İçeriğe atla

Ajax – Sırlar dünyasına açılan pencere

Baslik çok iddiali oldu. Ama Ajax’in lanse edilis tarzi çok iddiali oldu, yepyeni bir kavram olarak nitelendirildi, hatta bazilari Internet v2.1-2.2 gibi versiyon yakistarmalari bile yapti. Çalistigim projede konu dönüp dolasip Ajax’a dayandigi için, oturup düsünmem ve kod yazmam gerekti. Bundan birkaç ay evvel, bu kavram ünlenmeye basladigi zaman bir yazi olarak ekleyip temel kavramlari yazmistim. Ajax’in ünlenmesinde ve yayginlasmasinda en büyük etken Google. Gmail, google map, google suggest v.b. birçok web yaziliminda google artik Ajax kullaniyor ve bu konuda yatirimdan hiç çekinmiyor. Ajax kullanimina baska bir örnek olarak, Yahoo’dan bir örnek verebiliriz. Eger Internet Explorer veya Mozilla (Opera desteklemiyor) ile yahoo mailinizden mail göndermek isterseniz, To: veya Cc: kisminda bir harf yazdiginiz zaman arka tarafta adres defterinizde arama yapildigini ve size girdiginiz harfi içeren sonuçlarin gösterildigini görebilirsiniz.

Ajax ile saglanmak istenen nihai hedef, internet uygulamalarinin masaüstü yazilimlari gibi interaktif olmasi, ziyaretçiye devamli refresh edilen bir ziyaret yasatmak yerine, sabit duran bir sayfa araciligiyla kullanicinin isteklerini yerine getirilmesi. Bunun saglanmasi için web programcilari tarafindan yapilan çok fazla is yok aslinda, sahnenin arkasinda browserlar var. Ziyaretçinin veri almak, bu veriyi yorumlamak, geriye vermek veya kaydetmek v.s. bütün aktivitiler için yapilan çalisma browser tarafindan ilgili siteye tekrar veri gönderilmesinde yatiyor. Örnegin sitenizde bulunan bir text box’a veri almak, ziyaretçi diger bir text box’a geçtigi zaman da ona cevap vermek istiyorsaniz onBlur() eventini kullanarak, Javascript tarafinda ilgili text box’a girilen verinin sunucuya gönderilmesini, sunucudan cevap geldigi zamanda sayfa içerisinde belirlediginiz noktalarda bu verinin gösterilmesini saglayabilirsiniz. Bunun için yapmaniz gereken

  • Ziyaretçi tarafinda javascript ile ziyaretçiden istenilen veriyi almak ve bu veriyi XMLHttpRequest’i kullanarak sunucuya ulastirmak. Çok yuvarlak bir anlatim oldu, örnekte daha detayli görebilirsiniz. Ajax’ta kullanici tarafinda (Javascript-CSS) çok önemli.
  • Sunucu tarafinda, ziyaretçi tarafina göndereceginiz verinin hazirlanmasi. Burada isterseniz XML, isterseniz HTML kullanabilirsiniz. Bunun yaninda kendi formatlama biçiminizi de kullanabilirsiniz. Örnegin veritabaninizda iki tane kolon varsa ve siz bunlar üzerinde sorgulama yapiyorsaniz,
    select id, sehir from sehirler where id<30;
    Javascript tarafina veriyi,
    01,Adana;02,Adiyaman;03,Afyon;04,Agri;05,Amasya
    seklinde verebilirsiniz. Javascript tarafinda gelen bu veriyi önce ‘;’ ile ayirarak, daha sonra da ‘,’ vererek kullanabilirsiniz. Sunucu tarafindan döneceginiz sonuç tamamen sizin Javascript tarafinda ne kadar is yapmak istediginize bagli.

Webte buldugum baska bir örnegi burada türkçe kaynak olmasi yönünden kisaca ele almak istiyorum.
Öncelikle kullanici tarafinda interaktif olmasi istediginiz kismi olusturmaniz gerekiyor. Burada yapmak istedigimiz kullanici Plaka Kodu olarak bir sehir kodu girdigi zaman bu veriyi sunucu tarafina iletmek, sunucu tarafindan gelen cevabi Sehir kisminda göstermek.

Plaka Kodu:

Sehir:

Formda dikkat ederseniz, Plaka Kodu’na bagli bir listener var. onblur listener’i ile kullanicinin bu textbox’un içine veri girdigini ve baska bir yere tikladigini algilayabiliyoruz ve sehir() fonksiyonunu çagiriyoruz. sehir() fonksiyonu’nu javascript kisminda yazmamiz gerekiyor.
url degiskeni ile veriyi sunucu tarafinda hangi adrese gönderecegimizi belirtmemiz gerekiyor. http.open() fonksiyonunda görüldügü gibi ilk kisim veriyi hangi metod ile göndereceginizi belirttiginiz kisim. Burada sunucudan cevap alabileceginize inandiginiz bütün HTTP metodlarini kullanabilirsiniz, GET, POST, HEAD v.s. Biz GET metodunu seçtigimiz için, GET metodu ile birlikte yollayacagimiz url ve plaka_kodu’ nu ekliyoruz. Onun altindaki satirda, sunucudan olumlu veya olumsuz cevap geldigi zaman, hangi fonksiyon ile karsilayacagimizi belirtiyoruz. Burada sunucudan cevap geldigi zaman handleHttpResponse() fonksiyonu devreye girecek örnegin. http.send(null) satiri ile de veriyi yolluyoruz.

sehir.php

Görüldügü gibi normalde yaptigimiz form yollamaktan neredeyse hiçbir farki yok. Yalniz burada sehir() fonksiyonu ziyaretçiden bir giris oldugu zaman çalistirilacak fonksiyon, bun fonksiyondan evvel fonksiyon içinde kullandigimiz http degiskenini browser tarafinda sayfa yüklenirken olusturmamiz gerekiyor. Bunu yapmak için

get http object

Bu kisimda dikkatli olmaniz gerekiyor, çünkü yazdiginiz kodlar eski browserlarda ve XMLHttpRequest() tam olarak desetklemeyen bazi yeni browserlarda çalistirilmayacak (örn:Opera). Bu kismi da yazdiktan sonra yapmaniz gereken tek kisim, sunucudan cevap geldigi zaman onu sunucuya nasil göstereceginiz. Bunun için dikkat ederseniz, handleHttpResponse() fonksiyonunu kullanacagimizi belirtmistik. Bu fonksiyonu yazmamiz gerekiyor:

handleHttpResponse

Burada http.readyState degiskenin durumunu kontrol etmemiz gerekiyor. Bu degiskenin alabilacegi degerler ve anlamlari su sekilde:
0 = uninitialized
1 = loading
2 = loaded
3 = interactive
4 = complete

Burada bizim için önemli olan deger 4, eger durum 4 ise, sunucu tarafindan verinin bize ulastigini anliyoruz. responseText degiskeni sunucu tarafindan dönen cevaba karsilik geliyor. Bundan sonra yapmamiz gereken tek sey, gelen degeri form içinde Sehir id’sine karsilik gelen yere basmak.

