• A Much More Understandable Installer
• The Unity Bar
• Mac-Style Menu Bars
• Universal Keyboard Navigation
• Quick Search Box
• Workspace Switching
• New Software Defaults

Yeni özellikler hakkında detaylı bilgi için

http://lifehacker.com/#!5789405/first-look-at-ubuntu-linux-1104-natty-narwhal-beta”

Yeni sürümü indirmek için buraya tıklayın >

http://www.ubuntu.com/download

Projenin özellikleri aşağıda ki gibidir;

• Load any of the WordPress core libraries such as jQuery, Scriptaculous, Prototype, Thickbox, ect.
• Cufón JavaScript library for font replacement
• sIFR Flash / JavaScript library for font replacement
• SWF Object for embedding flash media on a webpage
• DD Belated PNG fix for IE6
• HTML5 shiv for Internet explorer
• Google Analytics
• Automatically open external links in a new window
• JavaScript required message
• Define the WordPress excerpt length
• Create WordPress menus with the Menu Manager
• Create sidebars
• Create custom taxonomies
• Create custom post types
• Add post formats (WP 3.1)
• Enable feature image thumbnails
• Disable meta boxes on the page and post post-types
• Add image thumbnail size
• Change uploaded image re-sizing quality
• Disable WordPress core updates
• Disable WordPress plugin updates
• Disable TinyMCE auto formatting
• Disable TinyMCE visual editor
• Hide admin menu items
• Hide the admin tool bar ( WP 3.1 )
• Disable dashboard widgets
• Custom login image

Geçen hafta Iphone’umu sattım ve yerine Nexus S aldım. Android’in tadından vazgeçilemiyor :) Aldığım günden itibaren, Android SDK’yı yükledim ve ilk günden ‘Hello World’ u bastım. Aklıma bir kaç oyun gelmişti. PC’ye indirdim ve kurmayı denedim. Aşağıdaki anlatacağın bir kaç işlemden sonra telefonunuza APK dosyalarınızı rahatlıkla kurabilirsiniz.

(LINUX-UBUNTU için anlatıyorum)

İlk olarak Android SDK‘yı indirin. İşletim sisteminize göre indirip kurduktan sonra, adb (Android Debug Bridge) i terminalde çalıştırın. MS Windows için kuracaksanız Google’da basit yazılım arayıp indirin derim. Ben Ubuntu için devam ediyorum. adb yi çalıştırdıktan sonra, telefonunuzdan Settings->Application>Development kısmından, ‘USB debugging‘ özelliği açın. adb yi terminalden çalıştırdıktan sonra ‘adb kill-server‘ ile çalışan server uygulamalarını kapatın, ‘adb start-server‘ ile yeni server başlatın. ‘adb devices‘ ile de telefonunuzu PC’ye tanımlayın. Orada device name olarak telefonunuzun serial numarası çıkacaktır. Sonra ‘adb install <uygulama_klasor_yolu>.apk‘ diyerek uygulamayı telefonunuza yükleyebilirsiniz. adb-devices ile tanımlarken bezen ‘no-permission‘ uyarısı verebilir. O zaman terminalde root girişi yaparak deneyebilirsiniz. Bu şekilde APK uygulamalarını telefonunuza yükleyebilirsiniz.

İyi çalışmalar ;)

Kullandığım  ve sizlere de önerdiğim bir kaç websiteler, online web araçları var. 1. parti olarak burada sizlerde paylaşmak istedim. [Devamı gelecek...] (Önerdiğim siteleri, bold yaptım.)

