Google attığı bu adımı "TV  reklamı vermek artık kolay ve hesaplı" olarak lanse ediyor.

Normal şartlarda 10 saniyelik bir reklamın televizyonda oynatılması için ödeyeceğiniz tutar yerine 20$ dolar ödeyeceğinizi düşünün... Televizyona verilen reklamın doğru kitlere ulaştığından ne kadar emin olabiliriz? Google bu sorununda cevabını veriyor. Ulaşmak istediğiniz kitleye yönelik reklamınızın oynatılacağını ve bu sayede ödediğiniz paranın tam karşılığını alacağınızı savunuyorlar.

Bunun yanında TV' de oynayan reklamınızın ardından firma sitenizin aldığı ziyaretler analiz edilerek sizler için raporlanacağı vurgulanıyor. 

Detaylı bilgi için: http://www.google.com/adwords/tvads/

 

Yasal olarak ücretsiz müzik dinlemek deyimini duyunca gerçekten şaşırdım çünkü daha birkaç gün önce internetten ücretsiz müzik indirenlere ve bu hizmeti verenlere hapis cezasının verilmesinin söz konusu olduğunu öğrendim. Nasıl yasal olduğunu tam olarak bilmesemde binlerce müzik arasında arama yaparak dinleyebilmenize olanak sağlayan winamp tarzı bir program keşfettim: muziic.com Programı http://www.muziic.com adresinden bilgisayarınıza indirip kurmanız yetreri. Programı bilgisayarınıza kurduktan sonra masaüstüne gelen kısayola tıklayarak programı açın. Eğer daha önceden winamp kullanmışsanız bu programı kullanmanızda pek zor olmayacaktır. Arama çubuğuna sevdiğiniz sanatçının ya da parçalarını yazmanız yeterli...

LimeWire, Kazaa gibi peer-to-peer programları yardımıyla müzik indirip dinleyen milyonlarca kullanıcı var. Buna benzer uygulamalarla kullanıcıların bir nebze olsun bilinçlenmesi hedefleniyor galiba... Çünkü müzik piyasasındaki herkes artık paylaşım programlarının önüne geçilemeyeceğini anladı ve buna benzer yasal yollara müsade edilmeye başlandı ve devamının da geleceğini tahmin ediyorum. Dileğim internet üzerinden yasal müzik dinlenmesinin hem sanatçılar açısından hem de dinleyiciler açısından faydaya çevirilmesi... 

 

Captcha nedir? Soldaki resimde de görmüş olduğunuz gibi insanların okuyarak anlayacağı karakterlerin oluşturdu resimdir diye kabaca tanımlayabiliriz. Aslında Captcha "Carnegie Mellon School of Computer Science" tarafından başlatılmış bir proje fakat ben işin web kısmı ile ilgilenerek uygulamarından bir tanesini göstereceğim.

Captcha ne gibi faydalar sağlar? Geliştirmiş olduğunuz web uygulamalarında kullanıcıların girdi yaptığı bölümleri kontrol altına almazsanız sitesiniz ve veritabanız bazı saldırılara mağruz kalabilir. Örneğin bir forum sitesini ele alalım. Forumda yazılmış bir yazıya cevap yazmak istiyorsunuz. Biraz araştırmayla eğer kontrolü yapılmıyorsa o yazıya kod ile milyonlarca girdi yapabilirsiniz. Fakat captcha kullanırsanız kod captcha resmindeki karakterleride tanımaya zorlayacaksınız.

Captcha karakterleri kodla çözülemez mi? Çözülebilir! O zaman niye kullanıyoruz diyeceksiniz. Ben de size şöyle cevap vereyim: En güvenli bilgisayar, sahip olmadığınız bilgisayardır! Yani güvenli bilgisayar ya da sistem diye birşey yoktur. Az güvenli ve çok güvenli sistemler vardır.

ASP.NET yazılım geliştiricileri için bir captcha kontrol önermek istiyorum. clearscreen.com tarafından geliştirilen bir captcha kontrolü. Web uygulamalarınızda sürükle bırak yaparak kullanabileceğiniz bir kontrol. Kontrol ddl'sini bu bağlantıdan indirebilirsiniz.  Kontrol kullanımında zorluk yaşarsanız bu iletiye yorum bırakabilirsiniz. Böylece sorun yaşayan başka insanlara da aynı anda cevap vermiş olurum. 

