Şimdi belirteç bağlama zamanı
Herkese merhaba,
Geçtiğimiz birkaç hafta kimlik ve güvenlik standartları dünyasında OLDUKÇA heyecan verici zamanlar geçirdik. Sektördeki çok sayıda uzmanın çalışmaları sayesinde, bulut hizmetlerinden ve cihazlarından oluşan bir neslin güvenliğinin yanı sıra kullanıcı deneyimlerini iyileştirecek olan yeni ve gelişmiş çeşitli standartların tamamlanmasında çok büyük ilerleme kaydettik.
En önemli iyileştirmelerden biri de şu anda Internet Engineering Task Force’ta (IETF) nihai onay aşamasına doğru ilerleyen Belirteç Bağlama belirtim ailesidir. (Belirteç bağlama hakkında daha fazla bilgi edinmek istiyorsanız Brian Campbell tarafından hazırlanan bu mükemmel sunumu izleyin.)
Microsoft olarak, Belirteç Bağlamanın yüksek düzeyde kimlik ve kimlik doğrulama güvencesini dünya çapındaki geliştiricilerin kapsamlı ve basit erişimine sunarak hem işletme hem de tüketici senaryolarının güvenliğini büyük ölçüde iyileştirebileceğini düşünüyoruz.
Bu etkinin olumlu yönde olacağı düşüncesiyle belirteç bağlama belirtim ailesinin oluşturulması ve benimsenmesi konusunda toplulukla sıkı bir şekilde çalıştık ve çalışmaya da devam ediyoruz.
Belirtimler onay aşamasına yaklaştığına göre iki eylem çağrısında bulunmak isterim:
- Belirteç bağlamayı denemeye ve dağıtımlarınızı planlamaya başlayın.
- Tarayıcı ve yazılım satıcılarınız henüz belirteç bağlama uygulamaları sunmadıysa onlarla iletişime geçerek bunu yapmalarını isteyin.
Ayrıca Microsoft’un, belirteç bağlamanın artık uygulama zamanı gelmiş önemli bir çözüm olduğunu söyleyen, sektörün birçok sesinden biri olduğunu sevinçle duyuruyorum.
Belirteç bağlamanın neden önemli olduğuna ilişkin daha fazla bilgi vermesi için sözü, sektörde çoğunuzun zaten bildiği lider bir ses olan ve şu anda Azure AD ekibinde Microsoft Kimlik Standartları Direktörlüğü yapan Pamela Dingle’a devrediyorum.
Saygılarımla,
Alex Simons (Twitter: @Alex_A_Simons)
Program Yönetimi Direktörü
Microsoft Kimlik Birimi
—————————————————————————————————————————–
Teşekkürler Alex. Herkese merhaba,
Alex’in heyecanını ben de paylaşıyorum! Çok kısa bir süre içinde yeni RFC standartları olarak kutlandığını göreceğiniz belirtimlere yıllar boyunca emek verildi. Mimarların Belirteç Bağlamanın getireceği kimlik ve güvenlik avantajlarından faydalanma zamanı geldi.
Belirteç bağlamanın neden bu kadar harika bir şey olduğunu merak ediyor olabilirsiniz. Belirteç bağlama, tanımlama bilgilerini, OAuth erişim belirteçlerini, yenileme belirteçlerini ve OpenID Connect Kimlik Belirteçlerini verildikleri istemciye özel TLS bağlamının dışında kullanılamaz hale getirir. Normalde bu belirteçler, “taşıyıcı” belirteçlerdir. Bu, kaynaklara yönelik belirtecin belirteç sahibi tarafından değiştirilebileceği anlamına gelir. Ancak belirteç bağlama, belirtecin verildiği zaman alınan şifreleme materyalinin, belirteç kullanımı sırasında alınan şifreleme materyaliyle karşılaştırılarak test edilmesine yönelik bir onay mekanizmasının eklenmesiyle bu düzeni iyileştirir. Yalnızca doğru TLS kanalını kullanan doğru istemci, testi geçer. Belirteci temsil eden varlığı kendini kanıtlamaya zorlayan bu işlem “sahiplik kanıtı” olarak adlandırılır.
Tanımlama bilgilerinin ve belirteçlerin çeşitli kötü amaçlı yollarla orijinal TLS bağlamının dışında kullanılabildiği tespit edildi. Bu tür kullanımlar arasında ele geçirilmiş oturum tanımlama bilgileri, sızdırılmış erişim belirteçleri veya gelişmiş MiTM yer alabilir. Bu nedenle IETF OAuth 2 En İyi Mevcut Güvenlik Yöntemi taslağı, belirteç bağlamayı öneriyor. Bu doğrultuda biz de kısa bir süre önce kimlik ödülü programımızdaki ödüllerin sayısını iki katına çıkardık. Sahiplik kanıtı gerektirerek, tanımlama bilgilerinin veya belirteçlerin planlanmış kötü amaçlarla kullanımını saldırganlar için denemesi zor ve maliyetli bir yönteme dönüştürüyoruz.
Tüm sahiplik kanıtı mekanizmalarında olduğu gibi belirteç bağlama da bize kapsamlı bir savunma biçimi geliştirme olanağı sağlıyor. Bir belirteci kaybetmemek için özen gösterebiliriz ancak bunu güvence altına almak için doğrulama da yapabiliriz. İstemci sertifikaları gibi diğer sahiplik kanıtı mekanizmalarının aksine belirteç bağlama bağımsız çalışır ve kullanıcıya açıktır. Zahmetli işlerin büyük bir kısmı ise altyapı tarafından gerçekleştirilir. Sonunda herkesin yüksek düzeyde bir kimlik güvencesi düzeyinde çalışmayı seçebilmesini istiyoruz ancak kamu kuruluşlarının ve finansal dikey kurumların mevzuat dolayısıyla acil olarak sahiplik kanıtı oluşturması gerektiğinden başlangıçta onlardan yoğun bir talep görmeyi bekliyoruz. Örneğin, NIST 800-63C AAL3 kategorizasyonuna ihtiyaç duyan herkes bu tür bir teknolojiyi talep edecektir.
Belirteç bağlamanın önünde uzun bir yol var. Üç yılı tamamladığımız bu günlerde, üzerine çok fazla ekleme yapılması gereken bir ekosistem olarak belirtimlerin onay aşamasına gelmesi heyecan verici bir gelişme olsa da başarılı olmak için bu belirtimlerin satıcılarda ve platformlarda işe yaraması gerekir. Önümüzdeki aylarda, bu işlevi benimsememizin sağladığı güvenlik avantajlarını ve en iyi yöntemleri paylaşmaya başlayacağımız için heyecan duyuyor, ihtiyaç duyduğunuz her yerde bu teknolojinin desteklenmesinde bize katılacağınızı umuyoruz.
Saygılarımla,
— Pam
