Merhaba arkadaşlar,

Node.JS’e yeni başladıysanız ve öğrenmek istiyorsanız aşağıdaki kaynaklara bakabilirsiniz. (Kaynaklar İngilizce’dir)

Kaynak-Öğretici Siteler

• Node.js guide
• Node tuts

Videolar

• Introduction to Node.js with Ryan Dahl
• Node.js: Asynchronous Purity Leads to Faster Development
• Parallel Programming with Node.js
• Server-side JavaScript with Node, Connect & Express
  

Kitaplar

• The Node Beginner Book
• Mastering Node.js
• Up and Running with Node.js

Bloglar

• Ryan Dahl’s Node blog
• How To Node
• DailyJS
• Nodejitsu blog

Podcastler

• NodeUp
• Minute with node.js

JavaScript Kaynakları

• Crockford’s videos (Bakmak Gerekir !)
• Essential JavaScript Design Patterns For Beginners
• JavaScript garden
• JavaScript Patterns (Kitap)
• JavaScript: The Good Parts (Kitap)

Node Modülleri

• Wiki List on Github/Joyent/Node (Son olarak buradan başlayın)
• Search for registered node.js modules

Kafanıza takılan soruları sorun, hatalı kodları tartışın. Bildiğiniz sorulara cevap yazın. IT & Yazılım sektöründe Hatasız Kod Olmaz ! :)

Evet, Kodhatasi.com Alpha 3.0 versiyonu ile yayında.

• A Much More Understandable Installer
• The Unity Bar
• Mac-Style Menu Bars
• Universal Keyboard Navigation
• Quick Search Box
• Workspace Switching
• New Software Defaults

Yeni özellikler hakkında detaylı bilgi için

http://lifehacker.com/#!5789405/first-look-at-ubuntu-linux-1104-natty-narwhal-beta”

Yeni sürümü indirmek için buraya tıklayın >

http://www.ubuntu.com/download

Projenin özellikleri aşağıda ki gibidir;

• Load any of the WordPress core libraries such as jQuery, Scriptaculous, Prototype, Thickbox, ect.
• Cufón JavaScript library for font replacement
• sIFR Flash / JavaScript library for font replacement
• SWF Object for embedding flash media on a webpage
• DD Belated PNG fix for IE6
• HTML5 shiv for Internet explorer
• Google Analytics
• Automatically open external links in a new window
• JavaScript required message
• Define the WordPress excerpt length
• Create WordPress menus with the Menu Manager
• Create sidebars
• Create custom taxonomies
• Create custom post types
• Add post formats (WP 3.1)
• Enable feature image thumbnails
• Disable meta boxes on the page and post post-types
• Add image thumbnail size
• Change uploaded image re-sizing quality
• Disable WordPress core updates
• Disable WordPress plugin updates
• Disable TinyMCE auto formatting
• Disable TinyMCE visual editor
• Hide admin menu items
• Hide the admin tool bar ( WP 3.1 )
• Disable dashboard widgets
• Custom login image

Geçen hafta Iphone’umu sattım ve yerine Nexus S aldım. Android’in tadından vazgeçilemiyor :) Aldığım günden itibaren, Android SDK’yı yükledim ve ilk günden ‘Hello World’ u bastım. Aklıma bir kaç oyun gelmişti. PC’ye indirdim ve kurmayı denedim. Aşağıdaki anlatacağın bir kaç işlemden sonra telefonunuza APK dosyalarınızı rahatlıkla kurabilirsiniz.

(LINUX-UBUNTU için anlatıyorum)

İlk olarak Android SDK‘yı indirin. İşletim sisteminize göre indirip kurduktan sonra, adb (Android Debug Bridge) i terminalde çalıştırın. MS Windows için kuracaksanız Google’da basit yazılım arayıp indirin derim. Ben Ubuntu için devam ediyorum. adb yi çalıştırdıktan sonra, telefonunuzdan Settings->Application>Development kısmından, ‘USB debugging‘ özelliği açın. adb yi terminalden çalıştırdıktan sonra ‘adb kill-server‘ ile çalışan server uygulamalarını kapatın, ‘adb start-server‘ ile yeni server başlatın. ‘adb devices‘ ile de telefonunuzu PC’ye tanımlayın. Orada device name olarak telefonunuzun serial numarası çıkacaktır. Sonra ‘adb install <uygulama_klasor_yolu>.apk‘ diyerek uygulamayı telefonunuza yükleyebilirsiniz. adb-devices ile tanımlarken bezen ‘no-permission‘ uyarısı verebilir. O zaman terminalde root girişi yaparak deneyebilirsiniz. Bu şekilde APK uygulamalarını telefonunuza yükleyebilirsiniz.

