4 Mayıs 2010, Salı
Google Online Güvenlik Blogu'nda çapraz yayınlanmıştır.
Google çalışanlarının, hizmetlerimizin karşılaştığı tehditlerin yanı sıra bu tehditlere karşı nasıl koruma sağlayabileceğimizi iyice anlamalarını istiyoruz. Bu hedeflere ulaşmak için yeni mühendislere yönelik güvenlik eğitimi, güvenlikle ilgili teknik sunular ve diğer doküman türleri gibi çeşitli yöntemlerle çalışıyoruz. Ayrıca, katılımcıları belirli programlama görevlerinde yönlendiren etkileşimli programlama eğitimleri olan codelab'lerden de yararlanıyoruz.
Codelab'lerden birinde geliştiriciler, yaygın görülen web uygulaması güvenlik açıkları hakkında bilgi sahibi olurlar. Codelab'de, "çivi çiviyi söker" düşüncesiyle, bu gibi güvenlik açıklarının saldırganlar tarafından nasıl istismar edilebileceği de gösterilir.
Google Code University ve Google Laboratuvarları ile yürütülen ortak çalışma sonucunda bugün kullanıma sunduğumuz "Web Uygulaması Açıkları ve Savunma" adlı codelab'in, yazılım geliştiricilerinin kendi uygulamalarında benzer hataları daha iyi tanımalarına, düzeltmelerine ve önlemelerine yardımcı olacağını umuyoruz. Codelab, güvenlikle ilgili çok sayıda hata içerecek şekilde tasarlanmış küçük ancak tam özellikli bir mikro blog uygulaması olan Gruyere'nin etrafında şekillenmektedir. Bu laboratuvar kapsamındaki güvenlik açıkları arasında siteler arası komut dosyası çalıştırma (XSS), siteler arası istek sahtekarlığı (XSRF), siteler arası komut dosyası ekleme (XSSI), istemci durumu manipülasyonu ve yol geçişine ek olarak AJAX ve yapılandırma açıkları yer almaktadır. Ayrıca basit hataların nasıl bilgi sızıntılarına, hizmet reddine ve uzaktan kod yürütmeye yol açabileceği de açıklanmaktadır.
"Yeterince büyük bir ekibin ayıkladığı tüm hatalar küçüktür." deyiminin geçerli olması için, hata ayıklayanların neyi aradıklarını bilmeleri gerekir. Bu açıdan Gruyere'deki güvenlik hataları diğer pek çok uygulamadakiler gibi gerçek hatalardır. Creative Commons lisansı altında yayınlanan Gruyere kaynak kodu, beyaz kutu korsanlık alıştırmalarında ya da güvenlik, yazılım mühendisliği veya genel yazılım geliştirme alanlarının işlendiği bilgisayar bilimleri derslerinde kullanılabilir.
Başlamak için https://google-gruyere.appspot.com/ adresini ziyaret edin. Codelab'in kullanımıyla ilgili eğitmen kılavuzu artık Google Code University'de bulunmaktadır.