ucuza erişmek isterken lüksü de elde etmek istiyor. İnternetten daha ucuz uçak bileti bulmaya çalışıyor. Çogu zaman internetten alışveriş
yapmak zaman kazandırıyor, daha çok çeşide birkaç tıklama ile ulaşmamızı
sağlıyor.Tüm bu olumlu yanlarına nazaran her zaman kafaları karıştıran yanları
da olmuştur Internetten alışverişin. Dünyadaki gelişmelere paralel olarak artık
yurt dışındaki kapsamlı alışveriş sitelerinin yanında onlarla yarışabilecek
yerli versiyonlarına da ulaşabiliyoruz. Fakat ilk günden beri insanların
kafasını kurcalayan güvenlik konusunda her geçen gün yaşanan olumlu, olumsuz
tecrübeler kimilerini internetten alışveriş yapmaya yöneltiyor kimilerini ise
güvenlik gibi birtakım kararsız konulardan dolayı tereddüde düşürüyor. Birçok E-ticaret sitesi hackerlar
tarafından hack ediliyor.Müşterilerin tek güvencesi ise tabiiki “Güvenlik
Sertifika”ları oluyor.
E-ticaret uygulamalarında kullanılan temel standartlar SSL ve SET şifreleme teknikleridir.
Bu gelişmiş algoritmik sistemler, karmaşık yapıları ve en gelişmiş bilgisayarların bile çözemediği bir kriptolama (şifreleme) teknolojisine sahiptir.
Bugün bütün bankaların Internet şubeleri, web siteleri aracılığı ile sanal alışveriş hizmeti veren firmalar,
ticari işlemlerin yapıldığı portallar, banka ve kredi kartı bilgilerinin güvenliği ve gizliliğini sağlamak
için yaygın olarak SSL ve SET şifreleme teknolojilerini kullanmaktadırlar. SSL ve SET sistemleriyle,
Internet´ten alışveriş yapmayı isteyen sıradan bir kullanıcının ya da tüm alım satımlarını, ödemelerini web ortamına aktarmış bir işyerinin, yaptıkları ticari işlem sırasında, bağlı oldukları bankayla veri akışı olduğunda, tüm bu veri içeriğini 128 bit şifreleme tekniğiyle şifreler. Bilgilerin şifrelenerek aktarılması esasına dayanan bu dijital güvenlik sistemleri sayesinde, bilgilerin kötü niyetli 3.şahıs ya da kurumların eline geçmesi durumunda onlar tarafından çözülebilmesi önlenmiş olur.
SSL (Secure Socket Layer)
SSL network (ağ) üzerindeki veri transferi sırasında güvenlik ve gizliliğin sağlanması amacıyla Netscape tarafından geliştirilmiş bir güvenlik protokolüdür. 1996 yılında 3.0 versiyonunun çıkarılmasıyla hemen bütün Internet tarayıcılarının desteklediği bir standart haline gelmiş ve kısa zamanda çok geniş uygulama alanları bulmuştur.
SSL şifrelemesi ile, gönderilen bilginin kesinlikle ve sadece doğru adreste deşifre edilebilmesini sağlanır. Bilgi ya da veri gönderilmeden önce otomatik olarak şifrelenir ve sadece doğru alıcı tarafından deşifre edilebilir. Her iki tarafta da doğrulama yapılarak işlemin ve bilginin gizliliği ve bütünlüğü korunur.
Peki SSL kullanan bukadar güvenli olan siteleri nasıl anlayabiliriz ?
Ödeme sayfasının güvenli (https’li) site olduğu mutlaka kontrol edin.
Ödeme yaparken kişisel bilgilerinizi (Kullanıcı adı, hesap numarası veya şifre gibi) veya kredi kartı bilgilerini girerken sanal klavye kullanın. ( kimi casus yazılımlarda işe yaramıyor bunun için ev kullanıcılarına sanal disk üzerinden linux kullanmalarını tavsiye ederiz )
Internetten yaptığınız ödemeleri mutlaka kredi kartı ekstrenizden kontrol edin.
Alışverişlerinizde sanal kredi kartı kullanmaya çalışın ve bu kartın limitini kontrol edin.
İnternet bankacılığı için kullandığınız parolanızı banka çalışanları dahil kimseyle paylaşmayın.
Sanal Kart Nedir?
Sanal
kart, internet ortamında alışverişte riski sıfıra indirmek amacıyla, kredi
kartı yerine kullanılmak için tasarlanmış bir karttır. Sanal kartlar, bankanın
kredi kartı sisteminde fiziksel bir kartmışcasına sanal olarak tanımlanırlar,
fiziksel olarak mevcut değildirler. Ancak bazı bankalar kullanıcıya kolaylık
olsun diye kartın kartondan yapılmış bir benzerini gönderebilirler. Kartın
anlık limitini, kart sahibi belirler.