Sunucu tarafinda php kullaniyorsaniz basit olarak sunu yazmaniz yeterli:
ajax
Hepsi bu kadar. Örnegi buradan download edebilirsiniz.

Internet Linux Programlama | Mehmet Büyüközer | | 1 Yorum

İrem ve Hayalet Sevgilim

Eminim bir şekilde siz de İrem ve Hayalet Sevgilim şarkısından haberdar olmuşsunuzdur. Haberiniz yoksa google’dan hayalet sevgilim şeklinde aradığınızda çıkan sonuc sayısına bir bakın. Şu anda 35.000 olarak gözüküyor, şarkının bir de hikayesi var. İrem sevgilisini aldatır, sevgilisi bundan haberdar olur çok üzülür o gün kaza geçirir ve vefaat eder. Bunun üzerine İrem buna çok üzülür ve bu şarkıyı yazar.

Ama şarkı 51 Promil adlı bir gruba ait diye başka birşeyler daha çıktı, şarkının bu grup tarafından söylenen haline bu adresten ulaşabilirsiniz. 51 Promil grubu bu şarkının asıl sahibi gibi duruyor ama google’dan onları da arattığınız zaman daha ekim ayında grub için birilerini aradıklarını görüyorsunuz. Bana sanki ortalıkta kimse yokken, şarkının da hikayesi tutmuşken ortamı dolduralım gibi bir düşünce ile yapılmış gibi geliyor.

Yasam | Mehmet Büyüközer | | 20 Yorum

Linux Bash’de While Loop ile SSH Bağlantısını Açık Tutmak

SSH bağlantılarının zaman aşımına uğraması ve ikide bir kesilmesi çok rahatsız edici bir durum. Normalde sunucu tarafında /etc/ssh/sshd_config dosyasına

KeepAlive yes
ClientAliveInterval 60

satırlarını eklediğiniz zaman kurulan bağlantıda server tarafından keep alive paketleri yollanarak bağlantının devamlılığı sağlanması gerekiyor ama sizin bulunduğunuz tarafta firewall varsa bağlantı içinde gerçek veri transferi (DATA paketleri) olmadığı için diğer tarafa RST yollayıp bağlantıyı kesmesine sebep olacaktır.

Bununla ilgili çok güzel bir tip buldum,konsolda

sh -c ‘while date ; do sleep 10 ; done’ &

Bu örnek başka türlü nasıl kullanılabilir? Örneğin bir dizinde değişen son 10 dosyanın her 10 saniyede bir listelenmesi
sh -c ‘while date ; do sleep 10; ls -lrth | tail -10; done’ &

bunu yazıyorsunuz. Bu komutla her 10 saniyede bir konsolo sistem tarihini yazmasını istiyorsunuz, data akışı devam ettiği için bağlantı kesilmiyor.

Güvenlik Internet Linux | Mehmet Büyüközer | | Yorum yapın

robots.txt ve güvenlik

Word Press admin giriş sayfasının gösterimi ile ilgili yazdığım yazı ile ilgili Erçin Eker hocamın yorumunu okuyunca aklıma robots.txt dosyası ile ilgili başka bir konu geldi.

robots.txt dosyalarının çıkış noktası ve kullanımı aslında ihtiyacı karşılar nitelikte fakat akla gelmeyen başka bir konu var. robots.txt dosyaları web sunucusu üzerinde “public read” hakkı ile tutulmak zorunda böylelikle arama motorları bu dosyalara erişip, ilgili dizinlerin site yöneticisi indexletmek istemediğini anlayabiliyor.

Örnek bir robots.txt dosyası
User-agent: *
Disallow: /admin/
Disallow: /management/

şeklinde kayıtlarla sitenin root dizininde bulunuyor.

Güvenlik yönünden sıkıntı ise, bu dosyaya herkesin erişebilir durumda olması. Site ve sunucularımıza yapılan ataklardan dolayı “web hacking” in ne olduğunu ve nelere malolabileceği hakkında herkesin az çok fikri var. Web hacking konusunda en can alıcı nokta, hedef sunucunun hangi dizinlerinde ne gibi hassas uygulamalar çalıştığını tespit etmektir. Bu amaçla son zamanlarda çok moda olan arama motorlarının sağladığı apileri kullanarak, hedef site ile indexteki bilginin kullanılması, onun yetersiz kaldığı durumlarda özel yazılımlarla siteyi taramak, default dizinler duruyor mu, genel olarak kullanılan dizin isimlerini kullanarak o dizinler var mı yok mu şeklinde tarama yapılıyor. Bunların hepsi sunucu üzerinde hangi dizinler varın cevabını bulmak için. “robots.txt” dosyasına gelirsek, site yöneticisi kendi eliyle hangi dizinde hangi uygulamaların olduğunu yazıyor ve bunu herkesce okunabilir şekilde yerleştiriyor.

Hoş bir örnek olabilir diye düşündüğüm mozilla.org’un robots.txt dosyasını kopyalıyorum:
User-agent: *
Disallow: /webtools
Disallow: /webalizer

Burada “webalizer” dizinini arama motorlarından sakladıklarını görüyoruz ama siz browserdan http://www.mozilla.org/webalizer dediğiniz vakit mozilla.org sitesinin günlük istatistiği ne kadarmış görebiliyorsunuz.

robots.txt dosyasın içinde bulunan satırlar sitenize saldırmak isteyenler için güzel bir başlangıç olabilir.

Çözüm olarak robots.txt dosyası kullanmak yerine sitenizin root dizinine “.htaccess” dosyasını yerleştirmek
ve bunun içinde hangi dizinlere erişim verceğinizi belirtip, kalanını tamamen kapatmak daha sağlıklı bir yaklaşım olur.

örnek birkaç robots.txt dosyası:
http://www.microsoft.com/robots.txt
http://www.ibm.com/robots.txt
http://www.apache.org/robots.txt
http://www.redhat.com/robots.txt
http://www.linux.org.tr/robots.txt

Arama Motorları Güvenlik Internet | Mehmet Büyüközer | | 4 Yorum

Word Press Admin Bölümü ve .htaccess

Word Press blog yazılımı olarak beklentilerimin tamamını karşılamasa da yuvarlanıp gidiyoruz işte. Bu aralar arama motorları ile işim gereği biraz daha fazla uğraşmam gerektiği için google, yahoo ve bilumum arama motorlarında blogumla ilgili nelerin indexlendiğini takip ediyorum. Siz de takip etmek isterseniz yapmanız gereken:

site:www.siteadi.com şeklinde arama yapmanız. “site” operatörünün güzel tarafı, google ve yahoo’nun resim indexlerinde de sonuçları görebilmeniz. Bu operatörü kullanarak sitenizin arama motorlarındaki hayali resmini görebiliyorsunuz.

