Öncelikle bu güvenlik sorunu, hem kullanıcıya hem siteye yönelik dolayısıyla site geliştirmiyorsanız bile bilginizin olması gereken birşey. Nitekim çalınacak hesap sizin hesabınız veya hesabın çalınacağı kullanıcı sizin kullanıcınız.
CSRF, Crosssite Remote Forging (sitelerarası uzaktan işleme) açığı, XSS ile benzerlik gösterse önemli bir farklılık taşıyor. Bu sefer sorun sizin siteniz değil, kullanıcı güvenilmeyen bir siteye girdiğinde, sizin sitenizdeki bilgilerinin çalınabilmesi. Bu da XSS’i tersten düşünmeniz demek, çünkü saldırgan site, bu sefer bütün Ajax, Script Proxy, vb olanaklarını serbestçe kullanıp sizin değer verdiğiniz kullanıcınızın bilgisini alabilecek.
Özellikle büyük kullanıcı tabanlı sistemleri çalıştıranların okumasını öneririm nitekim daha yenice meksikada bir bankanın müşterileri oldukça zarar gördü, milyonlarda e-bay kullanıcısının hesapları değiştirildi ve gmail’in alanadı servisini kullananların hesapları ele geçirildi. Şimdi soru, saldırı nasıl yapılıyor ve sitenizi bundan nasıl kurtarabilirsiniz, fakat ingilizce bilen kullanıcılar için, yazının sonlarındaki ‘Nasıl engelleriz‘ başlığı hariç, wikipedia’dan okumanızı öneririm. Zira orada anlatıldığı gibi Form Token çözüm değil, devam edelim.
Devamı »
Cuma, 31 Ekim 2008 | Etiketler: csrf, Güvenlik, PHP, security | Kategori: Güvenlik, PHP | Yorum yaz
Kohana‘yı, Bir süre önce, blogdan bir arkadaş Code Igniter yerine önermişti ve incelememi istemişti. Boş
zamanlarımda giriştiğim büyük bir projede, Zend’i kullanmaya başlamıştım fakat zaman problemi nedeniyle başladığım projenin quickstart’ını bir de Kohana’da yapmaya karar verdim. Bu kararımda Code Igniter’a bir sempati duymam da var tabii, nitekim CI, ZF kadar güçlü araçlar vermese de genişletilmesi çok kolay ve hızlı yapı sunmakta. Ve, söylenildiği gibi, Kohana’da her ne kadar herşey baştan yazsa da CI’yın bütün iyi tarafları korunmuş -üstelik fazlası da var. Fakat bu yazıda uygulamadan örnekleri değil, sadece aracı ve benzer araçlardan farklılıklarını tanıtacağım.
Devamı »
Çarşamba, 29 Ekim 2008 | Etiketler: php kohana framework codeigniter zf | Kategori: Code Igniter, Framework, PHP | Yorumlar (6)
Serinin bir önceki yazısında tümleşik yapı kalıbını anlatmıştık, kaldığımız yerden yani tümleşik yapı kalıbının ( Adjancy List Model ) limitlerini aşan, İç İçe Yerleşim Kalıbına (nested set model) geçiyoruz.
Makalenin diğer adı, iç içe yerleşim kalıbı (Nested Set Model) Devamı »
Cuma, 3 Ekim 2008 | Etiketler: data, SQL | Kategori: SQL, İyileştirme / Performans | Yorumlar (7)
Zaten dikkatli olan herkes farketmiştir, Google Chrome isminde yeni bir web tarayıcısı duyurdu. Sanıyorum aynı zamanda herkes bu tarayıcı indirip bir denemiştir. Ben minimalizm hayranı olarak harika buldum. Lynx’den sonra, şimdiye kadar yapılmış web tarayıcılarının en estetiği, en güzeli geldi.
Neyse, estetiği ve özelliklerini zaten siz görür, takdir edersiniz yada etmezsiniz. Ben daha çok altyapısıyla ilgili biraz bilgi vermek istiyorum, çünkü bu tarayıcının iddia ettiği gibi, gelmiş geçmiş bütün tarayıcılardan ( lynx hariç ;-) temelde bir tarayıcıyı iyi veya kötü yapan hızlı, güvenilir ve sağlam olmasının gerçekten elle tutulur sebepleri var. Sayalım,
Devamı »
Cuma, 5 Eylül 2008 | Kategori: 3rd Party, Tarayıcılar | Yorumlar (1)
Google gittikçe iletişim dünyasına ağırlık vermeye başladı. Haritalar, ‘Google Telefonu’ ve şimdi de Chrome isimli bir web tarayıcısı çıkardı. Bir tarayıcının iletişimle ilgisi nedir diye soracak olan varsa, ben internetin bir kitle yayın aracı ve bir yazılı/görsel ortam oluşundan öte, günümüzde toplamsal iletişim için en etkin platform olduğunu savunanlardanım. Yani bana göre internet ‘yeni medya’ nın da çok ötesinde. Reklam aracı olarak düşünenler için, reklam artık herşeye yapışıyor ve yapıştığı herşeyle bir çeşit ortak-yaşam kuruyor. Bu da pek iyiye yoramadığım bir şey. Neyse konuya daha girmeden dağıtmayı başardım!. Bu başka bir yazının konusu olsun..