İyi çalışmalar ;)

Yaklaşık 4-5 aydır netbook’umda linux kullanıyordum. (Netbook edition). Geçen hafta Desktop PC’me de Ubuntu 10.10 kurdum ve daha detaylı linux öğrenmeye başladım. Linux’u gerçekten çok sevdim ve alıştım. PHP çalışmalarıma, ve projelerime aşikar olduğum için, linux’ta da pek zorluk çekmedim. Gerekli yazılımları (LAMP server > for tasksel, Netbeans for linux, Quanta Plus vs…) rahatlıkla yükledim ve kullanıyorum. Evimde Microsoft klavyesi hariç hiç bir MS ürünü kalmadı :) Desktop PC’lerimden birine Centos kurdum ve bazı PHP projelerini orada test ediyorum. Sık kullandığım diğer Desktop PC’me Ubuntu kurdum, Netbook’umda zaten Ubuntu vardı. Yani tamamen linux’a geçmiş bulunuyorum. Belki linuxla ilgileneniz varsa bu siteyi duymuşsunuzdur. http://www.whylinuxisbetter.net/index_tr.php?lang=tr linux’un neden daha iyi olduğunu kısa başlıklarla açıklayan güzel bir site. Bakmanızda fayda var derim. :) Özgürlük için linux ;)

• print yerine echo kullanınız. Echo print’ten daha hızlıdır.
• Array’lerde > $deger['sutun'] $deger[sutun]‘dan daha hızlıdır.
• <? yerine <?php kullanın.
• if/else yerine switch/case kullanmaya çalışın.
• Kesinlikle SQL sorgularınızı döngüler içine yazmayın.
• Sql sorgunuzu tek seferde çalıştırıp, arrayler üzerinde işlemler yapın.
• Değişkenlerinizi kopyalamayın. Direk üzerinde işlem yapın. ($Veri = $GelenVeri gibi…)
• Kullanmayacağınız php eklentilerinizi php.ini den pasif yapın.
• PHP’nizi ve server’ınızda ki component’lerinizi güncel tutun.
• Verilerinizi ve tüm sayfalarınızı istemcilere sıkıştırarak gönderin. (Bknz. Gzip ile bandwidth düşürme )
• Yüksek bir sunucu yükünüz varsa mutlaka
  • eAccelerator
  • MemCached
  • Yazılım tabanlı caching mekanızmaları.[Framework'ler] (CodeIgniter, Zend vs…)
• Yine sunucu yükünüz aşırı fazla ise PHP’nin session fonksiyonunu pek kullanmayın. Verilerinizi Memory‘de veya istemcilerin cookie‘sine tutabilirsiniz.
• Yine aşırı yüklerle uğraşıyorsanız, Apache server yerine Nginx server veya LightHttpd kullanabilirsiniz. Sunucu karşılaştırmaları için buraya bakabilirsiniz.
• Değişkenleriniz ve arrayleriniz ile işiniz bittikten sonra unset ile Memory’den silin.
• require_once() fonksiyonu diğer include fonksiyonlarından daha yavaş çalışır.
• str_replace, preg_replace‘den daha hızlı çalışır.
• Apache’nin mod_deflate özelliğini açın.
• DB ile işlemleriniz bittikten sonra bağlantıyı kapatın.
• Hata ayıklamak için error_reporting (E_ALL ) kullanın.
• Statik içerikler için, hızlı dosya serverları kullanın (thttpd) [img.sitem.com, js.sitem.com vs...]

Sizinde php ve sunucu performansı ile ilgili bildiğiniz mini ipuçlarınızı yazabilirsiniz.

Kaynak:

• Kodaman
• Kodaman2
• Kodaman3
• Chazzuka

Aşağıda listemiş olduğum web uygulumalarında, tipik güvenlik açıkları ve yaptığımız hatalar mevcuttur. (Ben PHP’den ele aldım. Ama diğer dillerde de aynı mantıkla güvenlik açıkları çalışıp, kapatılabilir.)