Benim sayfam için yahoo’da yaptığım aramada ilk çıkan sonuç ne hikmetse word press’in admin giriş sayfası oluyor. Tabi admin sayfasının alenen açık olması çok hoş bir durum değil. Bunu engellemek için aldığım önlemi yazmayı düşündüm, böylelikle siz de kendi blogunuzda uygulayabilirsiniz.

apache’nin kimlik denetimi ve yetkilendirme için kullandığı .htaccess ve .htpasswd ikilisini kullanarak wp-admin dizinine erişimi şifreli hale getiriyoruz.

Bunun için .htaccess dosyasını word press admin dizinin altına yerleştirmeniz gerekiyor:
blog ana dizini/wp-admin/.htaccess

“.htpasswd” dosyası erişiminiz olan başka bir dizinde bulunabilir. Benim örneğimde, “.htpasswd” dosyası “.htaccess” ile aynı dizinde bulunuyor.

.htaccess içeriği:
AuthType Basic
AuthName “Sifre Gerekiyor”
AuthUserFile “/home/public_html/blog/wp-admin/.htpasswd”
require valid-user

.htpasswd dosyası için shell den:
# htpasswd -c .htpasswd kullanici_adi

şeklinde yazmanız yeterli. Sonrasında bu kullanıcı için şifre belirliyorsunuz, kullanıcı adı ve şifre ikilisi .htpasswd dosyasına yazılıyor.

Örnek .htpasswd :
ali:zOSE9NzIxzoYo
veli:bcrFMwAnWVM2A

Bu kadar yapmanız yeterli, artık wp-admin dizinine bağlanmak istediğinizde apache kullanıcı adı ve şifre girmenizi isteyecek.

Daha detaylı bilgi için apache’nin tutorial’ına bakabilirsiniz.

Güvenlik Internet | Mehmet Büyüközer | | 2 Yorum

Google vs Yahoo – 2.bölüm

Yahoo’nun indexini google’ın 2.5 katına çıkarttığını söylemesi üzerine gerilen ortamda son noktayı google koymuş gözüküyor. Evvelsi gün,google’ın sayfasında dikkat ettiyseniz google logosunun kenarlarında pastalar vardı, google kuruluşunun 7. yılını kutluyordu. O gün google’dan arama motoru indexleri ile ilgili açıklama geldi. “Index olarak ortalıkta adı geçen bütün arama motorlarından tekrarlı olmayan sayfa bazında en az 3 kat daha fazla indexe fazla sahip olduklarını duyurdular.

Bunun ile birlikte market çalışmalarında farklı bir yöne yöneldiklerini de ifade ediyorlar. Yeni yaklaşımlarında artık arama motorlarının ne kadar sayfa indexlediği değil, kullanıcılar arama yaptığı zaman çıkan sonuçların ne kadar tatmin edici olduğunun önemli olduğunu savunuyorlar. Bunun manası ne oluyor? Arama motorlarının aptal birer veritabanı olmayacağını, yapay zekası olan, kullanıcıların istediklerine yakın sonuçlar çıkartmaya çalışan uygulamalar olacağını ifade ediyorlar. Zaten google’ın devamlı “data mining üzerine çalışan akademisyenler alması, bu alanda üniversitelerle ortak çalışması bu konuya daha fazla önem verdiklerinin bir kanıtı.

Bu yaklaşım bana göre de daha doğru. Yahoo’da arama yaptığım zaman sonuçlar google’dan neredeyse 2 kat daha fazla oluyor, peki tatmin edici mi? Hayır! Zaten google’da bu sonuca dayanarak meydan okuyabiliyor. Geçen sefer yahoo, indexini 2.5 katına çıkardığını duyurduğu zaman google tarafından ilk gelen cevap “peki arama sonuçları sizi tatmin ediyor mu? şeklinde olmuştu. Yaptıkları açıklamanın devamında google, yahoo, msn ve ask jeeves ‘i içeren bir deneme yapmışlar. Rastgele belirlenen “Joe Schmoe ve “pickles kelimeleri ile yaptıkları aramada google 451, yahoo 62, msn 60 ve ask jeeves 54 sonuç dönüyor.

Arama Motorları Internet Linux | Mehmet Büyüközer | | Yorum yapın

Özeleştiri

Google’da blogumla ilgili neler indexlenmiş diye bakarken fazlamesai.net’e alıntı yapılmış yazıma denk geldim. Sevindim sevinmesine ama ilk yorumu okuyunca yazan arkadaşın neden “yazının diline” dikkat çektiğine hemen idrak edemedim. Bir onun yorumuna bir de blogtaki diğer yazılara baktım, gerçekten haklı. Cümle düşüklükleri, yanlış kelime seçimleri v.b. hatalarım olduğuna karar verdim. Kablosuz ağ ve içerik itibariyle faydalı olacağını düşündüğüm yazıları tashih (eski dilde düzeltmek) etmeye karar verdim.

Eleştiri için teşekkürler iscariot.

Linux | Mehmet Büyüközer | | 1 Yorum

Google Kirliliği ve Google Yazılımları

Son zamanlarda birkaç blogta da okuduğum Google’ın webi kirlettiği fikri beni de sarmaya başladı. Artık google’un adsense kampanyasına katılmayan web sayfası neredeyse kalmadı gibi bişey. Hazırladığı içeriği sitesinde yayınlarken, google’un sunmuş olduğu reklam kampanyası ile küçük ölçekli bir gelir elde etmek çok zevkli olsa gerek. Ama benim yaptığım gibi, adsense olsun, adword olsun; google’a para kazandıracak hiçbir linke tıklamayan kişiler için her sayfada google’ın reklamları görmek çekilmez oluyor. Her sayfada “Google’ tarafından eklenmiştir” şeklinde çok biçimsiz, çok sevimsiz reklam parçacıkları… Estetikten çok uzak olmasının yanında, reklamın yayınlandığı site ile yayınlanan reklamların alakasız olması cabası…

Geçtiğimiz haftalarda herkesin bildiği Google, IM yazılımını çıkarttı. Ne keramati varsa ortama bomba gibi düştü, herkeste bir “Ulu google IM çıkartmış,hadi hepimiz onu kullanalım” hali. Bence tam bir dağ fare doğurdu hikayesi. Açıpta kullananlar beklediklerini bulamıyor ama “Ulu google” a kim nasıl kötü bir söz söyleyebilir, hemen “ben google un sadeliğine hastayım abi” moduna geçiyor. Google yaparsa iyi yapar diye birşey kesinlikle olamaz bakınız “Google Desktop”. Ben de aynı havada, “aaa google bir yazılım daha çıkartmış hemen alıp kullanıyım” şeklinde makinama kurdum. Gel gör ki, outlook ve outlook expressteki maillerden, internet explorerdan ıvırdan zıvırdan 1 gb index çıkardı. Bu ne? Index. Harddiskin boyutu zaten 40 gb. 1 gb. indexi ben ne yapıyım diyerek hemen kaldırdım.

