Kullandığım  ve sizlere de önerdiğim bir kaç websiteler, online web araçları var. 1. parti olarak burada sizlerde paylaşmak istedim. [Devamı gelecek...] (Önerdiğim siteleri, bold yaptım.)

• 11 Adet transparan arkaplan yapacağınız web siteleri.
• Transparan web siteleri
• Adım adım jquery öğrenme web siteleri
• Tüm tarayıcılar için CSS düzeltici
• Grafikler oluşturabileceğiniz web sitesi
• İlginç etiket bulut sitesi
• QWiki > Wikipedia benzeri, konuşan, sliderlı çok güzel bir site
• Web 1.0, Web 2.0, Web 3.0
• Güncel web makaleleri

Yeni ekonomiyle ilgili bilgi ve iş fikri sahibi olan girişimcilerle, bu konuda yatırım yapabilecek şirket ve profesyonelleri buluşturan etohum, internet girişimcilerinin izlemeleri gereken 10 filmi belirledi. Umudunu Kaybetme, E-hayaller, Startup.com, İnek Öğrencilerin Başarısı, Silikon Vadisi’nin Korsanları, Hacking’in Gizli Tarihi: Bir Discovery Channel Belgeseli, İşletim Sistemi Devrimi, Kod, Google Belgeseli ile Steve Jobs Stanford Commencement Speech 2005 olarak sıralanıyor. Hangi filmin neyi anlattığı bilgisine ulaşmak için sağ taraftaki isimlerine tıklayabilirsiniz.

İnternet girişimlerini destekleyen etohum, girişimcilere bu filmleri izleyin tavsiyesinde de bulunuyor.

Umudunu Kaybetme (The Pursuit of Happyness)
Başrolünde Will Smith’in oynadığı bu film Christopher Gardner adındaki bir röntgen cihazı satıcısının gerçek hayat hikâyesine dayanıyor. Alternatiflerinden 2 kat pahalı ve eski bir teknolojiye sahip bu cihazı adeta kendi üretmişçesine pazarlayan Gardner, karısı onu terk ettiğinde oğluyla baş başa kalıyor. Bu yetmezmiş gibi bir de üstüne Gardner ve oğlu evlerinden atılıyor, Gardner’ın banka hesapları ve kredi kartları kapatılıyor. Sonucunda ise baba-oğul sokakta yaşamaya mâhkum oluyor.

Film, gerçek bir hayat hikayesine dayanıyor.

Bu ümitsiz durumda Gardner, büyük çaba sarf ederek borsacı olmak için bir iş fırsatı yakalıyor. Ancak bu işe kabul edilmesi için Gardner’ın 6 ay boyunca ücretsiz staj yapması ve seçilenler arasından sıyrılması gerekiyor. Bu zorlu günlerin ardından ise Christopher Gardnermilyoner bir girişimci haline geliyor. Yaşanmış bir hayat hikâyesini anlatan bu film, zor zamanlar geçiren herkes için bir ilham kaynağı niteliği taşıyor.

E-hayaller (E-dreams)

90′lı yılların sonlarında Amerika’nın dört bir yanında dot.com fırtınası eserken Kore asıllı Amerikalı iki genç girişimci, Joseph Park ve Yong Kang yatırım bankacılığı yapmakla uğraşıyor. Daha sonra Park ve Kang atıştırmalık yiyecekleri, içecekleri ve video kasetleri30 dakika gibi kısa bir sürede dağıtabilmek için kozmo.com’u kuruyorlar. 1998’de mobilyasız, boş bir depoda başlattıkları işi daha sonra büyüten iki arkadaş bisikletli dağıtıcılarını, internet sitelerini ve iş modellerini tüm şehirlere başarılı şekilde yaymaya başlıyorlar. 10 kişilik küçük bir şirketten 3.000 kişiyi istihdam eden ve 11 şehirde hizmet veren dev bir şirkete dönüşmeyi başaran girişimciler, o güne kadar eşi görülmemiş bir büyümeye imza atıyorlar. 250 milyon dolardan fazla bir sermayeye ulaşan ortaklar bu başarılarıyla Starbucks ve Amazon.com’un da ilgisini çekiyorlar.

Dot.com çılgınlığı ve yaşananlar E-Dreams’te anlatılıyor.