Devamı »
Çarşamba, 3 Eylül 2008 | Kategori: Diğer | Yorumlar (7)
Belki ben çok geç farkettim, belki de FF’in ve pluginlerinin bütün ihtiyaçlarımı karşıladığını düşünüyordum dolayısıyla bir web 2.0 tarayıcısı aramadım. Blog’un istatistiklerine bakıyordum ki , %10 gibi bir rakam, FF ve IE’nin yanısıra dikkatimi çekti, “Flock 0.3”
Devamı »
Salı, 2 Eylül 2008 | Kategori: 3rd Party, Tarayıcılar | Yorumlar (5)
Beni forumlarda ‘kategori sistemimim nasıl olmalı?’ , ‘Gruplu, kullanıcı sistemim nasıl olmalı?’, ‘Kullanıcı sayfa yetkilendirmelerini nasıl kurgulamalıyım’ gibi hiyerarşik veri üzerine sorulan sorulara verdiğim cevaplarla görenler, sık sık MySQL’in hiyerarşik dizayna dair makalesini öne sürdüğümü görmüşlerdir. Fakat makale, kendisinin ingilizce olması nedeniyle hem ingilizce gerektirdiğinden, ingilizce bilenler içinse ingilizce terminoloji eksikliğinden dolayı bir takım yeterince fayda sağlayamıyor. Üstüme çevirmenlik vazife değil ama, olduğu kadarıyla ve sabrımın yettiği kadarıyla açıklayarak türkçe kaynakda çalışma zorunluluğu olan arkadaşlara yardımcı olabilirsem; bunun mutluluğunu, huzurunu ve tabii egosunu yaşacağım. Ayrıca orada burada ukalalık ederken daha rahat olacağım gibi geliyor :-) Öncelikle bu makale, tıpkı ingilizce sürümündeki gibi, bilindik kategori sistemini örnek verecek, fakat unutmayın, bu sistemi ister kategorilerde, ister ACL ( access control list / yetki hiyerarşisi) oluştururken, ister kullanıcı hiyerarşisi oluştururken kullanabilirsiniz. Bu makalede doğal olarak makale sahibinin kim olduğu düşünülürse MySQL kullanılarak anlatıldı fakat buradaki yapı illa MySQL ile kullanılacak diye bir kaide de yok. Örnekler SQL ile verilse de tasarım ister Postgre’de ister Oracle’da isterseniz XML’de tanımlanır. Elinizde bu durumda olması gereken tek önemli şey, işlevlerinizi rahatça SQL gibi bir sorgu aracı. Makale birkaç sayfadan, bunlar Eski sayfaları kaldırdım, yazı aşağıdaki bölümlerden tek sayfa halinde oluşmakta;
- Gökçe’nin Açıklaması ve bu girişiminin nedenleri
- MySQL Makalesine Başlangıç
- Tümleşik Yapı Kalıbı (The Adjacency List Model)
- Yerleşim Yapı Kalıbı ( Nested Set Model)
Devamı »
Salı, 19 Ağustos 2008 | Kategori: Code Igniter, Diğer, Frontend, Tarayıcılar | Yorumlar (11)
Öncelikle konu, bir yazıda incelenemeyecek kadar geniş olduğundan ancak genel bir bakış diyebiliyorum. İkincisi, aslolarak bu mesaj POT (php.org.tr) ‘de, forumda açılan bir konu için yazıldı. Fakat ironiye bakın ki, forumun kötü yazılmış güvenlik rutinleri nedeniyle kabul edilmedi!
Neyse yazının devamında basit kurtarıcı bir iki konfigurasyonlarından, sql injection, lfi, rfi, xss gibi genel web saldırılarından kurtarmanın yollarına dair bir yazı bulacaksınız.
Devamı »
Pazartesi, 18 Ağustos 2008 | Etiketler: Güvenlik, PHP, web | Kategori: Güvenlik, PHP, Performans / İyileştirme, SQL | Yorumlar (7)
Eğer sizde benim gibi Ms işletim sistemlerinden sıkılmış, farklı işletim sistemlerine yelken açıp daha iyi, daha uygun fiyatlı / ücretsiz işletim sistemi arayışı içindeyseniz ReactOS aradığınız işletim sistemi olabilir. Hemen aklınıza linux/unix kernela sahip opensource yeni bir işletim sistemin geldiğinin farkındayım ama sıkı durun bu işletim siteminin temel Kernel’ı ne bir linux nede bir unix, Ms Windows teknolojileri baz alınarak sıfırdan yazılmış, henüz gelişmekte olan bir işletim sistemi.
Live Cd si ile boot edip çalıştırdığımda eski NT4 ü anımsatsa da, gelmiş olduğu aşama fena değil, henüz çok gelişmiş olmasa da bu açık kaynaklı işletim sistemi Ms İşletim sistemlerine alternatif olarak kurulup kullanılabilir.
http://www.reactos.org/en/index.html adresinden işletim sistemi ile ilgili daha detaylı bilgi alınabilir
Pazartesi, 18 Ağustos 2008 | Kategori: Diğer | Yorumlar (3)
Gözümüz aydın;
acid testleri ve üzerine dönen tartışmalar, Saphari ile olan yarışı derken sonunda beklediğimiz, Firefox 3.0 stable çıktı. Bugün Firefox 3.0 ‘ın doğum günü.
http://www.mozilla-europe.org/tr/firefox/ adresinden indirebilirsiniz.
Çarşamba, 18 Haziran 2008 | Etiketler: firefox | Kategori: Tarayıcılar | Yorumlar (3)
