E-ticarette Sistem Güvenliği

[MahmutGulerce]

E-ticarette Sistem Güvenliği

 

Bu makalemde alışveriş güveliği ile ilgili yazımdan farklı olarak, teknik konulardaki güvenlik risklerinden bahsedelim.

Teknik güvenlik sorunları hem müşterilerinizin hem de e-mağazanızın ciddi maddi kayba uğramasına sebep olabilecek sorunlardır. Ülkemizdeki e-ticaret sitelerinin altyapıları irdelendiğinde neredeyse tamamı savunmasız olan e-mağazalar ile karşılaşıyoruz.

Öncelikle teknik zafiyetleri kullanan saldırı tiplerini kategorize edelim:

• Network saldırıları - yayın kaybı
  
• Spammer saldırıları - prestij ve iletişim kaybı
  
• Sisteme sızma açıkları - prestij kaybı ve hukuki sorunlar
  
• İçerik hırsızlıkları - müşteri kaybı ve rakiplerin büyümesi
  

Şimdi bu güvenlik açıklarını çok teknik detaylara girmeden prestashop için açalım: kullandığımız dil, esnaf dili olsun.

• Network saldırıları mağazanıza alıcı olmayan binlerce müşterinin hucum etmesi olarak düşünülebilir. Amaç mağazanızı felç etmek ve gerçek müşterilerin içeriye girmesini engelleyecek bir kalabalık oluşturmaktır. Bu saldırılara yüzde yüz bir çare yoktur ve gelecekte de olmayacaktır. Fakat defans yapabilirsiniz. Sitenize hiç bir teknik zarar vermezler fakat dükkanınız saldırı boyunca kapalı kalır. Bunu hosting sağlayıcınız ile mutlaka görüşünüz. Bu konuda dünyadaki ilk Türkçe bilimsel kaynağı ben yazmıştım. (Web sunucularında saldırı ve defans teknikleri 2009 Kocaeli Üniversitesi) Detaylı teknik sorunuz olursa PM atınız elimden geldiğince yardımcı olurum.
  
• Genellikle e-posta şifrenizi kaptırmanız sonucu olur. Günümüzde e-posta reklamcılığı 6 milyar dolarlık bir pazar ve ortalıkta binlerce spamcı mail gönderebileceği hesapları ele geçirmeye çalışıyor. Bu tip durumların tespiti de oldukça zordur. Üstelik e-posta adresiniz kalıcı olarak spam listelerine alınır. Bunu engellemek için periyodik olarak posta şifrenizi değiştiriniz.
  
• En ciddi güvenlik sorunu sisteme sızılması şeklinde olunur. "Sitem hacklendi" tabiri bu durumda kullanılır. Bunun sonucunda müşteri bilgileriniz başta olmak üzere her çeşit özel bilgi başkaların eline geçer. Bu güvenlik açıkları tahmin ettiğinizin aksine daha kolay kapatılır. Kullandığınız yazılım sürümünü güncel tutun. Kullandığınız hosting sağlayıcısının yazılımlarını da gözden geçirin. Bu tür açıklar %90 oranında önlem alınmamış sunuculardan kaynaklanır. Dosya yazdırma haklarınızı kontrol etmenizde de fayda var. Hackerların kullandığı yazılımlara internetten basit aramalar ile ulaşabilir ve onlardan önce deneyebilirsiniz. Bu denemeyi asla gerçek sitenizin üzerinde yapmayın. Sitenizin bir kopyasını aynı sunucu üzerine ekleyip hacklemeye çalışın.
  
• İçerik hırsızlıkları sizin emek emek uğraştığınız ürün bilgilerinin-görsellerinin başka bir sitede başkası için yayınlanmasıdır. Örneğin sitenizdeki resimlerin başka bir sitede yayınlanması. Bu durumda sitenizdeki resim başka bir sayfada direk gösterilecek ve bu resmin yayınını da siz yapmış olacaksınız. Yani hem resmin trafik yükünü çekeceksiniz hem de size ait bir görseli rakibiniz yayınlayacak. Kopya içerik konusunda malesef ülkemizdeki mevzu hukuk hakkınızı aramanız adına hiç bir işe yaramayacaktır. Bu durumundan korunmanın en iyi yolu görsellerinize damga eklemenizdir. Prestashop'da resim damgası modülü kurulum paketi ile birlikte gelmektedir. Ürünlerin yazıları için de şunu önerebilirim. Yazıların içerisinde mağazanızın adını bol bol kullanın.
  

Makaleler ile ilgili olarak:

Bu makalelerimin amacı uzun yıllar boyu sizlerden not aldığım bilgilerin ve işimin getirdiği teknik-teorik-pratik tecrübelerin derlenip sizlerle paylaşılmasıdır. Şu ana kadar 1500+ e-ticaret tecrübesi ile binlerce mağazacıyı ve onlarca tedarikçiyi dinlemiş, yüzlerce not almış, bir çok toplantı ve seminere konuşmacı/dinleyici olarak katılmış bir yazılım uzmanı olarak, bu deneyim birikimini paylaşmak üzere, açık kaynak topluluğumuzda makaleler yazmaya karar verdim. Makaleleri dilediğiniz yerde alıntı kaynağını göstermek şartı ile yayınlayabilirsiniz herhangi bir hak kısıtlaması yoktur. Bilgiler bilimsel veya pratik çalışmalara istinaden oluşturulmuştur. Geliştirilmesine katkı sunduğunuz için teşekkür ederim.

Mahmut GÜLERCE