Windows 2000´e Güvenlik Ödülü (nasıl yani?)

0
anonim
anonim
1 Şubat 2003 , 1 dakika okuma süresi
Microsoft Windows 2000, Information Technology Security Evaluation for Common Criteria (Bilgi Teknolojileri Güvenlik Değerlendirmesi Ortak Kriterleri) tarafından belirlenen standartlara göre, bugüne kadar bir işletim sisteminin hayata geçirdiği en geniş çaptaki gerçek yaşam senaryoları nedeniyle Common Criteria Sertifikası almaya hak kazandı.
Common Criteria Sertifikası, bilgi teknolojileri ürünlerinin güvenlik gibi özelliklerinin değerlendirildiği dünya çapında kabul gören bir standart olma özelliği taşıyor. Yazının tamamı http://www.microsoft.com/turkiye/windows/2000/server/security.asp adresinde.

Fakat bu olayda bir terslik var gibi geliyor bana , ancak ne olduğunu çözemedim. Söz konusu sertifika hakkında daha detaylı teknik bilgisi olan arkadaşlar varsa yorumlarını duymak yararlı olur.
Güvenlik
6
Linkedin Facebook Twitter Google plus

Görüşler

realist
0
realist
Yamuluyorsam düzeltiniz:
Windows kullanıcıları e-mail nedir, nasıl çalışır bilmezler. Mesela HTML mail diye bir şey yoktur arkadaşlar. Kandırdılar sizi...
E-mail´ler aslında text, en fazla RTF formatındadır. (Wordpad´le yazıp .doc uzantısı ile kaydettiğiniz format.)
Bir binary dosyayı email ile göndermek isterseniz bu dosya MIME64 ile kodlanır ve text mesaja sorunsuz eklenebilecek hale getirilir. Siz de bunu attachment şeklinde görürsünüz. MS-Outlook Visual-Basic scriptlerinin e-mail içinden direkt çalıştırılmasını sağlayarak email-worm diye bir şeyin varolmasını sağlamıştır. Kısacası email standardını bozarak yeni bir virus türünü meydana getirmiştir.
Buna benzer yüzlerce MS ayıbı sayabilirim.
SHiBuMi
0
SHiBuMi
Bu RFC'leri de Bill Gates kendi kafasına göre yazıyor zaten. Bir e-mail içersinde gerekli header alanlarına gerekli değerler verilerek, e-mailin body kısmında HTML kullanılabilir, bu HTML kodları Mime64 ile kodlanmaz, olduğu gibi gönderilir. Bunun sonucu olarak da, nurtopu gibi bir HTML mailimiz olur. Header'daki bilgiye göre, e-mail istemcisi bu HTML datasını mesajın içinde ya da attachment olarak görüntülemek durumundadır. HTML mail, Microsoft'un kendi kafasından uydurduğu MS-Outlook ile gelen bir şey değildir. Burada ancak MS-Outlook'un RFC'lerde belirtilen REQUIRED kriterlerle çizilen standartlara ne kadar saygı gösterdiğini tartışabiliriz. MS-Outlook içinde değil ama, gelen e-mailler üzerinde VB scriptleri çalıştırabiliyor olmanın ne gibi bir faydası olur, kim ne amaçla kullanır ben de merak ediyorum. Bunu feature olarak uygulamanın içinde tutuyor olmalarının kendilerine göre bir nedeni, bir kullanım alanı olmalı.
realist
0
realist
Çoook daha uzun yazmalıymışım ki başka yönlere çekilemesin.
E-mail standardına sonradan eklenmeye çalışılmış HTML mail anlamsızlığını değil MS´in email-worm denen ve VB´den azıcık anlayan herkesin kolayca yazabileceği yeni bir virus türünün ortaya çıkmasını sağlamasını tartışalım.
HTML mail worm`lardan ayrı bir örnekti
SHiBuMi
0
SHiBuMi
Nasıl başka yöne çektiğimi anlamadım. Yazında yanlışlar var, bunları düzelttim. HTML mail vardır ve gayet güzel kullanılır, standartları da ilgili RFC'de tanımlanmıştır. Bunu da Outlook dışında Windows altında çalışıyor olsun, Unix altında çalışıyor olsun onlarca e-mail istemcisi kullanır. Microsoft tarafından icat edilmiş bir şey değildir. Bu RFC'lerde bütün bu istemcilerin ortak paydada buluşabilmelerini sağlamak adına REQUIRED alanlar vardır. Outlook buradaki standartlara uymayıp kendi kafasına göre takılıyorsa o zaman gidip Bill'i dövelim. Ya da bu konuda sonsuza kadar susalım.

Outlook'a gelen mailler içinde VB script çalıştırılabiliyor olması bana da anlamsız geliyor, kimin böyle bir özelliğe ihtiyacı olur ki? Mozilla da yanlış hatırlamıyorsam Javascript kodlarını aynı şekilde çalıştırabiliyordu. Canını çok sıkıyorsa, Outlook Express içersinde Read All in plain text diye bir seçenek var, kapatır kurtulursun.
anonim
0
anonim
benim ve bir çok insanın asıl canını sıkan html e-postalar değil vb scriptleri. ondan kurtulmak için html maillerden de vazgeçmek zorunda kalıyoruz...
cayfer
0
cayfer
Micros~1'a Maryland Universitesi'nde verilen ödülden söz edildiğini duyunca aynı işletim sistemine California Universitesi-Santa Barbara tarafından verilen ödül aklıma geldi.

Bugun CNN'de de bir Micros~1 ödülü haberi var.

