Suat Üstkan

Web dünyasında geldiğimiz noktalara kısaca bir bakacak olursak, Web 1.0 diye adlandırılan dönemde, kullanım sadece belli kesimin elindeydi. Veriler sadece Web hükmedebilecek kişiler tarafından giriliyordu.

Son kullanıcı sadece okuyor…

Web 2.0 diye adlandırdığımız dönemde ise yeni bir çığır başlatıldı. Bloglar, Forumlar, FotoBloglar, Video, Eğitim gib aklınıza gelebilecek her şeyin kullanıcılar tarafından yazılıp çizildiği, kontrolün son kullanıcıda olduğu bir platform olarak düşünebiliriz. Eskiden Kişisel Web Siteleri yapmak bir meziyet olarak görülürken Web 2.0 ile blog’ lar günümüz internet kullanıcılarının bir parçası haline geldi.

Son kullanıcı artık web in bir parçası…

Peki bu kadar kısa bir süre içinde bu kadar değişim gösteren internet nereye doğru gidiyor diye bakacak olursak Web 3.0 diyebiliriz. Kullanıcıların bu kadar aktif şekilde veri biriktirdiği bir ortamda bir süre sonra bu bilgilerin içinde kaybolacağımızı düşünüyorum. İşte bu noktada Web 3.0’a geçiş tamamlanacak ve artık akıllı internetin, bir bakıma düşünebilen makinelerin olduğu yapay zekaların, uzman sistemlerin web ortamında büyük bir yer tuttuğu dönemi anlatmaktadır. Semantik Web olarak da adlandırılır. Semantik Web’ ten kasıt bunca düzensiz verinin içinde sizin aramış olduğunuz doğru veriyi bulmaktır.

Son kullanıcı artık robotlar ve yapay zeka ile çalışıyor…

Geleceğe mektup gibi olan bu yazımızda, Web 3.0 ‘ ın nelerden ibaret olabileceğini ihtimaller ile anlattık. Tam olarak Web 3.0 dönemi başladığında hepimiz net bir şekilde gerçek Web 3.0 ile tanışmış olacağız.

Saldırılar ve Hacking olaylarının %70' i Uygulama katmanına olmaktadır.
Bu durumda donanımsal güvenlikten önce, uygulamamıza ait güvenliğin sağlanması gerekir.

Hazırlanan Web Uygulamasının dökümantasyonu kesinlikle yapılmalıdır. Sadece son kullanıcı için değil, kendi içimizde de uygulamaya müdahale edecek kişiler açısından dökümantasyonun yeri son derece büyüktür.

Uygulamayı hazırladınız. Kullanımı başlandı. Uygulamayı yazan arkadaşlarınızdan biri, işten ayrıldı. Uygulama ile 6 ay sonra bir problem ile karşılaşırsanız elinizde bir dökümantasyonunuz yok ise buraya müdahalenizin size ne kadar mal olacağını hesaplamak gerçekten çok zor.

Bir uygulama geliştirmedeki aşamalara uygun yazım yapılmasının önemle üzerinde durulmalı.
1) Analiz
2) Tasarım
3) Geliştirim
4) Sınama
5) Entegrasyon
6) Teslim
7) Bakım

En önemli aşama hepimizinde bildiği gibi "Analiz" aşamasıdır. Bu aşama üzerinde kaybedeceğimiz zamana kesinlikle bir kayıp niteliğinde bakılmamalıdır. Aksine burada kaybettiğiniz vakit programın kalitesini ortaya koyacaktır.

"Analiz - Tasarım - Geliştirim" aşamalarında sürekli birbirleri ile etkileşimleri olmaktadır. Bu yüzden burayı bir grup olarak düşünebiliriz ve 1. grup tamamlanmadan diğerlerine geçme gibi bir şansımız yoktur.

Daha sonra önemle üzerinde durulan "Sınama" aşaması gelmektedir. Sınama aşamasında tavsiye edilen bir checklist üzerinden programın sınamasının yapılmasıdır.
Örneğin: Her Textbox için numeric kontrolü yapılcak, taşma kontrolü yapılacak gibi.

Genel bir açıklama yaptıktan sonra bir uygulamanın güvenliğinde dikkat edilmesi ve yapılması gereken noktalara değinmek istiyorum.

1) Kullanıcı Yönetimi
Kullanıcı Şeması çıkartılmalıdır. Bu programda hedef kitlemiz kimlerdir ?
Bir başka deyişle:
* Kurumun Çalışanları.
* Kurumun para verip, hizmet aldığı kullanıcılar.
* Kurumun para alıp, hizmet verdiği kullanıcılar.
Bu şemaya bakarak, kullanıcıların uygulama üzerinde oluşturabileceği tehlikeleri tek seferde görme olanağana sahip oluruz.

2) Yetki Kontrolü
 Yukarıdaki şemamıza bakarak yetkilendirmemizi kolaylıkla yapabiliriz. Fakat elimizde bir şema olmadığı taktirde yanlış bir yetkilendirme büyük problemlere sebep olabilir.

3) Veri Güvenliği
Burada kullanıcının kayıt eklediği tablolar üzerinde olmaz ise olmaz 6 alan bulunmalıdır.
Bunlar:
Oluşturan Kullanıcı = Bu kayıt hangi kullanıcı tarafından oluşturuldu. 
Oluşturma Tarihi = Bu kayıt hangi tarihte oluşturuldu.
Oluşturan IP = Bu kayıt hangi ip üzerinden oluşturuldu.
Değiştiren Kullanıcı = Bu kayıt hangi kullanıcı tarafından değiştirildi.
Değiştirilme Tarihi = Bu kayıt hangi tarihte değiştirildi.
Değiştiren IP = Bu kayıt hangi ip tarafından değiştirildi.

Gibi tüm sorulara açıklık getirecek 6 alan mevcuttur.

4)İzleme
Bu aşamada ise sistemi kullanan kullanıcılar sistem içerisinde neler yaptıklarını gözlemlemek içindir. Olası gelebilecek tehlikeleri buradan görme imkanımız vardır.
Örneğin: "A" kullanıcısı sisteme kaç kere giriş yaptı, sistemde neler yaptı?
gibi sorulara cevap bulabilmek için gerekli adımdır.

Uygulamamıza gelebilecek olası saldırıların yöntemleri:
1) Kontrol edilemeyen parametreler.
2) Eişim kontrol kopuklukları
3) Kullanıcı ve oturum yönetiminde kopukluklar
4) Arabellek taşmaları
5) Sql Injection
6) Hata mesajları
7) Güvensiz şifreleme
8) Uzaktan yönetim açıkları
9) Sunucu ayar yanlışlıkları
10) Siteler arası programlar