2000 yılının Nisan ayından sonra ise kahramanlarımız zor günler geçirmeye başlıyor.Dot.com balonu patladığında diğer internet şirketleri gibi onlar da ellerinde büyük ve kârsız bir şirket buluyorlar. Operasyonları tehlikeye giriyor, kavuniçi kıyafetli bisikletli dağıtıcılarıişsiz kalıyor. E-Dreams, dot.com çılgınlığı yıllarındaki birçok şirketin başından geçenleri anlatan ve kaçırılmaması gereken bir belgesel niteliği taşıyor.

Startup.com

Bu belgesel, iki genç girişimcinin Kaleil Isaza Tuzman ve Tom Herman’ın 1998–2000 yılları arasında Amerika’daki devlet dairelerinin sözleşme ve satın alma departmanlarında kullanılacak bir yazılım üretmek üzere kurulan govworks.com’u konu alıyor. 1998′de Public Data Systems olarak kurulan şirket, internetin patladığı yıllarda kendisini internet portalı olarak değiştirmeye çalışıyor. 2001 yılının ocak ayında ise şirket, kurucuları tarafından First Data Corporation’a satılıyor. Ancak bu satış büyük bir zararla sonuçlanıyor ve girişimcilerin hayatta oldukları 3 yıl boyunca 60 milyon dolar harcadıkları tahmin ediliyor.

Milyon dolarların harcandığı bir ‘iş’in öyküsü.

Yapımcılığını Jehane Noujaim ve Chris Hegedus’un üstlendiği bu film, Kaleil Isaza Tuzman’ın Harvard Üniversitesi’nden sınıf arkadaşı olan Noujaim’in, Goldman Sachs’daki işinden ayrıldıktan sonra govWorks’u filme almaya başlamasıyla ortaya çıkıyor. Filmin çekilmesinden sonra ise Tom Herman ve Kaleil Isaza Tuzman Recognition Group ve JumpTV.com’da çalıştılar.

İnek Öğrencilerin Başarısı: Tesadüfi İmparatorlukların Yükselişi (The Triumph of the Nerds: The Rise of Accidental Empires)

Bu belgeselin tüm senaryosunu internetten okuma imkânı bulunuyor. 1996 yapımlı belgesel, kronolojik olarak kişisel bilgisayarların, bir başka deyişle 1970′lerden başlayarakAltair 8800, Apple I, Apple II ve VisiCalc’in yükselişini, sonrasında da IBM PC ve Apple Macintosh devriminin 1980’lerdeki ve 1990′ların ortasına kadar olan gelişiminin hikâyesini anlatıyor.

Belgeselde Steve Jobs ve Bill Gates röportajları da yer alıyor.

Apple’in kurucusu Steve Jobs ve Microsoft’un kurucusu Bill Gates’le yapılan röportajların yer aldığı belgesel, bu alanda yapılmış önemli filmlerden biri olarak karşımıza çıkıyor. Filmin yazarı Robert X. Cringely’in, internet balonunun patlamasından önce yani 1998′de çektiği ‘İnek Öğrenciler 2.0.1: İnternetin Kısa Tarihçesi’ adlı bir belgesel filmi daha bulunuyor. Önemli kişilerle röportajları içeren bu ikinci belgeselin mutlaka izlenmesi gerekiyor.

Silikon Vadisi’nin Korsanları (Pirates of Silicon Valley)

Film, Apple ve Microsoft arasındaki rekabeti anlatıyor.

1999 yapımı olan bu film Paul Freiberger’ın ‘Vadide Ateş: Kişisel Bilgisayarların Yapılışı’ (Fire in the Valley: The Making of The Personal Computer) adlı kitabından uyarlanmış bulunuyor. Televizyon için yapılmış olan bu yarı belgesel kişisel bilgisayarların yükselişi sırasında Apple ve Micrososft arasındaki rekabeti konu alıyor. İki şirketin kuruluş aşamasındaki günlerini biyografik olarak ele alan film, iki şirketi kurucularının bakış açılarını ve operasyonlarını kıyaslıyor.