İyi çalışmalar dilerim ;)

 

Geliştirdiğim websitelerden bir tanesine üç tane hacker arkadaşın saldırmasından sonra güvenliğe gereken önem vermeye başladım. Tam olarak ne zaman güvenliğin üzerine ciddi olarak eğilmeye başladığımı hatırlamıyorum fakat öğrendiğim bazı şeylerin olgunlaştığını düşündüm ve günlüğüme birşeyler karalamak istedim. Bu yazım SQL Injection'dan korunmak için yapılması gerekenlerinlerin başlıklarından ve ipuçlarından oluşacak. Vereceğim bilgiler güvenilir kaynakların taranması sonucu olgunlaşan veriler. Eğer SQL Injection üzerine detaylı bir araştırma yaparsanız benim ulaştığım önemli noktalara ulaşabilirsiniz. Yazımda yararlandığım kaynaklar:

• Hacking Exposed Web 2.0: Web 2.0 Security Secrets and Solutions (ISBN: 978-0-07-149461-8) 
• MSDN
• http://asp.net

SQL Injection nasıl yapılır?

Veritabanında yaptığınız insert, update, delete gibi komutlara kullanıcı girdisinin müdehale etmesiyle gerçekleşir. Müdehale etmesi derken, saldırıyı yapan kişi veritabanı üzerinde yönetici olarak yapılabilecek bütün işlemleri gerçekleştirebilir. Hatta veritabanını silebilir... SQL Injection' nın verebileceği zararları anlatan onlarca kaynak var. Bu yüzden ben bu kaynakların araştırılması sonucu derlenmiş çözüm başlıklarını vereceğim. Bahseceğim çözüm önerilerini araştırdığınızda yapmanız gerekenleri öğreneceksiniz. Ama araştırmadan önce de bir klavuza ihtiyacınız var. İşte çözüm yolları:

 

1. Querystring Verilerini Kontrol Ettirin

Kullanıcılar sayfalar arasında veri transferi için kullandığınız querystring değerlerini görebilirler. Bunun için bu verileri kontrol ettirmeden SQL komutlarınızın içinde kullanmamanız gerekir. Örnek vermek gerekirse: bir tablonuzdan ID değerini baz alarak "ad" diye bir veri çektireceksiniz. Tablonuzu oluştururken ID değerini integer olarak tanımladınız. ID'nin bir integer mı yoksa tipik bir sql injection cümleciği olan ' OR 1=1 -- mi olduğunu kontrol ettirmeniz gerekir. Bu örnek için ID' nin bir integer mı yoksa string mi olduğunu kontrol ettirebilirsiniz. Böylece string veri türünde kullanıcı querystring'e değer atadığında kodunuz hata verecektir.

Bu verdiğim örnek sadece bir senaryo için geçerli. Güvenlik söz konusu olduğu zaman bütün ihtimalleri göz önünde bulundurarak önem alın ve asla kullanıcı girdilerine güvenmeyin! Querystring'lerden gelen saldırıları önlemek için "sql injection querystring" anahtar kelimeleri ile google da arattığınız zaman bahsettiğim korunma yöntemi ile ilgili bilgiye sahip olacağınızı düşünüyorum.

 

2. Parametreler Kullanın

Yukarıda verdiğim ID örneğinden gidersek anlatacağım husus daha iyi anlaşılır. C# kullanarak iki türli sql komutu yazabilirsiz:

Birinci örnek: "SELECT * FROM tablo_test WHERE ID='" + ID + "'"; 

İkinci örnek:  "SELECT * FROM tablo_test WHERE ID=@ID";

Bu ikinci örnekte @ID diyerek ID' nin değerinin bir parametreye atıyorsunuz. Bunun yapmak ne işinize yarayacak? Eğer birinci örnekteki gibi yaparsanız kullanıcı girdisi olan ID değeri direk olarak SQL komutuna dahil olacaktır. Eğer kullanıcı biraz art niyetli biriyse ve ID değerine ' OR 1=1 gibi şeyler yazarsa bütün kayıtları görebilecektir. Eğer bu SQL komutu bir login kontrolü için yapılıyorsa bunu yazan kişi sisteme giriş yapabilecektir.

Bunu engellemek için ikinci örnekteki gibi parametre kullanmalıyız. Böylece ASP.NET' e şunu söylemiş oluyoruz: Kullanıcıdan gelen değer sadece parametre değeridir, bir SQL komutu değildir. Böylece ASP.NET sayfamızda buna göre davranarak hata verecektir.

Anlattığım hususun kodlarını ve gerçek uygulamasını görmek için "sql injection sql parameter" anahtar kelimelerini aramanız için öneririm.