Bir diğer örnek “Google earth”. İyidir hoştur dünyayı elimizin altına verir ama her kullanımdan sonra diskte bıraktığı 256 Mb. lık bazı zaman 512 Mb. cache dosyası hangi akla hizmet ediyor? Cache boyutunu değiştirebiliyorsunuz ama bunu kontrol etmeyen (benim gibi diskinde 1 gb. boşu olan yoktur sanırım) kimselerin makinasında gereksiz bir disk kaybı oluşturuyor.

Bunun yanında, google büyümesin sadece arama motoru olarak kalsın dememiz, ABD şartlarında doğru olmayacaktır. ABD’nin “so called” devinimli borsasında yeni birşeyler ortaya koyup halkın sevgisini, saygısını ve ilgisini devam ettirmezseniz bitişin manifestosunu imzalamış olursunuz. Ama ben şahsen google’un arama motoru olarak kalmasından yanayım, her yana elini uzatanların hali pek iyi olmuyor. Bkz. microsoft
Yahoo’nun index olarak Google’dan 2.5 kat daha fazla index yaptığını söylemesi, Microsoft’un MSN ve birçok yazılımı için API yayınlayacağını belirtmesi ortamı biraz kızıştırdı gibi. Yahoo ve Microsoft’un şu anki halini “maymun gözünü açtı” atasözü iyi ifade ediyor. Baktılar google deveyi hamudu ile götürüyor, biz de bu pazardan nasiplenmeliyiz diye çöreklendiler. Google IM çıkarttı derken Yahoo! mevcut IM versiyonuna ses, görüntü ekleyip, mevcut özellikleri güncelleyip yeni versiyon olarak yayınladı. Google’ın işi zor gözüküyor.
Kapanış olarak Google’ı eleştirmekden çok yerden yere vurmayı hedefleyen bu siteye bakmanızı öneririm.

Arama Motorları Internet | Mehmet Büyüközer | | 1 Yorum

Mozilla ve Firefoxun IDN açığı

Geçtiğimiz hafta Tom Ferris’in duyurduğu güvenlik açığı, ilgili başlık altında baya tartışıldı. Çünkü bundan evvel IE de açık bulduğunda, açığı kullanıp karşı tarafa zarar veren kodu yayınlamıştı. Bunun için baya eleştirildi, bu işi para için yapıyorsun, IE’nin bitmesini istiyosun diye söylenenler oldu.

Velhasıl böyle bir açık var, açıkta açık gibi değil ama neyse Mozilla veya Firefox ile ziyaret ettiğiniz bir web sayfasının içinde
a HREF=https:——————————————————————-
satırın olması yetiyor. Bu açığı kullanan exploiti yazdığını söylenler var ama şu anda yayınlanan bir exploit bulunmuyor.

Tom Ferris, bu açığı duyurmadan 2 gün evvel (6 eylül) Mozilla ekibine bildirmiş, konuyla ilgili geçen hafta Mozilla ekibince geçici bir çözüm yayınlanmış durumda. Şu anki çözüm IDN özelliğini kapatmaktan ibaret.

Linux | Mehmet Büyüközer | | Yorum yapın

Neden Internet Explorer kullanmamali?

Internet explorerda su anda microsoftun düzeltmekte geciktigi bir açik var. Hakki zatinda bu konu ile ilgili duyurusunu yapmis durumda. Kendileri de belirttigi üzere durumun üstüne ciddi sekilde gidiyorlar ve ilgili dosyanin (msdss.dll) açigini kapatip güncelleme yayinlayacaklar insallah.

Bunun yaninda açiklama da yer aldigi gibi, bu açigi kullanan saglam bir kod yazilirsa sistemin tamaminin ele getirilmesi söz konusu. Yani siz masumane duygularla bir web sayfasini ziyaret ediyim diye Internet Explorer’unuzu açiyorsunuz, bir sayfadan digerine geçerken, Internet Explorerunuzun arka kapisindan bilgisayariniza giren bir dosya vasitasiyla sisteminizde el-alem at kosturmaya basliyor.

Bu sartlar altinda Internet Explorer’u kullamaya devam etmek ne kadar saglikli tartisilir. Ama bunun yaninda sadece Internet Explorer’a özel tasarlanmis sayfalarda var, buna ne buyrulur! Bir sekilde Internet Explorer kullanmak zorunlu hale getiriliyor. Ayni sayfayi Opera yada Mozilla ile açmaya çalistiginizda, “Browseriniz desteklenmemektedir. Lütfen sayfamiza Internet Explorer’in delikli penceresinden bakiniz” seklinde pop-uplar açiliyor.

Bu açik ile ilgili Microsofttan güncelleme gelene kadar bu adreste verilen uygulama ile en azindan msdss.dll dosyasini kullanima kapatmak mümkün.

Güvenlik | Mehmet Büyüközer | | Yorum yapın

From the Shadows

Kendilerine From the Shadows ismini veren ve “not tv. dot tv.” diye ortaya ikan iki kisinin kurdugu grubun vidyo çekimlerine sans eseri nette dolasirken denk geldim. Şu ana kadar 5 bölüm yapmislar ve download etmek istediginiz zaman boyutlari toplamda 1 gb.’i buluyor.

5 bölümün içerigini izledigim kadariyla özetliyim:

from the shadows v1.0 : İlk etapta amatörlükleri g.ze çarpiyor zaten çekim de baya kisa sürüyor ama içerigi ve ilgili ürünü inceleme sekilleri orijinal. Ellerinde 4 tane Sony PsP cihazi var ve onlarin WiFi özelligini test etmek için önce 4 yol agzinda durup, trafik isiklarinin bulundugu noktalarda durup WiFi üzerinden 4 lü oyun oynuyorlar. Ondan sonraki mekanlar: metroda farkli vagonlarda, otobanda farkli arabalarda ve en son uçaktan asagi atlayip uçus esnasinda. (07:43 dk.)

from the shadows v2.0 : Star Wars’in ünlü karakterinin Jedi (Ceday) ‘in kilicinin amatör olarak yapimini gösteriyorlar. (15:12 dk)

from the shadows v3.0 : Benim ilgimi çeken bölümlerden birisi, WiFi hacking. (32:58 dk)

from the shadows v4.0 : En çok ilgimi çeken bölüm bu oldu. Filmlerde gördügümüz, banka soygunundan sonra polisten kaçis esnasinda trafik isiklarinin yesile döndürülmesi olayinin nasil yapildigini gösteriyorlar. Ayrica Los Angeles trafik sistemini direkt kontrol panelinden gösteriyorlar. Bu konulara göre benim daha az ilgimi çeken Güvenlik kodu konmussun oyun cd lerinin imajinin alinmasini gösteriyorlar. (38:24 dk)

from the shadows v5.0 : Bu bölümü bira yapimina adamislar. İlgili bira fabrikasinda biranin altindan girip üstünden çikmislar. (38:10dk)

Vidyolari Videogamepirate sitesinden buldum, siz de oradan indirebilirsiniz.