Hacking’in Gizli Tarihi: Bir Discovery Channel Belgeseli (Secret History of Hacking: Full Discovery Channel Documentary)

Bilgisayar korsanlarının bilinmeyen tarihi…

Bilgisayar korsanlarının bilinmeyen tarihi bu film ile gün yüzüne çıkıyor. Hacker’lar veya bilgisayar korsanları bilgi teknolojisi sistemlerine para veya politik casusluk için dolambaçlı yollardan zekice giren suçlular olarak biliniyor. Geçmiş tüm haber ve gazeteler okunduğunda da bu görüşü destekleyen birçok yazıya rastlanıyor. Ancak sanılanın aksine gerçekler çok farklı olabiliyor. Bu belgesel Amerika’yı yöneten şirketlere karşı çıkan bir kültürün bilinmeyen hikâyesini anlatıyor.

İşletim Sitemi Devrimi (Revolution OS)

Açık kaynak meraklıları bu belgeseli kaçırmamalı.

2001 yapımı olan ve J.T.S. Moore tarafından yönetilen bu belgesel filmde GNU, Linux, açık kaynak ve bedava yazılımın son 20 yıllık tarihçesi inceleniyor. Filmde ayrıca birçok girişimci ve internet dünyasının önde gelen isimleriyle yapılmış röportajlar da yer alıyor.

Kod (The Code)

Belgeselde bahsi geçen isimlerden biri de Linus Torvalds.

Finlandiya yapımı olan bu belgesel 2001′den bu yana yaşanan ve Linux’un gelişimi, dot.com yılları, internet şirketlerinin çöküşü, açık kaynak ve ücretsiz yazılım hareketinin gelişimi dönüm noktaları bulunan bir süreç anlatılıyor. Sektörde etkili insanlarla yapılan röportajlara da yer verilen bu film, her ne kadar Finlandiya’daki bir televizyon için hazırlanmış olsa da İngilizce çekilmiş.

Google Belgeseli

Google ofislerinde buna benzer manzaralarla karşılaşmak mümkün.

‘Google nasıl çalışıyor? Ofisleri neye benziyor?’ diye merak edenlere hitap eden bu belgesel film, diğerlerinden farklı olarak arama sektörü liderine ait görüntüleri ve Google’ın çalışma koşullarını gösteriyor.

Yaklaşık 4-5 aydır netbook’umda linux kullanıyordum. (Netbook edition). Geçen hafta Desktop PC’me de Ubuntu 10.10 kurdum ve daha detaylı linux öğrenmeye başladım. Linux’u gerçekten çok sevdim ve alıştım. PHP çalışmalarıma, ve projelerime aşikar olduğum için, linux’ta da pek zorluk çekmedim. Gerekli yazılımları (LAMP server > for tasksel, Netbeans for linux, Quanta Plus vs…) rahatlıkla yükledim ve kullanıyorum. Evimde Microsoft klavyesi hariç hiç bir MS ürünü kalmadı :) Desktop PC’lerimden birine Centos kurdum ve bazı PHP projelerini orada test ediyorum. Sık kullandığım diğer Desktop PC’me Ubuntu kurdum, Netbook’umda zaten Ubuntu vardı. Yani tamamen linux’a geçmiş bulunuyorum. Belki linuxla ilgileneniz varsa bu siteyi duymuşsunuzdur. http://www.whylinuxisbetter.net/index_tr.php?lang=tr linux’un neden daha iyi olduğunu kısa başlıklarla açıklayan güzel bir site. Bakmanızda fayda var derim. :) Özgürlük için linux ;)

Aşağıda listemiş olduğum web uygulumalarında, tipik güvenlik açıkları ve yaptığımız hatalar mevcuttur. (Ben PHP’den ele aldım. Ama diğer dillerde de aynı mantıkla güvenlik açıkları çalışıp, kapatılabilir.)

1.Cross-site scripting (XSS)

XSS açıkları, saldırganın sitesine girilerek, çalışan zararlı kodlardır (javascript). Aşağıda bir örnek verelim. Request ile gelen değeri database’imize kaydettikten sonra, direk ekrana bastığımızı varsayalım.