 

3. Hata Mesajlarını Gizleyin

Saldırı yapanlar genellikle sisteme hata verdirerek veritabanı bilgilerini öğrenmeyi hedeflerler. Eğer sistemin verdiği hataları cömertçe kullanıcılara gösteriyorsanız ASP.NET sayfanız saldıranlara eğitim içerikli hatalar verecektir. Bu verilen hatalar içerisinde tablo ve field isimleri geçtiği zamanda saldıran kişinin yapması gereken şey doğru SQL komutu ile saldıyı yapmak. Bunun olmasını engellemek için web.config dosyasındaki customErrors tag'ı aşağıdaki gibi olmalıdır:

<customErros mode="On" defaultRedirect="Hata.aspx" />

Böylece sistem bir hata verdiği zaman kullanıcıya eğitici ve açık verici hata sayfaları yerine Hata.aspx  sayfasını göstermiş olacaksınız.

Detaylı bilgi için "sql injection customErrors" anahtar kelimelerini öneririm.

 

4. Şüpheli Karakterleri Temizleyin

SQL komutlarınıza  müdehale ederek veritabanınıza zarar verebilecek komutları engellemek için şüpheli karakterleri temizlemeniz gerekir. Bazı şüpheli karakterler:

"\"", "\\", "/", "*", "'", "=", "-", "#", ";", "<", ">", "+", "%"

Özellikle querysting değerlerinde bu temizlemeyi yapmanızı öneririm. Fakat belirttiğim gibi kullanıcı tarafından gelen bütün girdiler için yukarıda bahsettiğim önlemleri almanız gerekmektedir.

 

Sonuç

Eğer web üzerine uzmanlaşmak istiyorsanız bu söylediğim önerilere kulak vermenizi öneririm. Kullanıcılara yaptığınız uygulamaları açmadan önce sql injection saldırılarına karşı bu önlemleri almazsanız ileride telafisi olmayan sonuçlarla karşılaşabilirsiniz. Bu yazımda sql injection saldırılarına karşı alınabilecek önlemlerin ipuçlarını vermeye çalıştım. Umarım sql injection önlemlerini öğrenirken bu yazı sizlere yol gösterici olur. Başka bir güvenlik yazısında buluşmak üzere...

 

Aktif kullanıcısı olduğum Gmail'den müjdeli bir haber aldım :) Normalde en fazla 3-4 MB' a kadar olan dosyaları zar zor gönderirken 20 MB' a kadar dosyaları tek seferde gönderebileceğimi duyunca gerçekten çok etkilendim.

İnternet trafiğinin neredeyse yarısını meşgul eden elektronik postaların bu gelişme ile internet kullanımı nasıl etkileyeceğini zamanla göreceğiz. Umarım bu iyileştirmeler beraberinde faydalarından çok zarar getirmez. Çünkü e-posta trafiği tüm internet kullanıcılarını ilgilendiren ve performansı etkileyen önemli unsurlardan bir tanesi...

Gmail ayrıca kullanıcılarına 7 GB depolama alanı sunuyor. Aylık ortalama 10 $ vererek aldığınız hosting hizmetlerinde bile toplamda bütün kullanıcılara ortalama 1 GB veri alanı anca verilirken tek bir mail adresine 7 GB hak tanınması takdir ettiğim bir husus. 

 

Bu konu üzerine yazılmış yüzlerce yazı var farkındayım fakat bu yazıların bir çoğu ya genel bilgi vermekole yetiniyor ya da çok fazla teknik dille yazılmış yazılar oluyor. Bunun için ortalama bir internet kullanıcısının koda-tasarıma bulaşmadan esnek bir blog modeline nasıl sahip olabileceğine değineceğim...

Bildiğiniz gibi ücretsiz blog hizmeti veren blogspot gibi sitelerde blog tuttuğunuz zaman sizlere bir alt alan adı veriyor (Örneğin; dogancakmak.blogspot.com). Ama siz adınıza özel bir alan adı alarak bu siteyi yayınlamak istiyorsunuz. Yapmanız gereken beğendiğiniz alan adını alıp sonrasında ücretsiz sahip olduğunuz blog'unuza yönlendirme yapmak. Örneğin dogancakmak.com alan adını satın aldım ve dogancakmak.blogspot.com adresine yönlendirdim. Böylece adınıza özel bir alan adı altında blogunuzu yayınlayabilirsiniz. Bunun somut örneğini vermek gerekirse name.com adresinden istediğiniz alan adını aldıktan sonra "Url Forwardig"başlığı altındaki menüden bu işlemi gerçekleştirebilirsiniz. Eğer iyi bir facebook kullanıcısıysanız sitenin ingilizcesinde sorun yaşamayacağınızı umuyorum.