• 11 Adet transparan arkaplan yapacağınız web siteleri.
• Transparan web siteleri
• Adım adım jquery öğrenme web siteleri
• Tüm tarayıcılar için CSS düzeltici
• Grafikler oluşturabileceğiniz web sitesi
• İlginç etiket bulut sitesi
• QWiki > Wikipedia benzeri, konuşan, sliderlı çok güzel bir site
• Web 1.0, Web 2.0, Web 3.0
• Güncel web makaleleri

• print yerine echo kullanınız. Echo print’ten daha hızlıdır.
• Array’lerde > $deger['sutun'] $deger[sutun]‘dan daha hızlıdır.
• <? yerine <?php kullanın.
• if/else yerine switch/case kullanmaya çalışın.
• Kesinlikle SQL sorgularınızı döngüler içine yazmayın.
• Sql sorgunuzu tek seferde çalıştırıp, arrayler üzerinde işlemler yapın.
• Değişkenlerinizi kopyalamayın. Direk üzerinde işlem yapın. ($Veri = $GelenVeri gibi…)
• Kullanmayacağınız php eklentilerinizi php.ini den pasif yapın.
• PHP’nizi ve server’ınızda ki component’lerinizi güncel tutun.
• Verilerinizi ve tüm sayfalarınızı istemcilere sıkıştırarak gönderin. (Bknz. Gzip ile bandwidth düşürme )
• Yüksek bir sunucu yükünüz varsa mutlaka
  • eAccelerator
  • MemCached
  • Yazılım tabanlı caching mekanızmaları.[Framework'ler] (CodeIgniter, Zend vs…)
• Yine sunucu yükünüz aşırı fazla ise PHP’nin session fonksiyonunu pek kullanmayın. Verilerinizi Memory‘de veya istemcilerin cookie‘sine tutabilirsiniz.
• Yine aşırı yüklerle uğraşıyorsanız, Apache server yerine Nginx server veya LightHttpd kullanabilirsiniz. Sunucu karşılaştırmaları için buraya bakabilirsiniz.
• Değişkenleriniz ve arrayleriniz ile işiniz bittikten sonra unset ile Memory’den silin.
• require_once() fonksiyonu diğer include fonksiyonlarından daha yavaş çalışır.
• str_replace, preg_replace‘den daha hızlı çalışır.
• Apache’nin mod_deflate özelliğini açın.
• DB ile işlemleriniz bittikten sonra bağlantıyı kapatın.
• Hata ayıklamak için error_reporting (E_ALL ) kullanın.
• Statik içerikler için, hızlı dosya serverları kullanın (thttpd) [img.sitem.com, js.sitem.com vs...]

Sizinde php ve sunucu performansı ile ilgili bildiğiniz mini ipuçlarınızı yazabilirsiniz.

Kaynak:

• Kodaman
• Kodaman2
• Kodaman3
• Chazzuka

Aşağıda listemiş olduğum web uygulumalarında, tipik güvenlik açıkları ve yaptığımız hatalar mevcuttur. (Ben PHP’den ele aldım. Ama diğer dillerde de aynı mantıkla güvenlik açıkları çalışıp, kapatılabilir.)

1.Cross-site scripting (XSS)

XSS açıkları, saldırganın sitesine girilerek, çalışan zararlı kodlardır (javascript). Aşağıda bir örnek verelim. Request ile gelen değeri database’imize kaydettikten sonra, direk ekrana bastığımızı varsayalım.

<?php
   $Kullanici = $_REQUEST["Kullanici"];
   $Mesaj = $_REQUEST["Mesaj"];

   if($Mesaj) {
   DbyeKaydet($Kullanici, $Mesaj);
   echo "$Kullanici - $Mesaj";
 } 

?>
<input type="text" name="Mesaj" value="" />

Burada hiç bir filtreleme fonksiyonu kullanmadık. Formdan ne geliyorsa direk yazdırıyoruz. Bazı html karakterlerini form’dan gönderdiğimizi varsayalım . “<b>Merhaba” diye girdiğimiz stringi ekrana Merhaba olarak basacaktır. (Bold ile). Yani html karakterlerini biz sayfamıza gönderebiliyoruz demektir. Bu durumda salgırgan hazırlamış olduğu javascript kodlarını (cookie sniffer, iframe trojan downloader, vs…) sayfamıza yüklemeye çalışacaktır. Zararlı kod bulunan sayfaya yetkili kullanıcılar girdiği zaman çerez bilgilerini alabilir, PC’ye html yol ile virüs bulaştırabilir vb…

Korunmak için ister kendi fonksiyonumuzu yazarak, zararlı kodları ve kabul edilen html karakterler harici tüm html taglarını sildirebiliriz veya PHP ile birlikte gelen bazı hazır fonksiyonları kullanabiliriz. input_filter extension ile değişkenlerimizi filtreden geçirebiliriz.