<?php
   $Kullanici = $_REQUEST["Kullanici"];
   $Mesaj = $_REQUEST["Mesaj"];

   if($Mesaj) {
   DbyeKaydet($Kullanici, $Mesaj);
   echo "$Kullanici - $Mesaj";
 } 

?>
<input type="text" name="Mesaj" value="" />

Burada hiç bir filtreleme fonksiyonu kullanmadık. Formdan ne geliyorsa direk yazdırıyoruz. Bazı html karakterlerini form’dan gönderdiğimizi varsayalım . “<b>Merhaba” diye girdiğimiz stringi ekrana Merhaba olarak basacaktır. (Bold ile). Yani html karakterlerini biz sayfamıza gönderebiliyoruz demektir. Bu durumda salgırgan hazırlamış olduğu javascript kodlarını (cookie sniffer, iframe trojan downloader, vs…) sayfamıza yüklemeye çalışacaktır. Zararlı kod bulunan sayfaya yetkili kullanıcılar girdiği zaman çerez bilgilerini alabilir, PC’ye html yol ile virüs bulaştırabilir vb…

Korunmak için ister kendi fonksiyonumuzu yazarak, zararlı kodları ve kabul edilen html karakterler harici tüm html taglarını sildirebiliriz veya PHP ile birlikte gelen bazı hazır fonksiyonları kullanabiliriz. input_filter extension ile değişkenlerimizi filtreden geçirebiliriz.

2.Cross-site request forgery (CSRF)

Daha önceden de CSRF’den korunma ile ilgili makale yazmıştım. Yine en çok görülen websitelerde ki ortak güvenlik açıklarından biridir. Açık bir çok yerde görülebiliyor. Image src’lerine dışarıdan girilen GET methodu ile kod çalıştırma, veya Form’lardan gelen verilere, veya direk request string’ler kod yazarak uygulanabiliyor. Örnek bir uygulama yapalım. Bir eticaret sistemi kodladınız diyelim. Sepete eklenen ürünleri silme aşamasındasınız. Sepeti silme işleminde direk GET methodu ile alınan değişkene göre kontrol ettirerek, sepeti silme işlemini onaylıyorsunuz diyelim.

http://www.site.com/index.php?Olay=SepetiSil

Bu durumda Olay değişkeninde ki değer “SepetiSil” ise, direk sepeti silme işlemini yaptığınızı varsayalım. Saldırgan bunu sayfaya farklı bir şekilde değişkeni ve değeri yükleyerek işlemi farklı bir şekilde karşı tarafta çalıştırabilir. Sayfaya aşağıdaki image kodunu koyduğunu varsayalım. Browser, Image içindeki src tagını yüklemeye çalışacak, server GET methodunu algılayacak ve bu işlem çalışmış olacak.

<img src="index.php?Olay=SepetiSil" width="0" height="0" />

Sayfaya giren yetkili kişiler (Giriş yapanlar, yetkisi olanlar vs.) aynı sepeti sil işlemini GET methodu ile çalıştırmış gibi arka planda işlemi yapacaktır. Saldırgan, resmin genişlik ve yükseklik değerlerini 0 yaptığı için de, sayfada image görünmeyecek ve sayfaya girenlerin sepeti silinecek.

Korunma yolu da, güvenli çift taraf kontrollü anahtar numaraları üretmektir. Detaylı bilgi için daha önceden yazdığım makaleyi inceyelebilirsiniz.

3.Click-jacking

2010 yılına damgasını vuran, facebook click-jacking ile daha da meşhur olan bir güvenlik açığıdır. Burada mantık şu, saldırgan sayfasına javascript ile zararlı kodları çalıştırıyor. Kodlar Cursor’un ucuna gizli (opacity:0 ile) iframe koyuyor. İframe’in içine tıklanacak veriyi koyuyor. Kurban sayfaya girdiği zaman nereye tıklarsa tıklasın, gizli olarak iframe içerisinde ki, saldırganın hazırladığı yere farkında olmadan tıklıyor. Örnek uygulama için buraya girebilirsiniz.

Korunma yolları için, daha önceden de dediğim gibi verilerinizi db’ye eklemeden önce bazı karakter filtreleme fonksiyonlarından geçirmelisiniz. Örnek veriyorum, ziyaretçi defteri yaptınız. Saldırgan direk  bu zararlı kodları, güvenlik açığı bulunan ziyaretçi sistemi ile yükleyip çalıştırabilir.