Bunları okuyunca aklıma eski bir fıkra geldi:

Komunist Rusya'da bir yabancı iş seyahatindeymiş. O zamanlar yabancılar Rusya'da mihmandarsız dolaşamıyormuş. İş adamının ayakkabısı Rusya'nın soğuğunda ince geldiği için mihmandarına bir bot almak istediğini söylemiş. Mihmandar 'Ooo.. dünyanın en muhteşem ayakkabı mağazası Moskova'dadır' deyip adamı çok büyük bir mağazaya götürmüş.

Girişte iki kapı varmıŞ: 'erkek ayakkabıları' ve 'kadın ayakkabıları'. Erkek böümğne girmişler. Gene iki kapı: 'yazlık', 'kışlık'. Kışlığa girmişler, gene iki kapı: 'Hakiki deri', 'Suni deri'. Hakiki deriye girmişler, gene iki kapı: 'Altı kauçuk', 'Altı kösele'. Kapılar epeyce bir süre bu şeilde devam etmiş. Artık iş adamına gelenler gelmeye başlamış. Sonunda olası tüm ayrıntıları belirleyen iki kapıya gelmişler. İş adamı 'Artık bundan sonra başka kapı yoktur' diye düşünerek son kapıyı açmş ve kendini sokakta bulmuş. Şaşkınlık içinde mihmandarına 'eee... ayakkabılar nerede?' diye sorunca mihmandarı 'ayakkabıyı boşver, sen organizasyona bak' demiş.

Nerden aklıma geldiyse...
Görüş belirtmek için giriş yapın...

İlgili Yazılar

ShmooCon'06 Hacker toplantısı sona erdi!
sundance
16 Ocak 2006, 1 dakika okuma süresi

13-15 Ocak arası Washington DC'de düzenlenen hacker toplantısı ShmooCon oldukça hareketli geçmiş. Insecure.org'dan meşhur Fyodor'un Nmap'le Playboy.com'da pr0n aradığı sunumdan SimpleNomad'ın Windows yüklü makinalara wireless üzerinden erişilmesini sağlayan hack'ine kadar oldukça ilginç toplantılara sahne olmuş. Cisco VPN Conc.'larla ilgili bir sıfır gün açığının bile yayınlandığı etkinliği izleyip haberdar eden Emre Sağlam (a.k.a. Conan)'a teşekkürler.

JEdit ActiveX Nesnesi Veri İfşa Açığı
anonim
19 Haziran 2006, 1 dakika okuma süresi

Türkiye'deki bir çok bankanın kullanıcılarını tuş kaydedici (keylogger) ve truva atlarına karşı korumak için hizmete sunduğu JEdit objesinde veri ifşa açığı bulundu. Bu açık kullanılarak kurumsal ağların güvenlik yapılarını aşmak için önemli bilgilere erişilebiliyor.

Bayrağı yakalamaya çalışanları yakalayın!
conan
30 Ekim 2001, 1 dakika okuma süresi

Her sene DEF CON dünyanın en büyük "hacking party"sini düzenliyor. Capture the flag ismi verilen bu partiye dünyanın dört bir yanından hackerlar katılıyor. Göreviniz 72 saat içerisinde bir sisteme girebilmek!

İşte bu kargaşada da The Shmoo Group da oluşan bütün trafiği loglamış ve de online olarak internet ortamına sunmuş. 5.8 GB'lik herhalde dunyanın en büyük IDS testinin sonucunu indirmek isteyenlere kolay gelsin! :)))

Not: ben baktığımda site sanırım slashdot etkisinden down olmuştu ;) Yine de referans olarak linkleri vereyim dedim.

Biyometrik Güvenlik ve Uygulama Kolaylığı
FZ
12 Kasım 2001, 1 dakika okuma süresi

Pek çok filmde biyometrik güvenlik ile karşılaşmışsınızdır. Mesela adam kapıya elini koyar ve adamı tanıyan sistem kapıyı açar, kadın asansöre biner ve bir kat numarası söyler ve kadının sesini analiz eden asansör bilgisayarı kadın eğer yetkili ise hareket etmeye başlar veya bir sistemi kullanmaya çalışan kişi karşısındaki kameraya bakar bakmaz sistem iris tabakası şeklini analiz eder ve elindeki eski bilgilerle bir kıyaslama yapar...

Kulağa hoş geliyor değil mi? Yani taşımanız gereken bir anahtar veya akıllı kart yok, hatırlamanız gereken ve zırt pırt unuttuğunuz bir sürü parola, şifre vs. yok. Tamamen sizi bedensel özelliklerinize yani size özgü ve taklit edilmesi nerede ise imkansız işaretlere dayanan güvenlik sistemleri.

Web Servisleri Güvenliği: Evrim Geçiren Tehdit Modeli
FZ
21 Mayıs 2002, 1 dakika okuma süresi

Gene bir makaleye gönderme, bu sefer Yahoo! şirketinin baş bilimadamı Udi Manber'in IEEE Symposium Security and Privacy etkinliğinde söyledikleri...

\r \r Özetlemek gerekirse Udi Manber gelişen web servisleri ile birlikte Internet üzerinden gerçekleştirilen güvenlik ihlallerinin de farklılaştığını, küçük küçük ama çok sayıda gerçekleştirilen saldırıların esas problemi oluşturduğunu ve bunlara çözüm bulunması gerektiğini söylüyor.

\r \r Manber'in dikkat çektiği enteresan konulardan biri de puanlama (rating) sistemleri, diyor ki "eğer bir oyun, bir site ya da bir ürünü puanlıyorsanız, insanlar bu puanlama mekanizmasına gizlice müdahele edip belli bir maddeyi en yüksek puana çıkarmak için çılgınca çaba harcıyorlar!"