2.Cross-site request forgery (CSRF)

Daha önceden de CSRF’den korunma ile ilgili makale yazmıştım. Yine en çok görülen websitelerde ki ortak güvenlik açıklarından biridir. Açık bir çok yerde görülebiliyor. Image src’lerine dışarıdan girilen GET methodu ile kod çalıştırma, veya Form’lardan gelen verilere, veya direk request string’ler kod yazarak uygulanabiliyor. Örnek bir uygulama yapalım. Bir eticaret sistemi kodladınız diyelim. Sepete eklenen ürünleri silme aşamasındasınız. Sepeti silme işleminde direk GET methodu ile alınan değişkene göre kontrol ettirerek, sepeti silme işlemini onaylıyorsunuz diyelim.

http://www.site.com/index.php?Olay=SepetiSil

Bu durumda Olay değişkeninde ki değer “SepetiSil” ise, direk sepeti silme işlemini yaptığınızı varsayalım. Saldırgan bunu sayfaya farklı bir şekilde değişkeni ve değeri yükleyerek işlemi farklı bir şekilde karşı tarafta çalıştırabilir. Sayfaya aşağıdaki image kodunu koyduğunu varsayalım. Browser, Image içindeki src tagını yüklemeye çalışacak, server GET methodunu algılayacak ve bu işlem çalışmış olacak.

<img src="index.php?Olay=SepetiSil" width="0" height="0" />

Sayfaya giren yetkili kişiler (Giriş yapanlar, yetkisi olanlar vs.) aynı sepeti sil işlemini GET methodu ile çalıştırmış gibi arka planda işlemi yapacaktır. Saldırgan, resmin genişlik ve yükseklik değerlerini 0 yaptığı için de, sayfada image görünmeyecek ve sayfaya girenlerin sepeti silinecek.

Korunma yolu da, güvenli çift taraf kontrollü anahtar numaraları üretmektir. Detaylı bilgi için daha önceden yazdığım makaleyi inceyelebilirsiniz.

3.Click-jacking

2010 yılına damgasını vuran, facebook click-jacking ile daha da meşhur olan bir güvenlik açığıdır. Burada mantık şu, saldırgan sayfasına javascript ile zararlı kodları çalıştırıyor. Kodlar Cursor’un ucuna gizli (opacity:0 ile) iframe koyuyor. İframe’in içine tıklanacak veriyi koyuyor. Kurban sayfaya girdiği zaman nereye tıklarsa tıklasın, gizli olarak iframe içerisinde ki, saldırganın hazırladığı yere farkında olmadan tıklıyor. Örnek uygulama için buraya girebilirsiniz.

Korunma yolları için, daha önceden de dediğim gibi verilerinizi db’ye eklemeden önce bazı karakter filtreleme fonksiyonlarından geçirmelisiniz. Örnek veriyorum, ziyaretçi defteri yaptınız. Saldırgan direk  bu zararlı kodları, güvenlik açığı bulunan ziyaretçi sistemi ile yükleyip çalıştırabilir.

4.SQL injection

Web uygulamalarında bilinen en tehlikeli güvenlik açığı türüdür. Bir çok çeşitleri vardır. (Blind, Advanced vb…) Tehlike o kadar büyüktür ki, web sitenizi barındırdığınız sunucu bile tehlikeye girebilir. Sql işlemlerinde (Insert, Update, Select vs…), kodlayıcıların güvenlik hatalarından dolayı çıkan hatalardır. Örnek vermek gerekirse,

$Id = $_GET['Id'];
mysql_query("SELECT * FROM haberler WHERE Id = $Id");