Internet Linux | Mehmet Büyüközer | | 1 Yorum

Fork Fork Fork

Full disclosure listesinde gecenlerde bence biraz eksantrik bir konu gecti. Bashte sadece bu satir girildigi zaman bir acik exploit edildigini iddia etti konuyu açan.

:-(){ : | :& };:

Aslinda o liste için bu tür bi baslik garip degil ama bu konunun bir açik olmadigi aslinda “fork bomb” diye bilinen bir açilima gittiginin belirtilmesi ve bu yeni konu benim ilgimi çekti.

Bahsi geçen string aslinda

The ‘:()’ defines a fuction ‘:’ with a fuction body of
{
: | : &
}

As you can see this is a recursive call as the fuction ‘:’ is called, it’s output passed via a pipe as input to the fuction ‘:’ and this whole command is run in the background ‘&’ .

The last ‘:’ in the string (after the ‘;’) calls the fuction and therefore starts it all of.

buymus. Yani devamli ayni process fork edildigi için sistem %100 cpu’ya vuruyor. Ondan sonra geçen mesajlarda baska bir fork bomb da geliyor.

echo “\$0&\$0″>_;chmod +x _;./_

Siz de denemek isterseniz önce
ulimit -u 15

yapmanizi siddetle tavsiye ederim. 🙂

Linux | Mehmet Büyüközer | | Yorum yapın

1-2 hafta aradan sonra USA’dan devam

Türkiye’de beyin göçü söylemini devamli sürdürdügümüz bir dönemde ben de ABD’ye gelenler kervanina katildim. Şu anda Arlington – Texas’ta University of Texas At Arlingtonda yüksek lisans için bulunuyorum. Genelde lisansa baslarken de bitirirken de çogumuzun söylemi yurtdisina çikip görmek seklinde, ben de bu hayali gerçeklestirmekten aslinda su an için mutluyum (belki erken ama :))

Geçen 5 gün içinde egitim sistemlerinde ençok gözüme çarpan ve hosuma giden nokta, hocalarin okula para getirme zorunlulugu. Doktora ögrencileri tezlerini tamamladiktan sonra hocalik için üniversitelere basvuruyorlar. Basvuru miktari çok fazla oldugu için kabul orani eskiye nazaran baya azalmis durumda. Bu asamada üniversitelerden kabul alirlarsa, orada hocalik görevine basliyorlar, bu arada bizdeki gibi artik maasi al yoluna devam seklinde birsey yapamiyorlar. Okulda ders vermeye basladiktan 6 yil içinde üniversiteye en az 1 milyonluk (ama istenen miktar olarak 2-3 milyon dolar) getiren projeler bulmak zorunda. Ama bunun yaninda, yillik 80 belki 100 bin $ maas aliyorlar ve sosyal imkan olarakta çok müreffeh bir hayat sürüyorlar. Akademisyen olmayipta piyasada mühendisligi seçerse o kadar rahat bir yasam standardina sahip olamiyor. Bu arada üniversite hocayi saldim çayira seklinde degerlendirmiyor, 3. yilinda teftis ediyorlar, eger o zamana kadar para getiren proje bulmadiysa yada proje bulmus ama üzerinde çalisma yapmiyorsa hakkinda kötü rapor veriyorlar. Raporun kötülük derecesine göre 3.yilin sonunda hocayla yollari ayiriyorlar. Eger projede umut varsa ve parasal katkisi olacaksa bu süre 6 yila kadar uzuyor. 6 yil sonunda daha kapsamli bir kontrol ve ona göre yola devam etmiyeceklerinin kararini veriyorlar.

Hocalarin okul içindeki gücü ve etkisi aldigi projelere ve üniversiteye olan mali katkiya belirleniyor. Bize göre çok kapitalist bir düzen gibi görünüyor fakat sistemin ayakta kalmasi ve devamliligi için böyle bir konu sart. Keske buna benzer, endüstri ve akademik çalismalarin birbirine kenetlendigi bir egitim yapisi Türkiyede de olsa ve arastirmalarin, makalelerin miktari burada oldugu kadar artabilse…

Yasam | Mehmet Büyüközer | | Yorum yapın

FreeLancer lik

Eger kendi çapinizda zevk için scriptler yada programlar yaziyorsaniz ama keske bu programciligimla proje alsam da para kazansam diyorsaniz ki ben devamli diyip duruyordum bu siteye bakmanizi tavsiye ederim.

Freelancer’in türkçe karsiligi proje bazli is yapan manasina geliyor. Bu sitede programcilar (programci firmalar) birbiriyle kapisiyor, proje yaptirmak isteyenler proje tanimini ve içerigini belirtiyor ve açik artirmaya veriyor, programcilar kaç günde ve ne kadara yapacaklarini belirtip açik artirmaya katiliyor, anons tarihinin bitiminde projeyi açik artirmaya açan kisi projeyi ilgili kisiye veriyor ve kapatiyor.

Tabi burada sistemi kullanima açanlarda komisyonlarini kazaniyorlar. Ama devamli bu site üzerinden proje yapip para kazaniyorsaniz komisyon vermemek için Gold üyelige geçebilirsiniz, o zaman proje bazli komisyon vermek yerine aylik aidat ödüyorsunuz.

Linux Programlama | Mehmet Büyüközer | | 2 Yorum

Gmail Filesystem

Google Hackleri ile ilgili yeni çıkan neler var diye bakınırken, Gmail Filesystem diye bir projeye denk geldim. Hem fikir hem de yapılan çalışma çok iyi. Gmail hesabınızı GmailFS ile Linux dosya sistemine mount ediyorsunuz ve Gmail hesabınızı yerel disk gibi kullanabiliyorsunuz.
Bu arayüz sayesinde gmail hesabınızda dosyalarınız üzerinde linuxta dosya işlemleri için kullanılan birçok komut kullanılabilir hale geliyor. Gmail hesaplarını sadece dosya aktarım amacı ile kullananlar için vazgeçilmez bir araç.

GmailFS Phyton kullanılarak yapılmış, phyton için bir google apisi de var. Bu arayüz kullanılarak yazılmış diğer bir araçta GoogleSweep Google’ı kullanarak tarama yapılacak hedef network hakkında IP adreslerini kullaranak fikir edinmeye çalışıyor.