SSL
trafiği kırılabilirmi? Bilgiler elegeçirilebilirmi?
Peki
SSL şifreleme kötü niyetli birileri tarafından kırılarak bu bilgilere
ulaşılamaz mı? Diyelim ki birisi iki taraf arasındaki iletişime bir şekilde
dahil oldu ve bilgileri ele geçirdi, bu şifreyi nasıl çözecek?
Şifrenin zorluğu, şifrelemede kullanılan anahtar uzunluğuna göre değişmektedir. Şu anda genel olarak kullanılan değerler 40bit ve 128bit'tir. 40bit'e pek rastlamayacaksınız çünkü uzun bir zamandır 128bit neredeyse standart haline geldi. Her iki değer de yüksek bir şifreleme içerir ki bilgi bir başkasının eline geçse bile bu bilginin çözülmesi yıllarca sürebilecek bir zaman alır ve oldukça da yüksek bir maliyet gerektirir. Başta da belirttiğimiz gibi, gerçek hayatta çok kolay ulaşılabilir olan bu bilgiyi internette elde etmeye çalışmak anlamsızdır. Sadece internette alışverişin güvenli olmadığını ispat etmek çabasında olan birisi ya da kendini ispat etmek adına buna kafa yoran bir kişi bu şifreyi çözmek için uğraşacaktır. Gerçekten kötü niyetli olan bir kişi ise zaten işin kolayına kaçacak ve daha kolay yollardan amaçlarına ulaşmaya çalışacaktır. İnternetteki alışverişlerinizi bir yolunu bularak takip edip, çözülmesi çok zor bir şekilde şifrelenmiş kart bilgilerinizi ele geçirmekle uğraşacaklarını, sonra da yıllarca bu şifreyi çözmeye çalışacaklarını beklemeyin.
Şifrenin zorluğu, şifrelemede kullanılan anahtar uzunluğuna göre değişmektedir. Şu anda genel olarak kullanılan değerler 40bit ve 128bit'tir. 40bit'e pek rastlamayacaksınız çünkü uzun bir zamandır 128bit neredeyse standart haline geldi. Her iki değer de yüksek bir şifreleme içerir ki bilgi bir başkasının eline geçse bile bu bilginin çözülmesi yıllarca sürebilecek bir zaman alır ve oldukça da yüksek bir maliyet gerektirir. Başta da belirttiğimiz gibi, gerçek hayatta çok kolay ulaşılabilir olan bu bilgiyi internette elde etmeye çalışmak anlamsızdır. Sadece internette alışverişin güvenli olmadığını ispat etmek çabasında olan birisi ya da kendini ispat etmek adına buna kafa yoran bir kişi bu şifreyi çözmek için uğraşacaktır. Gerçekten kötü niyetli olan bir kişi ise zaten işin kolayına kaçacak ve daha kolay yollardan amaçlarına ulaşmaya çalışacaktır. İnternetteki alışverişlerinizi bir yolunu bularak takip edip, çözülmesi çok zor bir şekilde şifrelenmiş kart bilgilerinizi ele geçirmekle uğraşacaklarını, sonra da yıllarca bu şifreyi çözmeye çalışacaklarını beklemeyin.
- Sanıldığının
aksine internette kredi kartı bilgilerinin çalınması online alışverişte
yazdığınız bilgilere ulaşılıp, şifrenin çözülmesi ve bu şekilde bilgilerin
alınması şeklinde olmaz. İnternette kredi kartı bilgilerini ele geçirmek
isteyenler daha kolay yolu; insanların saflıklarından; internet ve
güvenlik hakkındaki bilgizliklerinden faydalanma yöntemini seçmişlerdir.
Eğer kredi kartı ile alışveriş
yapmayı düşünüyorsanız ilk
dikkat etmeniz gereken şey, sitenin bir SSL sertifikası olup olmadığını ve var
ise geçerli olup olmadığını kontrol etmek olmalıdır. Bu sertifikaya sahip olan
her site bunu genelde anasayfasında açıkça belirtmiştir.