1.Cross-site scripting (XSS)

XSS açıkları, saldırganın sitesine girilerek, çalışan zararlı kodlardır (javascript). Aşağıda bir örnek verelim. Request ile gelen değeri database’imize kaydettikten sonra, direk ekrana bastığımızı varsayalım.

<?php
   $Kullanici = $_REQUEST["Kullanici"];
   $Mesaj = $_REQUEST["Mesaj"];

   if($Mesaj) {
   DbyeKaydet($Kullanici, $Mesaj);
   echo "$Kullanici - $Mesaj";
 } 

?>
<input type="text" name="Mesaj" value="" />

Burada hiç bir filtreleme fonksiyonu kullanmadık. Formdan ne geliyorsa direk yazdırıyoruz. Bazı html karakterlerini form’dan gönderdiğimizi varsayalım . “<b>Merhaba” diye girdiğimiz stringi ekrana Merhaba olarak basacaktır. (Bold ile). Yani html karakterlerini biz sayfamıza gönderebiliyoruz demektir. Bu durumda salgırgan hazırlamış olduğu javascript kodlarını (cookie sniffer, iframe trojan downloader, vs…) sayfamıza yüklemeye çalışacaktır. Zararlı kod bulunan sayfaya yetkili kullanıcılar girdiği zaman çerez bilgilerini alabilir, PC’ye html yol ile virüs bulaştırabilir vb…

Korunmak için ister kendi fonksiyonumuzu yazarak, zararlı kodları ve kabul edilen html karakterler harici tüm html taglarını sildirebiliriz veya PHP ile birlikte gelen bazı hazır fonksiyonları kullanabiliriz. input_filter extension ile değişkenlerimizi filtreden geçirebiliriz.

2.Cross-site request forgery (CSRF)

Daha önceden de CSRF’den korunma ile ilgili makale yazmıştım. Yine en çok görülen websitelerde ki ortak güvenlik açıklarından biridir. Açık bir çok yerde görülebiliyor. Image src’lerine dışarıdan girilen GET methodu ile kod çalıştırma, veya Form’lardan gelen verilere, veya direk request string’ler kod yazarak uygulanabiliyor. Örnek bir uygulama yapalım. Bir eticaret sistemi kodladınız diyelim. Sepete eklenen ürünleri silme aşamasındasınız. Sepeti silme işleminde direk GET methodu ile alınan değişkene göre kontrol ettirerek, sepeti silme işlemini onaylıyorsunuz diyelim.

http://www.site.com/index.php?Olay=SepetiSil

Bu durumda Olay değişkeninde ki değer “SepetiSil” ise, direk sepeti silme işlemini yaptığınızı varsayalım. Saldırgan bunu sayfaya farklı bir şekilde değişkeni ve değeri yükleyerek işlemi farklı bir şekilde karşı tarafta çalıştırabilir. Sayfaya aşağıdaki image kodunu koyduğunu varsayalım. Browser, Image içindeki src tagını yüklemeye çalışacak, server GET methodunu algılayacak ve bu işlem çalışmış olacak.

<img src="index.php?Olay=SepetiSil" width="0" height="0" />

Sayfaya giren yetkili kişiler (Giriş yapanlar, yetkisi olanlar vs.) aynı sepeti sil işlemini GET methodu ile çalıştırmış gibi arka planda işlemi yapacaktır. Saldırgan, resmin genişlik ve yükseklik değerlerini 0 yaptığı için de, sayfada image görünmeyecek ve sayfaya girenlerin sepeti silinecek.

Korunma yolu da, güvenli çift taraf kontrollü anahtar numaraları üretmektir. Detaylı bilgi için daha önceden yazdığım makaleyi inceyelebilirsiniz.

3.Click-jacking

2010 yılına damgasını vuran, facebook click-jacking ile daha da meşhur olan bir güvenlik açığıdır. Burada mantık şu, saldırgan sayfasına javascript ile zararlı kodları çalıştırıyor. Kodlar Cursor’un ucuna gizli (opacity:0 ile) iframe koyuyor. İframe’in içine tıklanacak veriyi koyuyor. Kurban sayfaya girdiği zaman nereye tıklarsa tıklasın, gizli olarak iframe içerisinde ki, saldırganın hazırladığı yere farkında olmadan tıklıyor. Örnek uygulama için buraya girebilirsiniz.