Arama Motorları Internet | Mehmet Büyüközer | | Yorum yapın

Yet Another Google Bombasi

Son yillarda hackerlar için trend “uygulama katmani”. Internet üzerinde web, ftp, mail servisleri en çok kullanilan servisler oldugu için de en çok nasibi bunlar aldi, almaya da devam ediyor. Tabi bunlardan en gözde olani web uygulamalari. Bunun kisaca nedenlerini siralamak gerekirse:

  • Neredeyse herkesin web sitesi var
  • Web sunucularinda daha sik açik bulunuyor (script kiddielerin hedefi oluyorsunuz)
  • Web sunuculari üzerinde çalisan uygulamalar sayesinde sirketler özel bilgilerini B2B ile paylasiyorlar
  • e-commerce, banka trafigi, para olaylari

Web uygulamalarini hacklemek için webserver’in kendisini hedef almanin yaninda, üstünde çalisan uygulamalarda da çikan açiklar (sql injection, xss vs.) hackerlar ve bilhassa onlarin çaylaklari script kiddieleri için göz bebegi oldu. Web sunucusunun üzerinde çalisan uygulamalardaki eksikleri tespit etmek için arama motorlari kullanilmaya da baslayinca is iyice çorbaya döndü. Bu noktada johnny i hack stuff basligi altinda sitesini açan johnny’nin (sari saçli) sitesi en ugrak yer oldu. Sonradan sonraya burasi artik google üzerinden sitelerde açik bulmayi hedefleyen kisiler için vazgeçilmez kaynak oldu.

Sadede gelmek gerekirse, google’da bu veritabanini kullanarak saldiri yapanlara karsi GHH baslikli “Google Hack” Honeypotu duyurdu. Aslinda ilk sürüm subat tarihli ama biraz daha stabil hali ile yeni sürümü 1 agustosta çikardilar.

Arama Motorları Güvenlik Linux | Mehmet Büyüközer | | Yorum yapın

Kablosuz Ag Güvenligi – 1

Önce amerikada baslayan kablosuz ag furyasi bütün dünyayi sardi. Türkiye’de de bundan geri kalmadik, neredeyse hepimiz kablosuz ag kullanir olduk. Evde yaklasik 1 yildir kablosuz ag kullaniyorum, laptop kullanicisi iseniz bu özgürlügü yasamak en dogal hakkiniz bence.

Yaklasik 2, 2.5 sene önce abd’de kablosuz ag kullanilma yayginlasma evresindeyken securityfocus taki mailing listlere devamli, “yan komsumun kablosuz agini kullaniyorum”, “karsi komsumun windows paylasimlarini görüyorum” gibi mesajlari geliyordu, tabi o siralar bizde çok yaygin olmadigi için turist ömer modunda izlemekle yetiniyorduk. Artik bizde de yayginlastikça, bilhassa centrino kullanicilari “ya ben arkadasin yanina gittigimda kablosuz aga baglandim” gibi konusmalar artmaya basladi. Eger laptopunuz ve arabaniz varsa sizin de yapabileceginiz küçük bir çalisma öneriyim, sonuçlarini da paylasmaniz belki ileride su anda benim de üyesi bulundugumböyle bir grup ortaminin olusmasi saglayabilir. Bu çalisma çok basit, arabanizla eve giderken laptopunuzu açmak ve bu programi çalistirmak.Örnegin ben isyerinden (kozyatagi) eve giderken laptopu açik biraktim ve atatürk caddesinde McDonaldstan, U çizip carrefourun oraya gelene kadar yaklasik 45 tane kablosuz ag buldum ve bunlarin sadece 1/3’ü WEP kullaniyordu. Eger siz de bu çalismayi yaparsaniz, yer bildirerek comment kismina yazarsaniz çok memnun olurum.

WEP demisken de bu yaziya bakmanizi ve vidyolarda da belirtildigi gibi WEP’in ne kadar kolay kirilabildigini görmenizi tavsiye ederim. Yani WEP kullanarak, bu konularla ilgilenmeyen kisileri engellemis oluyorlar. Ama firmalar için çok ciddi bir güvenlik açigi oldugunu söylemeye bile gerek yok.

Peki güvenligi nasil saglayabiliriz bunun ile ilgili yine ABD hükümetinin halki bilinçlendirmek için hazirladigi web sitesinde bu konuyla ilgili hazirladiklari bir draft var. Burada belirtilenler tabi genel itibariyle üstü kapali ve genele hitap eden ifadeler. Temel olarak birkaç adimda en azindan ev ve kisisel kullanim için biraz kendimi güvende hissetmek istiyorum derseniz:

  • Wireless modem veya access pointinizde SSID broadcast’ini kapatmalisiniz.
  • WPA kullanmaya baslayin, olmuyorsa en azindan WEP kullanin.
  • Kablosuz agi kullanacak makinalari belirleyip MAC adreslerini çikartin, modeminizde MAC filteri aktif edip sadece onlara izin verin

Şimdilik kisaca diyebilecegim bunlar ama kablosuz agi firma bazinda kullanmayi düsünüyorsaniz ve güvenliginizden emin olmak istiyorsaniz airdefense tarzinda profesyonel ürünleri yerlestirmeyi en kisa sürede planlamalisiniz. Kablosuz agin kurulumu çok basit ve ucuz olabilir ama güvenligi saglanmamis bir kablosuz ag size güvenligini saglamak için yapacaginiz masrafin en az 5-10 kati zarar verir.

airdefense demisken, aslinda bu alan (kablosuz ag piyasasi) dünya çapinda güvenlik yününden en çok ürün eksikligi yasanan alan. Kablosuz ag güvenligini saglayacak ürünler ve bu teknolojiyi gelistirecek bilgi birikimine sahip firmalar çok az su anda. Türkiye’de bunun ile ilgili airties üikti ama % kaçi yerli, yabanci ortakligi var mi yeterince bilgim yok. Maalesef yerli diye satilan birçok ürünün patenti yurtdisindan alinip sadece burada markasi veya ismi degistiriliyor. Bitirme projem kablosuz aglarin bir kismiyla ilgili oldugu için (ileriki günlerde detaylarini yazicagim) aslinda temelde kablosuz agda bulunan güvenlik açiklarinin diger alanlara göre daha sinirli oldugunu ve çözümünü gelistirecek alt yapininda çok derinlerde yatmadigini biliyorum fakat bunun ile ilgili yatirimcilarin uyanip, IT güvenligi alemine bir sekilde el atilmasi gerekiyor.

Kablosuz Ag (Wireless) Linux | Mehmet Büyüközer | | Yorum yapın

7-zip

Bloglar arasinda dolasirken 7-zip sikistirma uygulamasiyla karsilastim ve kullanmaya basladim, benim gibi devamli biseyler sikistirip o sekilde veri aktarmak zorunda kaliyorsaniz siddetle tavsiye ederim.
Gördügüm avantajlari siraliyim:

  • Açik kod – yani ücretsiz
  • Bilhassa yazi tabanli dosyalardi çok yüksek sikistirma orani. Benim yaptigim denemede winrar ve winzip ile Best compression ve Create Solid archive seçenekleri seçiliyken ayni dosyalar üzerinde (2.5 Mb word ve pdf dosyalari)
    • 7-zip 851 K
    • rar 873 K
    • zip 1.058 K

    sonuç aldim.