Get methodu ile alınan değer direk sql sorgusunun içine yazılarak sorgu çalıştırılıyor. Saldırgan, değişkene bir string veya integer değer değilde, sql de anlamları olan bir komut yazdığı zaman (UNION, ORDER BY, LIMIT vs…) $Id değişkeninin aldığı değerler değişiyor ve sql sorgusu içerisine giriyor. Bu durumda saldırgan, istediği gibi $Id değişkenine sorgu cümleleri yazıp, diğer tablolara veya kolon üzerindeki bilgilere ulaşabiliyor. Gelişmiş yöntemlerle sql komutları ile server da istediği Shell komutlarını çalıştırabiliyor.

Korunmak için yine php’nin hazır fonksiyonlarından faydalanabiliriz. Üst düzey bir koruma isterseniz, donanımsal firewall’lar, Açık kaynak kodlu server güvenlik sistemleri gibi (mod security) sistemlerden faydalanabilirsiniz. Ama biz ücretsizlerden faydalanalım ;) Php fonksiyonlarından olan mysql_real_escape_string ile güvenli sql sorgusu yazabilirsiniz. Tüm Request stringleri filtrelerden geçirebilirsiniz. (SQL için zararlı karakterler)

5.Shell injection

Sql injection açığı ile serverlarda komut çalıştırılabilir ( system(), exec() gibi). Korunma yolları da sql injection ile hemen hemen aynıdır. Zararlı karakterleri filtreden geçirebilirsiniz.

6.Phishing

Kullanıcıların özel bilgilerini (şifreler, kullanıcı adları, telefon numaraları, kredi kart numaraları), saldırganlar tarafından hazırlanan, bu bilgileri çalmak için kurulan sahte web sayfalarıdır. Domain isimleri, gerçek siteler ile o kadar çok benzer ki, dikkat edilmediği sürece anlaşılmaz. Korunma yöntemleri ise, web sitelerinizin kullanıcı girişlerini mutlaka SSL ile yapın. SSL sertifikası satın alın. SSL ile detaylı bilgi için buraya bakabilirsiniz.

7.Diğer Güvenlik Açıkları

Gelişen teknoloji ile her an, her sistemde farklı bir güvenlik açığı türü keşfedilebiliyor. Bu saydıklarım en bilinenleri ve tehlikeli olanları. Bu yazdıklarım harici bazı bilinen diğer güvenlik açıkları mevcuttur.

• Code injection
• Remote File Inclusion
• Local File Inclusion

Bu makalemde, yazdığınız scripte ki güvenlik açıklarını bir nevi kapatabilirsiniz. Hiç bir sistem %100 güvenli değildir.Onu da söylemek istedim. İlerideki makalelerimde bu başlıkları detaylı olarak inceleyeceğiz örnekler vererek sistemimizi ve scriptimizi korumaya çalışacağız.

İyi Çalışmalar…

Seçilen diskin serial numarasını veren bir class buldum. Biraz değiştirerek, sistemde bulunan flash bellekleri filtreleyerek, seçilen diskin serial numarasını ekrana mesaj olarak veren küçük bir kod yazdım. Faydalı olabilir.

(Referans olarak Management, IO, class olarak USBDriveSerialNumber kullandım)

İndir

Merhaba arkadaşlar,
Farklı bir makale ile karşınızdayım. Son zamanlarda adını sıkça duyuran bir konu. Siber terör.
Nedir bu siber terör? Nasıl olur ? Siber teröristler neler yaparlar-yapabilirler ? gibi soruları cevaplamaya çalışacam.

Teknoloji ve internet o kadar gelişti ki, interneti günümüzün her alanında kullanıyoruz.
İş görüşmelerinde maillerimizi kullanıyoruz, alışveriş yapacağımız zaman e-ticareti kullanıyoruz, sosyal medya araçları ile, (twitter, facebook vs.) arkadaşlarımızla görüşüyor, kısa mesajlar yazıyoruz. İnternet bankacılığını kullanarak, borçlarımızı, faturalarımızı ödüyoruz, e-devlet kapısından yine aynı şekilde bilgilerimize bakabiliyor, güncelleyebiliyoruz, şehirdışı ve yurtdışı uçuşlarımız için online olarak bilet alabiliyoruz vs. vs…
Çok uzatabiliriz. İnternet o kadar hayatımızla bütünleşmiş ki, her yerde ona ihtiyaç duyuyoruz.

