iOS 16.4’ün piyasaya sürülmesi, mobil uygulama geliştiricileri için oyunun kurallarını değiştirdi: Ekipler birdenbire tam teşekküllü web tarayıcısı özelliklerini uygulamalarına koyabiliyor. Hemen hemen her iOS mobil uygulaması artık aşamalı bir web uygulaması (PWA) olabilir; bu, geliştirme ve bakım maliyetlerini önemli ölçüde azaltırken aynı zamanda uygulama performansını ve çok önemli kullanıcı deneyimini artırır. PWA’lar, web sitesi ve yerel uygulama yetenekleri söz konusu olduğunda her iki dünyanın da en iyisini sunar: Anlık bildirimleri, çevrimdışı kullanılabilirliği ve cihaz donanımına (konum izleme, kamera ve mikrofon gibi) erişimi birleştirirler. PWA’lara yönelen geliştiriciler, kullanıcılara şirketlerinin web sitesinin daha güçlü bir versiyonunu, anlık yükleme süreleri (içerik uygulamaya dahil olduğundan) ve genişletilmiş özellik setleri sunar.
Çoğu durumda güvenlik söz konusu olduğunda hepsi harika şeyler.
PWA güvenlik sorunu
İşlevsel olarak PWA’lar hemen hemen her uygulamayı bir tarayıcıya dönüştürür ve ekiplerin davetleri değiştiren belirli ve benzersiz güvenlik sorunlarını daha iyi anlaması gerekir. Tipik bir modern web sitesi, dış kaynaklardan gelen düzinelerce üçüncü taraf komut dosyasına dayanır ve bu komut dosyaları daha sonra kullanıcıların web tarayıcılarında yürütülür. Bu kod komut dosyaları, chatbot etkileşiminden captcha’lara, sosyal medya özelliklerine, pazarlama izleme ve analitiğine kadar her türlü ortak ve gerekli işlevi etkinleştirir. Toplu olarak, bu tarayıcı tedarik zinciri, saldırılar için giderek artan bir hedef haline geldi. Ancak işletmelerin artık web sitesi tarayıcı tedarik zincirlerini mobil uygulamalarında da kullanması nedeniyle, (British Airways’den Kaiser Permanente’ye kadar büyük şirketleri etkileyen) bu güvenlik riski son birkaç ayda daha da hızlı bir şekilde arttı.
PWA güvenliğine nasıl yaklaşılır?
PWA’ları ve son kullanıcıların verilerini korumak için tarayıcı tedarik zincirinin güvenliğini sağlamak, düşünceli ve kapsamlı bir yaklaşım gerektirir. Etkili bir tarayıcı tarafı güvenlik stratejisi, bu üçüncü taraf komut dosyalarının sürekli izlenmesini ve uyarılmasını, düzenli denetimi, altyapı korumalarını ve çalışanların güvenlik eğitimini içermelidir.
Daha spesifik olarak, kapsamlı izleme, hem kayıt defteri izlemeyi hem de tarayıcı tarafı komut dosyası izlemeyi kapsamalı, tüm komut dosyası isteklerini gerçek zamanlı olarak incelemeli ve herhangi bir kötü amaçlı etkinliği, ortaya çıktıkça ve hasar oluşmadan önce tespit edip engellemelidir. Üçüncü taraf komut dosyaları, her çalıştırıldıklarında ve kesinlikle kullanıcının tarayıcısına gönderilmeden önce tam kod bütünlüğü kontrollerinden geçmelidir. Kayıt defteri izleme için, tehditleri geliştirme ortamına ulaşmadan önce bile proaktif bir şekilde tanımlamaya ve ortadan kaldırmaya yönelik araçlar mevcut olmalıdır. Yeterli izleme, saldırı yüzeyini tehditlere karşı sürekli olarak taramalı ve izlemeli ve güvenlik açıkları, zararlı komut dosyaları ve diğer aktif tehditler ortaya çıktığında anında uyarı ve otomatik karşı önlemler sağlamalıdır.
İzleme aynı zamanda web komut dosyası performansını da aktif olarak ölçmelidir; bu, anormallikleri tespit ederken optimizasyon fırsatlarını ve son kullanıcılar için daha iyi deneyimleri işaretlemenin birçok avantajını da beraberinde getirir. (Ek olarak, özellikle bir olayın ardından ayrıntılı geçmiş analizi sağlamak için günlük kaydı çok önemlidir.) Bu analizin incelenmesi, en akut risklerin anlaşılması ve ileriye dönük güvenlik korumalarının iyileştirilmesi için temel rehberlik sağlar. Düzenli aralıklarla kod incelemeleri ve denetimler gerçekleştirmek, PWA’yı destekleyen her komut dosyasının kuruluşun yerleşik güvenlik gereksinimlerini ve politikalarını karşıladığından emin olmanıza da yardımcı olacaktır.
Altyapı güvenliği açısından, bir web uygulaması güvenlik duvarı uygulamak, gelen tehditleri web uygulamalarına ulaşmadan ve güvenlik açıklarından yararlanmadan önce tespit edecek ve engelleyecektir. Kuruluşlar ayrıca, form yüklemeleri veya saldırganların kötü amaçlı dosyalar veya kodlar sokmaya çalışabileceği diğer yollar gibi komut dosyası işlevlerini korumak için kötü amaçlı yazılım taramasını da uygulamalıdır. DNS güvenliği, trafiği ve verileri ele geçirmeye yönelik kötü niyetli girişimleri önlemek için de gereklidir.
Son olarak, PWA’lar üzerinde çalışan geliştirme ve operasyon ekiplerine düzenli güvenlik eğitimi sağlanmalı; bu eğitimler, kişileri sürekli olarak en yeni tehditler ve gelişen güvenlik önlemleri konusunda eğitmelidir. Araçlar mevcut olsa bile, çalışanlar ve onların güvenlik farkındalığı (veya eksikliği) genellikle saldırıların başarılı veya başarısız olmasında belirleyici bir rol oynamaya devam ediyor.
Güçlü mobil uygulamaları etkinleştirin, güvenlik risklerini azaltın
Kuruluşlar artık daha ilgi çekici ve değerli kullanıcı deneyimleri sunmak amacıyla tarayıcının etkin olduğu uygulamaların gücünden yararlanmak için muazzam fırsatlara sahip. Ekipler, tarayıcı tarafı güvenliği için en iyi uygulamaları benimseyerek ve bunlara bağlı kalarak, PWA modernizasyonunu gerçekleştirmekten geri durmadan üçüncü taraf tarayıcı komut dosyalarına yönelik saldırıları uzak tutabilir.
Yazar Hakkında
Simon Wijckmans, c/side’ın CEO’sudur. İstemci tarafı güvenliği konusunda uzman olan kendisi, Cloudflare ve Vercel’de ürün yönetimi görevlerinde çalıştıktan sonra şirketi 2024 yılında kurdu. Simon’a LinkedIn (https://www.linkedin.com/in/wijckmans/) ve https://cside.dev/ adresinden ulaşılabilir.