4.SQL injection

Web uygulamalarında bilinen en tehlikeli güvenlik açığı türüdür. Bir çok çeşitleri vardır. (Blind, Advanced vb…) Tehlike o kadar büyüktür ki, web sitenizi barındırdığınız sunucu bile tehlikeye girebilir. Sql işlemlerinde (Insert, Update, Select vs…), kodlayıcıların güvenlik hatalarından dolayı çıkan hatalardır. Örnek vermek gerekirse,

$Id = $_GET['Id'];
mysql_query("SELECT * FROM haberler WHERE Id = $Id");

Get methodu ile alınan değer direk sql sorgusunun içine yazılarak sorgu çalıştırılıyor. Saldırgan, değişkene bir string veya integer değer değilde, sql de anlamları olan bir komut yazdığı zaman (UNION, ORDER BY, LIMIT vs…) $Id değişkeninin aldığı değerler değişiyor ve sql sorgusu içerisine giriyor. Bu durumda saldırgan, istediği gibi $Id değişkenine sorgu cümleleri yazıp, diğer tablolara veya kolon üzerindeki bilgilere ulaşabiliyor. Gelişmiş yöntemlerle sql komutları ile server da istediği Shell komutlarını çalıştırabiliyor.

Korunmak için yine php’nin hazır fonksiyonlarından faydalanabiliriz. Üst düzey bir koruma isterseniz, donanımsal firewall’lar, Açık kaynak kodlu server güvenlik sistemleri gibi (mod security) sistemlerden faydalanabilirsiniz. Ama biz ücretsizlerden faydalanalım ;) Php fonksiyonlarından olan mysql_real_escape_string ile güvenli sql sorgusu yazabilirsiniz. Tüm Request stringleri filtrelerden geçirebilirsiniz. (SQL için zararlı karakterler)

5.Shell injection

Sql injection açığı ile serverlarda komut çalıştırılabilir ( system(), exec() gibi). Korunma yolları da sql injection ile hemen hemen aynıdır. Zararlı karakterleri filtreden geçirebilirsiniz.

6.Phishing

Kullanıcıların özel bilgilerini (şifreler, kullanıcı adları, telefon numaraları, kredi kart numaraları), saldırganlar tarafından hazırlanan, bu bilgileri çalmak için kurulan sahte web sayfalarıdır. Domain isimleri, gerçek siteler ile o kadar çok benzer ki, dikkat edilmediği sürece anlaşılmaz. Korunma yöntemleri ise, web sitelerinizin kullanıcı girişlerini mutlaka SSL ile yapın. SSL sertifikası satın alın. SSL ile detaylı bilgi için buraya bakabilirsiniz.

7.Diğer Güvenlik Açıkları

Gelişen teknoloji ile her an, her sistemde farklı bir güvenlik açığı türü keşfedilebiliyor. Bu saydıklarım en bilinenleri ve tehlikeli olanları. Bu yazdıklarım harici bazı bilinen diğer güvenlik açıkları mevcuttur.

• Code injection
• Remote File Inclusion
• Local File Inclusion

Bu makalemde, yazdığınız scripte ki güvenlik açıklarını bir nevi kapatabilirsiniz. Hiç bir sistem %100 güvenli değildir.Onu da söylemek istedim. İlerideki makalelerimde bu başlıkları detaylı olarak inceleyeceğiz örnekler vererek sistemimizi ve scriptimizi korumaya çalışacağız.

İyi Çalışmalar…

Edit: Arkadaşlar link ölü olduğu için Musa ÇAVUŞ’ın daha geniş kapsamlı Jquery ve javascript kitabını buradan yayınlamak istedim.

http://www.seckin.com.tr/kitap/n/385739518/title/web-tasarimcisinin-el-kitabi-musa-cavus.html

Terminatörleri kontrol eden Skynet, 14 yıl önce bilinç kazanmış ve bir anda yaratıcılarına baş kaldırıp habersiz dünyaya nükleer kıyımı getirmiş bir yapay zekâ.

Mahşer Günü’nün geldiğini gören yalnızca bir kişi var. Kaderi, insanlığın kaderiyle bağlantılı olan tek kişi: John Connor (Christian Bale).

Dünya şimdi Connor’un hayatı boyunca uyarıldığı geleceğin eşiğinde. Ama yepyeni bir şey, insanlığın bu savaşta bir şansı olduğuna dair inancını sarstı: bu garip, yeni dünyada uyanmadan önce son hatırladığı, idam sırasını beklemek olan Marcus Wright’ın (Sam Worthington) ortaya çıkışı.
Connor, Marcus’un güvenilir biri olup olmadığına karar vermek zorundadır. Ancak Connor ve Marcus, Direniş’i tamamen bitirmek için yeni stratejiler geliştiren Skynet’in bitmek bilmeyen saldırılarına karşı koyabilmek için ortak bir zeminde durmalı, Skynet’e sızıp düşmanla yüz yüze gelmelidirler.