[Owasp-turkey] "Security lessons still lacking for computer science grads"

Kubilay Onur Güngör ko.gungor at gmail.com
Tue Apr 26 07:42:47 EDT 2011


ben o şekilde düşünmüyorum açıkçası.

danimarkada konuk olarak ders verdiğim üniversitede, benim dersimden sonra
öğrencilerin proje sunumlarına da kaldım görmek için.
software projesi vardı gruplar halinde yazıyorlardı. dil özgür platform
özgür isteyen istediği dille istediği platformda yazıyordu. Ancak
zorunluluklar şunlar, SVN kullanma zorunluluğu var, ve her grup diğer grubun
yazdığı web uygulamasına bilenen saldırı yöntemlerini deneyerek kendi proje
sunumunda kime hangi saldırıyı denediğini ve ne dsonuç aldığını da
anlatıyordu.

öyle ki elemanın biri captcha yı implement edemeyip, resim olarak koymuştu
ve sunumda bunu implement edemedim ama burada bunun olması gerekiyor
dediğinde tam puan almıştı.

bu yüzde yüz güvenlik derinliği vermese bile bir perspektif veriyor. bizim
eğitim sistemimizin rezalet olduğu bir gerçek. bunu görmezden gelmeye gerek
yok. insanlar sektörle akademik hayatları arasında kalıyorlar. dışarıda
çalışmak isteyen bir öğrenciye 4. seneinde hala C gösteriliyor. Adam entwork
dersini A ile geçiyor DHCP nedir bilmiyor. Network dersinde hala djikstra
implement ediliyor. akademisyenler zaen burunlarından kıl aldırmıyor.

sonra niversite okuyan bir adam ne diye gidip dışarıdaki eğitimlere katılsın
ki? ne olacaksa ona göre eğitim alsın o zaman ne diye üniversite okunuyor?
tamamen zaman kaybı. sınavlarda abuk subuk sorular, öğrenme değil
notlandırma odaklı.

bence çok da haksız değil insanlar eleştirilerinde.



2011/4/26 Bunyamin Demir <bunyamindemir at gmail.com>

> Merhabalar,
>
> Ben temel sorunun; iş verenin, işin güvenliğinden ziyade, erken bitmesine
> önem vermesinden kaynaklandığına inanıyorum. Yoksa yeterli vakit verildiği
> sürece her yazılımcının güvenli kod yazma teknikleri hakkında donanıma sahip
> olabileceği aşikar. Sadece kodu güvenli yazıp deadline'i 3 gün uzatalim mi?
> Yoksa bodoslama yazip, 2 gün öncesinde bitirip, müşteriden paramızı mı
> alalım? sorularına yanıt vermek gerekiyor.
>
> Syg.
>
>
>
> 26 Nisan 2011 14:04 tarihinde Enis Karaarslan <enis.karaarslan at gmail.com>yazdı:
>
> Bilinmeyen bir şeyi yazmadığı gibi, o yazıda belirten markanın reklamı
>> şeklinde olmuş bu yazı.
>>
>> Meslek yüksek okullarında bilgi güvenliği eğitimi verilmesi
>> gerekliliği üzerine bir bildiri yazmıştım ben de (2003 senesi).
>> Benimki daha ütopik bir yazı olmuş.
>>
>> Aslında birçok bilgisayar bilimleri/mühendisliği bölümü, bu şekilde
>> ders verilmesi gerektiğini biliyor ama bir çoğunda bu dersleri verecek
>> bilgide hocalar bulunamıyor. Birkaç yerde bazı sunumlara rast
>> gelmiştim, web güvenliği için ssl yapmanın yeterli olduğunu düşünen
>> hocalar da var ne yazık ki (bu Türkiye'den değil bir yabancı
>> üniversiteden).
>>
>> Hepinizin de bildiği üzere, ayrı bir ders olmadan da güvenli
>> kodlamanın temelleri verilebilir.
>> Yazılım mühendisliği ve benzer derslerde, input ve output validation
>> gösterilmesi bile büyük bir artı olacaktır.
>>
>> Bunun yanı sıra kriptolojinin bilimsel ve matematiksel altyapısını
>> vermektense uygulamalarda nasıl kullanılabileceğine yoğunlaşmak lazım.
>> Çok şey söylenebilir ....
>>
>>
>> On 4/26/11, ibrahim saruhan <ibrahimsaruhan at gmail.com> wrote:
>> > Eminim ki herkes guvenli kod yazacagim diye egitim almaya calissa, kimse
>> kod
>> > yazamaz. Kod yazmak yazarken ogrenilen bir durum, yazmayi zorlastirdikca
>> > yazilmaz hale gelir.
>> >
>> > 10000 tane Graduate Security Professional a ihtiyac var denmis yok oyle
>> > sey:) Bosuna insanlara bilisim guvenligi uzerine MS yap ihtiyac var
>> seklinde
>> > umut veriyorlar... :)
>> >
>> > Bu yakinan kimseler sirketlerine guvenli kod yazmayi bilen elemanlar
>> > alsinlar, bilmeyenleri almasinlar, ya da alip egitip oyle program
>> > yazdirsinlar, sonra cikip Unilerde neden egitilmiyor bu adamlar
>> demesinler.
>> > Guvenli kod yazamiyorum, ya da guvenlikten bi haber oldugumda ise
>> > giremeyecegim diye dusunen kisiler de self investment yapsin gitsin
>> egitim
>> > alsin ya da kendi ogrensin. Ama sen rastgele ise adam al, guvenlik
>> uzerine
>> > egitme ve sonra da cik de ki bu adamlar neden guvenlik bilmiyor:) Neden
>> 1
>> > tane bile ders almadi bu adamlar lisans ta:)
>> >
>> > 2011/4/26 T. Terlemez <tterlemez at gmail.com>
>> >
>> >> Merhaba
>> >>
>> >> Aşağıda adresi olan yazıda değinilen konu grupla da ilgili diye
>> >> düşünüp gönderiyorum :
>> >>
>> >>
>> http://www.infoworld.com/t/application-security/security-lessons-still-lacking-computer-science-grads-769
>> >> _______________________________________________
>> >> Owasp-turkey mailing list
>> >> Owasp-turkey at lists.owasp.org
>> >> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>> >>
>> >
>>
>>
>> --
>> ----------------------------------------------------
>> Dr. Enis Karaarslan
>> Mugla University
>> Department of Computer Engineering
>> _______________________________________________
>> Owasp-turkey mailing list
>> Owasp-turkey at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>>
>
>
>
> --
> Bünyamin Demir
> OWASP-Turkey Chapter Lead
> http://www.webguvenligi.org
> http://www.owasp.org/index.php/Turkey
>
> Türkçe Web Uygulama Güvenliği E-Posta Listesine üye olmak için:
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
> _______________________________________________
> Owasp-turkey mailing list
> Owasp-turkey at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-turkey
>
>
-------------- sonraki bölüm --------------
Bir HTML eklentisi temizlendi...
URL: https://lists.owasp.org/pipermail/owasp-turkey/attachments/20110426/2ae58bf6/attachment-0001.html 


More information about the Owasp-turkey mailing list