  • Hali hazirda diger sikistirma programlarindaki bütün sikistirma metodlarini kapsiyor.
    7z, ZIP, CAB, RAR, ARJ, GZIP, BZIP2, Z, TAR, CPIO, RPM ve DEB
  • İsterseniz sag klik menüden, isterseniz winrar’dakine benzer file explorer menüsünden sikistirmak istediginiz dosyalari seçebiliyorsunuz
  • 57 dil destegi ve bunun içinde türkçe de mevcut.
Linux Yazılımlar | Mehmet Büyüközer | | 1 Yorum

Ajax

Blog alemine bir kez daha tesekkür etmem gerekiyor. Bir zincir seklinde beni su anda internet teknolojisi olarak en yeni olarak kabul edilen Ajax’a ulastirdiklari için. Zinciri silsile seklinde saymam sanirim sizin içinde faydali olur. Ilk kaynak alexking Gerçekten çalismalarini ve üretkenligini takdir etmemek elde degil. Su anda gelistirmekte olduklari online feed reader projesi için bayagi zaman harcadiklari ortada. Google’in pazar politikasinda oldugu gibi su anda davetiye usulü hizmet veriyor ve sadece firefox browserini destekliyorlar. Alex King’in bloguna bakarken, feedlounge ‘un elestirisini yapan Dougal Gunters’in sitesine ulastim. Aslinda Alex’in ve diger arkadaslarinin içinde oldugu gurubun yaptigi çalismanin Ajax denilen yeni bir teknolojiler bütünün ortaya çikisi oldugunu ögrendim. Son durakta Jesse James Garrett’in Ajax’in ne oldugu, neden böyle biseye ihtiyaç duyuldugu ve nasil olacagi hakkindaki yazisina ulastim.

Ajax aslinda apayri bir teknoloji degil, mevcut teknolojiler bütünü demek ifade açisindan daha dogru olur diye düsünüyorum.

  • XHTML ve CSS
  • XML ve XSLT
  • XMLHttpRequest
  • ve bunlarin hepsini birbirine baglayan JavaScript

Esas amaç web tabanli uygulamlari masa üstü yazilimlara hem görsellik hem de sürat açisindan ayni düzeye getirmek. Su an için javascript ve sunucu tabanli hazirlanmis bir sayfada her islemden sonra sizin isteginizin sunucuya iletilmesi, sunucuda bunun isleme sokulmasi ve sonucunun size aksettirilmesi, yani ekran karsisinda beklemek. Burada ortaya Ajax kavrami çikiyor.XML tabani ile kullaniciya kaynak saglamak ve bunlarin üzerinde Javascript ile yazilmis kod ile isteklere aninda cevap vermek. Yazida geçtigi kadariyla google bu ise çok para yatiriyormus su anda. Zaten google maps bunun bir örnegi olarak çikti. Web arayüzünün masa üstü arayüzüne dönüsü çok zor gibi gelirdi ama onun ile ilgili bu örnek en azindan programlarda gördügümüz üst menü açisindan bu konunun ortadan kalktigini gösteriyor. Siteler üzerinde hizli çalismanin verdigi rahatlik baya hos olacaga benziyor fakat güvenlik konusu da biraz daha ortaya çikacaktir sanirim. Kullanici tarafindan browserlar daha bir önem tasimaya basliyacak, bu sefer web serverlarda açik bulma yarisi browserlara dogru geçecek sanirim, kanin vücuttaki hareketi gibi.

ajax

Internet Linux | Mehmet Büyüközer | | 3 Yorum

WEP – WPA ve WPA -2

Kablosuz ag ülkemizde de yayginlasmaya basladi bilhassa istanbulda, bir sokaktan geçerken 4-5 tane wireless modem yada access pointe denk gelmemek isten degil. Yalniz güvenlik konusunda çok gerilerde oldugumuz için, henüz kisisel bilgisayarimizin güvenligini saglayamazken (worm,trojan,virus,spyware,adware) bide kullandigimiz ag yapisinin güvenligini saglamak çikti basimiza.

Kisaca kablosuz ag güvenligi denince akliniza ilk gelenin “siz konustugunuzda sesinizin ulasacagi yerlerdeki herkesin sizi duyacagi” olmalidir. Topluluk içinde bir arkadasiniza seslendiginiz zaman sizi sadece o arkadasinizin duyacagini zannetmediginizden eminim. Aynisi kablosuz aglar için de geçerli, ortam “hava” olunca, havanin ilettigi noktaya kadar sizin verileriniz iletilir. Eger verileriniz sifreli de degilse vay halinize bütün verilerinizi ortaliga saçiyorsunuz demektir.

Kablosuz ag güvenligi için ortaya ilk atilan WEP’in neredeyse hiçbir geçerliliginin olmadigi herkesçe dile getiriliyor. WEP’in açilimi Wired Equivalent Privacy yani “kabloluya esdeger gizlilik”, tabi yalan. Neden mi? WEP’te siz bir anahtar belirliyorsunuz ve bunu o baglantiyi kullanacak bütün kullanicilara veriyorsunuz. Tabi kullanilan anahtar tek ve herkeste ayni oldugu için bir yerden sonra yalama oluyor. WEP’te baglanti kurulmadan önce WEP key denilen baglantinin sifrelenmesi için gerekli anahtar yollanir ve ondan sonra bütün görüsme o anahtarla sifrelenerek devam eder. Verilerin sifrelenmesi fikri güzel ve gerekli ama hep ayni anahtarin kullanilmasi bir süre sonra konusulan konularin etraftakilerce anlasilmasina sebep oluyor. Basit bir örnek olacak fakat türk filmlerinde gördügümüz sa-ga-ni-gi tarzi konusma sifrelemesine benzer bir durum ortaya çikacak, bir süre sonra sizin konusmalarinizda kullandiginiz küçük kodlar etraftakiler tarafindan anlasilir hale gelecek.

Adamlar (The Wi-Fi Alliance) oturup bunun için bir düzenleme yapalim diye düsünürken, iletisimde kullanilan anahtarlarin siklikla degistirilmesi fikrinin çok daha iyi olacaginda karar kilmislar. Böylelikle WPA dogmus. WEP’ten temel farklilik olarak WPA’de yapilan TKIP (Temporal Key Integrity Protocol) kullanarak belirlenen zaman araliklarinda yeni anahtarlar üretmek ve iletisimi onlarla devam ettirmek.

Eger halen WEP kullaniyorsaniz kesinlikle en yakin zamanda WPA (Wi-Fi Protected Access) ‘e geçmenizi tavsiye ederim. Eger WPA’in varligini ilk defa benden duyduysaniz zarari yok hemen WPA 2 nin çiktigini da söyliyeyim. Temelde WPA’in getirdiklerine bagli kalmasina ragmen kullanabilmemiz için maalesef kullandigimiz donanimlari degistirmemiz gerekiyor. Aslinda mevcut donanimlarda eger AES destegi varsa yazilim güncellemesi yapilarak WPA2 kullanilabilir hale geliyor fakat bu destek yoksa WPA2 ile gelen sifreleme versiyonundan(RC4 ve AES) dolayi donanimin yenilenmesi gerekiyor.

