Altı ay boyunca akşamlarını web sitelerini tarayarak geçiren bir geliştirici, her seferinde aynı sorunla karşılaştı: Ya jargon dolu bir rapor ya da sadece tek bir konuyu kontrol eden dar kapsamlı sonuçlar. Securityheaders.com sadece başlıkları, SSL Labs sadece TLS'yi, Mozilla Observatory ise biraz daha fazlasını kontrol ediyordu. Ancak hiçbiri tek seferde kapsamlı bir resim sunup hangi sorunun önce çözülmesi gerektiğini sıralamıyordu. İşte bu boşluk, SecURL projesinin doğuşuna ilham verdi.
SecURL, bir URL'yi tarayarak HTTP güvenlik başlıkları, TLS yapılandırması, DMARC, SPF, DKIM, DNSSEC, üçüncü taraf script maruziyeti, çerez işaretçileri, yönlendirme zinciri ve daha fazlasını kontrol ediyor. Tarama sonucunda A'dan F'ye bir not veriyor ve her bulguyu OWASP referanslarıyla birlikte ciddiyet seviyesine göre sıralıyor. Kullanıcı sadece URL'yi yapıştırıyor ve yaklaşık 30 saniye içinde detaylı bir rapor alıyor. Tarama motoru sağlam çalışıyordu, ancak proje birçok yan proje gibi teknik olarak işlevsel olmasına rağmen tam anlamıyla hayata geçirilememişti.
Projenin rafa kalkmasının ardında yatan nedenler: pazarlama faaliyetlerinin olmaması, faturalandırma sisteminin kurulmamış olması, kullanıcı arayüzü (UX) sorunlarının sürekli ertelenmesi ve yalnızca geliştiricinin kafasında var olan dokümantasyon. Tüm bu eksiklikler, projenin teknik olarak çalışır durumda olmasına rağmen kullanıcılar için yeterince profesyonel görünmemesine yol açıyordu.
Sistem Güvenliği
Projeyi tamamlama süreci, ihmal edilen UX sorunlarının çözülmesiyle başladı. Belirli ekran boyutlarında sayfanın altında oluşan beyaz boşluk, navigasyon sekme çubuğunun paylaş butonu nedeniyle kesilmesi, son taramalar listesinde A notu ile F notunun aynı renkte gösterilmesi ve hero bölümündeki versiyon rozetinin gereksiz teknik detaylar içermesi gibi sorunlar tespit edildi.
Bu sorunların çözümünde Copilot yardımcı oldu. Beyaz boşluk tek bir CSS özelliği ile düzeltilirken, sekme çubuğu sorunu paylaş butonunun flex satırından çıkarılıp kendi div'ine taşınmasıyla çözüldü. Her biri küçük değişiklikler olsa da, uygulama genelinde belirgin bir iyileşme sağlandı. Ayrıca pazarlama sitesindeki 'aktif kontroller' ifadesi, SecURL'nin yalnızca pasif gözlem yaptığı gerçeğiyle çeliştiği için düzeltildi.
Detaylar ve Etkileri
Artık SecURL tam anlamıyla yayında. UX sorunları giderildi, Twitter (@thisissecurl) ve Dev.to hesapları aktif, Product Hunt profili oluşturuldu ve gelecekteki dağıtımlar için yapılandırılmış bir UX inceleme kontrol listesi hazırlandı. Tarayıcı, ücretsiz araçların genellikle yapmadığı şeyleri yapıyor: DMARC politikasının varlığını değil, quarantine veya reject olarak ayarlanıp ayarlanmadığını kontrol ediyor; SPF'de aşırı izinli qualifier'ları tespit ediyor; DKIM seçicilerinin keşfedilebilir olup olmadığını inceliyor. Ayrıca oturum tekrar oynatma araçlarını ve analitik satıcılarını üçüncü taraf script yüzeyinden tespit ediyor, yönlendirme zincirini haritalandırıyor ve her adımda güvenlik sorunlarını işaretliyor. Not sistemi tüm bunları, güvenlik uzmanı olmayan bir kişinin anlayıp harekete geçebileceği bir formata indirgiyor. SecURL'yi denemek isteyenler app.securl.online adresinden ücretsiz ve hesap gerektirmeden kullanabilir. Geliştirici, özellikle hatalı sonuç alan kullanıcılardan geri bildirim bekliyor.
Kaynak: dev.to