Bu güvenlik sertifikaları farklı güvenlik firmaları tarafından sağlanabilir. Güvenlik sertifikası sağlayan başlıca kurumlar şunlardır:
Bu güvenlik sertifikaları farklı güvenlik firmaları tarafından sağlanabilir. Güvenlik sertifikası sağlayan başlıca kurumlar şunlardır:
- GlobalSign http://www.globalsign.com
- COMODO http://www.comodogroup.com
- VeriSign http://www.verisign.com
- Thawte http://www.thawte.com
- TRUSTe http://www.truste.org
* Sertifika sağlayan kurumlar burada belirtilenle sınırlı değildir. Girdiğiniz alışveriş sitelerinde burada belirtilenlerden farklı güvenlik sertifikalarıyla karşılaşmanız da mümkündür. Sertifika sağlayıcı güvenlik firmalarının WebTrust'a bağlı olup olmadıklarını kontrol edebilirsiniz.
WebTrust'ın sitesinde, güvenlik sertifikası verme yetkisi olan bazı kurumların listesini inceleyebilirsiniz. Tam liste verilmemiş ancak sertifika sağlayıcıların sitesinde deWebTrust'a bağlı olduklarını gösterir tıklanabilir logolar bulunmaktadır. Bu logoları tıklayarak firmanın yetkili olup olmadığını görebilirsiniz. Bu logo yanda gördüğünüz gibiWebTrust simgesidir ve genelde daha küçük boyutlarda olanı kullanılır.
* Türkiye içerisinde ya da yurtdışında yukarıdaki listede göremeyeceğiniz ancak onlara bağlı temsilci olarak hizmet veren firmalar olabilir. Bu tür sitelerde WebTrust'ın logosu yer almayabilir. Örneğin yukarıdaki verdiğimiz örneklerden TRUSTe, Thawte'ye bağlı olarak hizmet vermektedir. Kullanıcı açısından önemli olan sadece SSL güvenliğinin sağlanması ancak ek bilgi olarak bunların kontrolünü de ilerleyen bölümlerde anlatacağız. Bu durumun güvenlik açısından kesinlikle bir dezavantajı sözkonusu değildir. Bir istisna durum olarak da; alışveriş yapacağınız bazı online alışveriş siteleri kredi kartlı ödeme sayfalarında, yayınlama hizmetlerini yapan sunucu firmanın sertifikasını ortak olarak kullanabilir ya da SSL sertifikası almaya gerek olmaksızın ödemelerini doğrudan bankanın güvenlik sertifikasında sahip ortak ödeme sayfasından alıyor olabilir. Bu durumda sayfalarında SSL sertifikası logolarını görmemeniz mümkündür.Sayfada bu logoları görmek sitenin güvenli olduğunun; logo olmaması ise tek başına sayfanın güvenli olmadığının ispatı değildir. Ancak tıklanabilir sertifika logosun olması, firmanın profesyonel çalıştığına dair bir ipucu olarak kabul edilebilir. Bunların sizin tarafınızdan kontrol edilmesi gereklidir.
Alışveriş sitelerinde 128bit SSL logolarını
görüyorsunuz, peki gerçek olup olmadığını nasıl kontrol edeceksiniz? Sadece bu
logoyu görmeniz yeterli değil. Logolar kolayca kopyalanıp herhangi bir sayfaya
eklenebilir, bu nedenle tek başlarına bir anlam ifade etmezler. Bu logolara
tıklanabilir olmalıdır ve tıkladığınızda da güvenlik ile bilgiler veren sitenin
bir başka sayfası ya da sertifika firmasının ana sayfası açılmamalıdır! Açılmamalıdır derken, bir kural olarak değil elbette,
olması gereken bu değildir. Açılması gereken sayfa; sertifika sağlayan kurumun;
logoyu tıkladığınız sitenin adresini onaylayan bir kontrol sayfası olmalıdır.
Yine de; logo tıklanabilir olmasa da ya da tıkladığınızda biraz önce
belirttiğimiz diğer sayfalar açılsa da çok önemli değil, hemen sitenin güvensiz
olduğunu düşünmeyin. Ancak, amatör bir alışveriş sitesiyle karşı karşıya
olduğunuzu düşünmeniz yanlış olmaz.
Önemli olan, sitede kredi kartı bilgilerinizi yazacağınız sayfada SSL güvenliğinin sağlanmış olmasıdır. Kredi kartı bilgilerinizin girilmesinin istenildiği sayfanın şu iki şartı sağlamış olduğundan emin olun:
Önemli olan, sitede kredi kartı bilgilerinizi yazacağınız sayfada SSL güvenliğinin sağlanmış olmasıdır. Kredi kartı bilgilerinizin girilmesinin istenildiği sayfanın şu iki şartı sağlamış olduğundan emin olun:
Tarayıcınızın altında gördüğünüz durum çubuğunda, diğer sayfalarda
iken görünmeyen sarı bir kilit simgesi belirmesi gerekir. Bu simgeyi çift
tıkladığınızda ise sağ taraftaki imajda -büyük boy için
imaja tıklayın- gördüğünüze benzer bir pencere açılır. Bu açılan pencerede,
o anda bulunduğunuz web sayfasının adresi Issued
to : yazıyor olmalıdır.