Yeni öğrendiğim bir blog tutma modelinide paylaşmak istiyorum. Blog tutmak isteyipte nerden başlayacağını bilmeyenler için Name.com tarafından yapılan bir çalışma... WordPress alt yapısı ile güçlendirilmiş bir blog'a sahip olabilirsiniz. İlk defa duyanlarınız için WordPress de nedir dediğinizi duyar gibiyim. Google da WordPress hakkında yarım saatlik bir sörf problemi giderecektir. Özetlemek gerekirse WordPress sayesinde farklı temalardan size uygun olanını seçip farklı eklentilerle blog'unuzu ziyaret edenlerin kullanıcı deneyimini zenginleştirecek özellikler içermekte. Bu çalışmayla ilgili detaylı bilgi için tıklayın.

 

Hergün keyifle ziyaret ettiğim sitelerden bir tanesi olan ntvmsnbc.com yeni tasarımıyla gözlerimi kamaştırdı :) Web tasarımcılarının dikkat etmesi gereken en önemli noktalardan bir tanesi çok iyi uygulamışlar: Kullanıcılara en az tık ile yani en kısa şekilde bilgiyi sunmak...

Sitenin solundaki menülerin üzerlerine gelerek başlıkların altındaki onlarca alt başlığı taramak mümkün. Yeniliklerden en çok beğendiğim bir nokta ise sayfa güncellemesi yaptırmadan alt bölümlerdeli başlık sayılarının değiştiribiliyor olması.

Microsoft' un öncelikle Atlas olarak duyurduğu ve ardından da ASP.NET AJAX olarak lansmanını yaptığı teknolojiyi sitede çok iyi kullanmışlar. Sitenin ASP.NET olduğunu nerden anladın derseniz "kaynağı görüntüle" demek yeterli ;) Web 2.0 ile site içeriğinin daha zengin sunulmasını ve kullanıcı deneyimini arttırmak için tasarlanan AJAX yerini bulmuş gibi görünüyor...

Siteyi ziyaret için: ntvmsnbc.com

Geçtiğimiz günlerde internet explorer' da bir takım açıklar bulundu ve kullanmamamız önerildi. Blog' uma internet explorer kullanmayın diye yazarken aynı zamanda yaptığım web uygulamalarını debug edip internet explorer 7' de çıktılara bakıyordum. Bu işlemi sabahtan akşama kadar yapınca tabi bilgisayarım açıklara kayıtsız kalamadı. Üç gün boyunca çeşitli anti-virüs programlarıyla sistemimi tarattım ve tam kurtuldum derken bilgisayarım açılmamaya karar verdi. Tabiki format gecikmedi...

Peki formattan sonra? Formattan sonra çok güvendiğin KasperSky anti-virüs programını bilgisayarıma kurdum ve derin bir nefes aldım. Fakat daha aldığım nefesi vermeden bilgisayarım bu seferde bana sevdiğim mavi renkte bir ekran açarak "physical memory dump" dedi. Bu sevimli mavi ekranı beş saat boyunca ortadan nasıl kaldırırım diye kendi başıma düşündüm. Google abiye neden sormadın diyeceksiniz tabi fakat internet öyle bir yavaştıki google' ın cemalinden başka sayfa göremiyordum. En son ne yapabiliyorum derken Vista benim için çözüm aramaya başladığı söyledi. Bana hiçbir zaman mantıklı çözümler sunmayan Microsoft' un işletim sistemlerinden en sonuncusu bu kez bana yardımcı olacak gibi çalışıyordu. Bende peki ara bakalım dedim. Bana güvendiğim KasperSky' ı silmemi fakat silmeden öncede bilgisayarımı taratmamı söyledi. Bende işte gene saçmaladı dedim. Fakat kaybedeceğim bir şey olmadığından Vista' nın dediğini yaptım. Bilgisayarım anti-virüs programsız kalıncada bedeva alan programlar arasından AntiVir'i seçtim ve kurdum. 

 

Vista haklı çıktı ve şu an bilgisayarım hata vermeden çalışıyor. Firefox ve internet explorer'da onar sayfa açtım ve o sevimli mavi ekranla karşılaşmadım. Ayrıca internet ve bilgisayarım eski hızına kavuştu. Teşekkürler Vista...