Peki 1 günümüzün internetsiz olduğunu düşünelim ? Neler olurdu sizce ?
En büyük sistemlerden başlayalım isterseniz. Banka sistemleri ve finansal firmalardan hiç bir işlem yapılamazdı. Uçak’larda kullanılan radarlar ve hava durumu rapor sistemlerinin bağlantıları kesilirdı, uçuşlar yapılamazdı. E-Devlet ve yargıtay’da kullanılan tüm sistemler kullanılamaz olurdu. E-ticaret’ten parasını kazanan büyükten küçüğe tüm firmalar zarara uğrardı. Hastane otomasyon sistemleri kitlenir, yapılan ve yapılacak işlemlerin hepsi askıda kalırdı. İnternet ile uğraşan herkes, bu zararı görürdü.

Bu kullandığımız internet karşımıza silah olarak çıksa ne olurdu ? Yani silah olarak kullanan teröristler olsa…

Siber teröristler bilgisayarları, bilgisayar sistemlerini, interneti kullanarak yapacağı bu terör eylemleri ile, bir ülkenin ekonomisini derinden etkileyebilirler. Oldukça büyük maddi zararlar doğurabilirler.

Teknoloji geliştikçe internet, hayatımızın her noktasına giriyor. Okulda, iş yerlerinde, otobüslerde, uçaklarda vs…
Telekom şirketleri, hosting firmaları ve datacenterlar. Bu internet trafiğini korumak ve güvenli hale getirmek için binlerce dolarlık yazılımları, cihazları kullanıyorlar. Türkiye’de malesef dışa bağımlılığımız teknoloji ve internet’te de var. Şuan da çoğu banka sistemleri, devlet kurumları yurt dışından alınmış cihazlarla korunuyor. (cihazların isimlerini biliyorsunuz ztn, fortinetin fortigate’i, israil’li bir firma üretimi olan checkpoint vs. vs..).

Olası bir siber saldırıda, tehlike oranımız malesef yüksek durumda. En basitinden ürünlerimizin (yazılımlar, firewalllar vs.) çoğu yurt dışından alınıyor. Bu çok üzücü bir şey tabi ki. Türünün tek örneği olan “Stuxnet” adlı virüsün, İran’ın nükleer sistemlerini kontrol etmek amaçlı yazılan bir bilgisayar virüsünü duyduk.

Haberlerde duyuyoruz. İşte hackerlar milyon dolarları çaldılar, hackerlar banka soydu… Bir siber terör’de bu gibi işlemler küçük kalır.

Siber teröristler ciddi bir şekilde hazırlanmış ve yeterli alt yapıları varsa bir ülkenin;

• Uydu sistemlerini kontrol edebilir ,insansız hava uçaklarını, radarları, hatta füzeleri bile ele geçirebilirler,
• TV, radyo kanallarını sağlayıcı sistemlerini kontrol edebilirler,
• GPS uydu sistemlerini devre dışı bırakabilirler,
• Askeri sistemlerin kullandığı bazı sistemleri kontrol edebilirler,
• İnternet omurgasına vereceği zararlar saymakla bitmez,
• Borsa ve finansal firmaları vururlar,
• Tüm online hizmet veren şirketlerin, kurumların, firmaların maddi zararları milyon dolarları bulur…
• vs. vs…

Siber tehditlerin en çok rastlandığı ülkemizde bir an önce güvenliğin alınması ve eğitimlerin yaygınlaştırılması gereklidir.

Seyfullah KILIÇ

Netten Jquery ile google’dan veri arama örneği buldum. Çok hoş olmuş. Örneğe buradan, dosyalara da buradan erişebilirsiniz.