Altındaki satırda sertifikayı veren kurum Issued
by : belirtilir. En alt
bölümde ise sertifikanın hangi tarihler arasında geçerli olduğu
belirtilmektedir.Sertifikada belirtilen
adres bulunduğunuz sitenin adresi ise ve sertifika süresi dolmamış ise bu
sertifika geçerli bir sertifikadır, aşağıdaki ikinci şart da sağlanıyor
ise güvenle bilgilerinizi girebilirsiniz. - Mozilla Firefox tarayıcılarda
kilit simgesi ve sertifika farklı görünür. Kilit simgesinin yanında hangi
sitede olduğunuz belirtilmektedir. Bu bölüme çift klik yaptığınızda sayfa
hakkında bilgi veren tarayıcı kutusunun Security
/ Güvenlik bölümü
açılır ve sitenin güvenli iletişimi sağladığını onaylar. Buradaki View / Göster butonuna tıkladığınızda
sertifikayı görmeniz ve detayları incelemeniz mümkündür.
- Kart bilgilerinizi yazacağınız sayfasının
adres çubuğuna bakın ve adresin "http://" değil, "https://"
ile başlıyor olduğundan emin olun. (* Bunu alışveriş yapacağınız sitenin tüm sayfalarında
görmeniz gerekmiyor; diğer sayfalarda adresin https:// ile başlaması ya da
http:// olması ya da sipariş onay sayfalarında https'nin http'ye dönmesi
mühim değildir.)
- Ek olarak şunlara da dikkat
etmenizi tavsiye ediyoruz:
- Kredi kartı bilgilerinizi
yazacağınız sayfa pop-up şeklinde yeni bir sayfada açıldıysa dikkatli
olmalısınız. JavaScript kullanılarak açılan sayfalarda hem adres çubuğu
hem de durum çubuğu taklit edilebilir. Yine JavaScript ile, kilit
simgesine tıkladığınızda sahte bir sertifika size gösterilebilir. Eğer
site, güvenip güvenemeyeceğinizi bilmediğiniz bir site ise kart
bilgilerinizi yazmamanız tavsiye edilir. Eğer deneyimli bir internet
kullanıcısı iseniz bunu kolayca farkedebilirsiniz: Sertifika penceresi
işletim sistemin bir parçası gibi hemen açılmaz, bir web sayfası gibi imaj içerdiğinden dolayı- daha yavaş yüklenir. Konuyla ilgili olarak ContentVerification web sitesini
inceleyebilirsiniz.
- SSL güvenliği kart
bilgilerinizin üçüncü şahısların eline geçmesini engelleyecektir. Peki
acaba alışveriş yaptığınız sayfa bu bilgileri doğruca bankaya mı iletiyor
yoksa şifrelenmeden önce kaydediyor mu? Firmaya güvenseniz bile elbette
bu bilgilerin kaydedilmemesi daha doğrudur. Alışveriş yapacağınız
sitenin kredi kartı bilgilerini kaydedip kaydetmediği; sitenin yardım
bölümünde, alışveriş sepetinde ya da kart bilgilerinin istendiği sayfada
belirtiliyor olabilir. Eğer sitede kart bilgilerinin kaydedilmediğine
dair bir bilgi yoksa, kaydettiğini varsayabilir ya da mail ile bilgi
isteyebilirsiniz. Özellikle, her ay ya da belirli zaman dilimlerinde
çekim yapılması muhtemel olan hizmet satışlarında kart bilgileri
kaydedilmektedir ancak bir ürün siparişi verdiğiniz sitenin bu bilgileri
kaydetmesi tamamen gereksizdir, sorumluluk gerektirir ve durumdan
şühelenmeniz gerekir.
SSL güvenliği sunmayan bir sayfada kesinlikle kredi
kartı bilgilerinizi yazmayın. Online ticareti ciddi olarak yapan bir firma zaten
sizden SSL güvenliği sunmadan bu bilgileri istemeyecektir. Ancak, güvenlikten
habersiz ve internette tecrübesiz bazı firmalar bu bilgileri mail aracılığıyla
alıp, gerçek pos makinasına bilgileri girmek suretiyle çekim yapabilmektedir.
İyi niyetli çalışıyor olsalar bile, güvenlik açısından bu durum son derece
sakıncalıdır.
Hiç yorum yok:
Yorum Gönder