İşte çocuklar bir masalın da sonuna geldik diyeceğim neredeyse :) Olayı daha fazla dramatize etmeden birkaç tavsiyede bulunmak istiyorum. Bilgisayarınızın güvenliği açısından:

• Lisanlı işletim sistemi kullanın
• Güncelleştirmelerinizi otomatik olarak ayarlayın ve eksiksiz kurun
• Ön yargılı olmayın (Özellikle Vista'ya karşı) 
• Crack'lenmiş anti-virüs programları yerine ücretsiz olanlarını tavsiye edin

Beş iş günüme mal olan ve sizlerinde başına gelmesini istemediğim için bu deneyimimi biraz dramatize ederek sizlerle paylaşmak istedim. Umarım faydası olur. 

Dünyanın en büyük yazılım şirketinden yapılan açıklamada, otomatik üncellemeyle aktif hale gelecek bu yamanın TSİ 20.00’de yayımlanacağı belirtildi.

Dünyanın en çok kullanılan web tarayıcısının sahibi Microsoft, normal güvenlik güncellemesini gelecek ay yapacak.

İnternet güvenlik uzmanları, dünyanın en yaygın kullanılan web tarayıcısı İnternet Explorer’da büyük bir açığın bulunduğunun ortaya çıkmasının ardından, sorun giderilinceye dek kullanıcılara başka bir internet tarayıcısı kullanmaları salık vermişlerdi.

İnternet uzmanları, Microsoft’un İnternet Explorer tarayıcısındaki açığın, internet korsanlarına özellikle Çince web sitelerini kullananların bilgisayarlarını ele geçirme ve şifrelerini çalma imkanı verebileceğini belirtmişlerdi.

Microsoft da yaptığı açıklamada, tarayıcının en yaygın şekilde kullanılan yedinci versiyonuna (IE7) yönelik saldırılar tespit ettiklerini kaydederek, ancak diğer versiyonların da potansiyel tehlike altında olduğu uyarısında bulunmuştu. Yayınlanacak yama Internet Explorer’ın 5, 6, 7 ve 8 (beta) sürümlerini yamayacak. Açık, Internet Explorer yazılımının uygulama kütüphanesinde bulunan “ole32db.dll” adlı dosyadan kaynaklanıyor. Açık, Microsoft’un Microsoft Update ve Microsoft Yükleme Merkezi üzerinden yayınlanan yamayla giderilecek. 

Kaynak: NTVMSNBC

Microsoft’un gidermek için üzerinde çalıştığı açık, kullanıcıların gezinti yaptıkları siteler üzerinde çalıştırılan kodlar sayesinde kullanıcıların şifrelerinin çalınmasına olanak tanıyor. Açık Internet Explorer 7.0 için geliştirilmiş olsa da, yazılımın önceki sürümleri için de uyarlanabilir bir karaktere sahip.

Uzmanlar, yalnızca Internet Explorer sürümlerini etkileyen açık nedeniyle, kullanıcıların Microsoft tarafından yayınlanacak bir güvenlik yamasının piyasaya sürülüşüne kadar Mozilla Firefox, Apple Safari, Google Chrome, Opera gibi alternatif yazılımları kullanmasını salık veriyor. Trend Micro tarafından yayınlanan rapora göre, geçtiğimiz hafta ortaya çıkan açıktan yararlanmak amacıyla 10 binden fazla İnternet sitesinin kodları değiştirildi.

Özellikle Çince İnternet sitelerinde faydalanılan açık, şimdilik sadece bilgisayar oyunlarında kullanılan şifreleri çalmak amacıyla kullanılıyor ancak, tekniğin ters mühendislik (reverse engineering) ile farklı amaçlarla da kullanılabileceği ifade ediliyor.

Uzmanlar tüm internet tarayıcı yazılımlarının açıklara karşı savunmasız olduğunu ancak, korsanların genellikle daha çok kullanılan yazılımlara yönelik saldırılar yaptığını belirtiyor. Microsoft’un açık ortaya çıktıktan sonra kısa bir süre içinde giderilememiş olmasını başarısızlık olarak tanımlayan PC Pro dergisinin güvenlik editörü Darien Graham-Smith, zararlı yazılımın yüklenmiş olduğu bir çok internet sitesine erişimin açık olduğunu, en kısa sürede kullanıcıların farklı bir tarayıcı kullanmaları gerektiğini ifade ediyor.

Kaynak: NTVMSNBC