Korunma yolları için, daha önceden de dediğim gibi verilerinizi db’ye eklemeden önce bazı karakter filtreleme fonksiyonlarından geçirmelisiniz. Örnek veriyorum, ziyaretçi defteri yaptınız. Saldırgan direk  bu zararlı kodları, güvenlik açığı bulunan ziyaretçi sistemi ile yükleyip çalıştırabilir.

4.SQL injection

Web uygulamalarında bilinen en tehlikeli güvenlik açığı türüdür. Bir çok çeşitleri vardır. (Blind, Advanced vb…) Tehlike o kadar büyüktür ki, web sitenizi barındırdığınız sunucu bile tehlikeye girebilir. Sql işlemlerinde (Insert, Update, Select vs…), kodlayıcıların güvenlik hatalarından dolayı çıkan hatalardır. Örnek vermek gerekirse,

$Id = $_GET['Id'];
mysql_query("SELECT * FROM haberler WHERE Id = $Id");

Get methodu ile alınan değer direk sql sorgusunun içine yazılarak sorgu çalıştırılıyor. Saldırgan, değişkene bir string veya integer değer değilde, sql de anlamları olan bir komut yazdığı zaman (UNION, ORDER BY, LIMIT vs…) $Id değişkeninin aldığı değerler değişiyor ve sql sorgusu içerisine giriyor. Bu durumda saldırgan, istediği gibi $Id değişkenine sorgu cümleleri yazıp, diğer tablolara veya kolon üzerindeki bilgilere ulaşabiliyor. Gelişmiş yöntemlerle sql komutları ile server da istediği Shell komutlarını çalıştırabiliyor.

Korunmak için yine php’nin hazır fonksiyonlarından faydalanabiliriz. Üst düzey bir koruma isterseniz, donanımsal firewall’lar, Açık kaynak kodlu server güvenlik sistemleri gibi (mod security) sistemlerden faydalanabilirsiniz. Ama biz ücretsizlerden faydalanalım ;) Php fonksiyonlarından olan mysql_real_escape_string ile güvenli sql sorgusu yazabilirsiniz. Tüm Request stringleri filtrelerden geçirebilirsiniz. (SQL için zararlı karakterler)

5.Shell injection

Sql injection açığı ile serverlarda komut çalıştırılabilir ( system(), exec() gibi). Korunma yolları da sql injection ile hemen hemen aynıdır. Zararlı karakterleri filtreden geçirebilirsiniz.

6.Phishing

Kullanıcıların özel bilgilerini (şifreler, kullanıcı adları, telefon numaraları, kredi kart numaraları), saldırganlar tarafından hazırlanan, bu bilgileri çalmak için kurulan sahte web sayfalarıdır. Domain isimleri, gerçek siteler ile o kadar çok benzer ki, dikkat edilmediği sürece anlaşılmaz. Korunma yöntemleri ise, web sitelerinizin kullanıcı girişlerini mutlaka SSL ile yapın. SSL sertifikası satın alın. SSL ile detaylı bilgi için buraya bakabilirsiniz.

7.Diğer Güvenlik Açıkları

Gelişen teknoloji ile her an, her sistemde farklı bir güvenlik açığı türü keşfedilebiliyor. Bu saydıklarım en bilinenleri ve tehlikeli olanları. Bu yazdıklarım harici bazı bilinen diğer güvenlik açıkları mevcuttur.

• Code injection
• Remote File Inclusion
• Local File Inclusion

Bu makalemde, yazdığınız scripte ki güvenlik açıklarını bir nevi kapatabilirsiniz. Hiç bir sistem %100 güvenli değildir.Onu da söylemek istedim. İlerideki makalelerimde bu başlıkları detaylı olarak inceleyeceğiz örnekler vererek sistemimizi ve scriptimizi korumaya çalışacağız.

İyi Çalışmalar…

Seçilen diskin serial numarasını veren bir class buldum. Biraz değiştirerek, sistemde bulunan flash bellekleri filtreleyerek, seçilen diskin serial numarasını ekrana mesaj olarak veren küçük bir kod yazdım. Faydalı olabilir.

(Referans olarak Management, IO, class olarak USBDriveSerialNumber kullandım)

İndir