WPA2 ile WPA arasindaki temel fark, kullanilan sifreleme algoritmalarinin degistirilmesi. WPA2’de AES kullanim sarti geliyor böylelikle FIPS (Federal Information Processing Standard) standartlarina uyum saglanmis oluyor. FIPS standartlarina uymak demek kablosuz agin devlet kurumlari (ABD) tarafindan kullanilabilir hale gelmesi demek oluyor. Tabi ülkemizde o tür zorunluluklar pek olmadigi için biraz yabanci gelebilir ama ABD’de eger bir devlet kurumu kablosuz ag kullanmak istiyorum derse, verilerin sifrelemesini AES kullanarak saglamak zorunda su ana kadar bu sifreleme WEP yada WPA’in üzerinde VPN kullanarak saglaniyordu. Artik WPA2 kullanarak standartlara uyumlu hale gelinmis oluyor.

WPA2 için windowsun destegi var mi diye soruyorsaniz, bu linke bakmanizi öneririm.
Ayrica WEP-WPA ve WPA2 ile ilgili ayrintili bilgi almak için wikipediain sayfasina bakabilirsiniz.

Kablosuz Ag (Wireless) Linux | Mehmet Büyüközer | | 3 Yorum

Port knocking

Sunucunuza ssh, remote desktop veya vnc kullanarak erismek istiyorsunuz. Amma velakin bunlarin direkt olarak disar açik olmasi hackerlar için en güzel nimet. Bende bunun ile ilgili sanirim 2 sene önceydi arama tarama yaparken portknocking.org sitesini bulmustum. Kavram gerçekten çok güzel aslinda. Bir örnek vermek gerekirse, sunucunuzda ssh server (port 22) iniz var ve linux sunucunuzu ssh nimetini kullanarak shell üzerinden yönetmek istiyorsunuz. ssh’in varligi ve getirdikleri tabiki tartisilmaz bir güzellik fakat zararli güçlerin eline geçerse neler olabilecegi gayet açik. Eger sunucunuzda firewall varsa ve bir hacker sunucunuza port scan yapiyorsa muhtelemen
SSH 22
Web Server 80
ftp Server 21

bunlari bulacaktir. Tabi ssh’in varligi gözde bir isildamaya neden olacaktir. Ortalikta dolasan password list ve brute force için kullanilan araçlardan birisini çalistirarak eger sabirli birisiyse ve siz de sunucunuzun loglarini takip etmekten aciz bir yöneticiyseniz, bulana kadar devamli kullanici adi ve sifre kombinasyonu deneyecektir. ssh sunucunuzun üstünde bunun için çesitli düzenlemeler yapip, 3-5 denemeden sonra deneme kabul etme v.s. diyebilirsiniz ama remote desktop (3389) vnc (6000) portlari için ne yapabilirsiniz? Aslinda ne yapabilirsinizi demek dogru olmayabilir, yapilacak illaki biseyler bulunabilir ama konunun basligi port knocking olduguna göre bunun ile gayet güzel ve harikulade bir çözüm bulabilirsiniz.

Port knockingde, ssh sunucunuz yine 22. portta çalismaya devam ediyor ama iptables üzerinde yaptiginiz ayarlarla, 22. porta direkt baglanmasini önlüyorsunuz. 22. porta baglanmadan evvel örnegin ilk önce 1400 sonra 2200 ondan sonra 3000. portlara teker teker telnet ile baglanmayi denemesini ondan sonra 22. porta baglanmasini saglayabilirsiniz. Yani baglanmak isteyen kisi ilk önce evinizin belirli noktalarini tiklar ondan sonra siz kim o deyip kapiyi açarsiniz. Bu firewallun sagladigi güvenligin üzerine geçirilmis ve neredeyse kirilmasi mümkün olmayan bir güvenlik. Nasil mi?

1- sizin belirlediginiz sirada ilgili portlara baglanti kurmayi denemesi.
2- ilgili portlari yaptiktan sonra tekrar 22.porta baglanmayi denemesi
3- 22.porta baglandiktan sonra kullanici adi ve sifreyi bilmesi

Sanirim bundan iyisi samda kayisi olur. iptables kullanilarak bu bahsettiklerimin nasil yapilacagini anlatan çok güzel bir site var.

İlk asamada ssh için anlatiliyor olsada, bunun ile ilk akla gelen vnc ve dis dünyaya birebir açik kalmasini istemediginiz bütün uygulamalari saklayabilirsiniz.

Güvenlik Linux | Mehmet Büyüközer | | 1 Yorum

Arama motorlarinin dünya savasi ve amazonun a9 u

Google’un arama motoru dünyasina yepyeni bir ürün getirmesi ve diğer firmalarla aralarındaki yarışa yeni bir boyut kazandirmasi, microsoft’un ve yahoo’nun paçalarının tutuşmasına neden oldu. slashdot’taki haberleri okurken bu sayfada microsoftun bu pazartesi duyurduğu yeni ürünün adını bile google’dan çalmakta çekinmediği apaçık ortada. “Virtual Earth
Bu ürününde google’ın “google earth” tarzında uydudan, uçaklardan çekilmiş fotoğraflarla bütün dünyayı ekranınıza seriyor. Google bu ürünü geçen ay duyurdu, microsoft şu anda yarışa 1 ay geç başlamış gözüküyor. Sanırım microsoft bu yarışta daha da geri kalmamak için çok daha fazla düşünmeden bu ürününü duyurdu ve takipçilerine bende varım mesajı verdi zira google haberlerde de yer aldığı gibi, dünyayı bitirdik havasıyla ay ve güneş sistemine uğraşmaya başlamış.
Aslında arama motorlarının bu alana yönelmeleri, artık üç boyutlu arama imkanı vermeleri bence bizler için çok güzel. Bunun için rekabet etmeleri de bence sevindirici. Bu teknolojinin yıllardır askeri alanda kullanıldığı biliniyor ama sivile geçişinin bu kadar ani ve hızlı olması, bu kadar yeni olmasına rağmen çoğu kişi için faydalı olacağı kanısını uyandırdı bende. Ben de meraklılar kervana katıldım ve beyaz sarayından, rusyadaki kızıl elmaya,paristeki eyfel kulesinden, çin seddine kadar ilginç bir seriye göz atma imkanı buldum.
Google ve microsoftun yanında o makalede okuduğum ve ilk defa gördüğüm amazon’un arama motorunu görmüş oldum. a9.com üzerinden de yerel aramalar ve google’ınkine benzer gerçek görüntülere ulaşma imkanı sağlanıyor.

Arama Motorları Internet Linux | Mehmet Büyüközer | | Yorum yapın
css.php