Google’ın ‘sitede bir problem olursa kusura bakmayın, şimdilik uzaktayız’ mesajlı uygulaması ilk olarak o dönemler henüz öğrenci olan sitenin kurucuları Larry Page ve Sergey Brin tarafından ‘oluşabilecek teknik aksaklıktan dolayı’ peşinen özür dilemek amacıyla kullanıldı.

Özel logo uygulamaları, tüm dünya ülkeleri için önemli gün ve tatillere, kültürel olaylara ve tarihte yer alan önemli kişilere bu benzersiz platformda yer vererek, dikkat çekmeyi amaçlıyor. Ayrıca internet kullanıcıları bu özel tasarımlı logonun üstüne tıklayarak, o güne/kişiye/konuya özel daha ayrıntılı bilgiye erişebiliyorlar.

Türkler için büyük önem taşıyan ve Türkiye Cumhuriyeti’nin doğduğu ve özgürlüğünü ilan ettiği gün olan 29 Ekim Cumhuriyet Bayramı’nın heyecanını ve ruhunu yansıtacak özel bir logo tasarlandı. Google Türkiye Pazarlama Direktörü Mustafa İçil yaptığı açıklamada “ Bu özel tasarımlı logoyu www.google.com.tr ’de yayınlayarak tüm Türkiye’nin Cumhuriyet Bayramını kutlamak ve bu önemli günün heyecanını hep birlikte yaşamayı amaçladık. 29 Ekim logosu Google’ın Türkiye pazarına verdiği önemin ve bağlılığının bir göstergesidir ve umarım tüm kullanıcılarımızın beğenisini kazanır.” dedi.

Kaynak : NTVMSNBC

Yüzyıllardır ressamların vazgeçemediği bir malzeme olan kurşun kalem ve kömür kalemle gerçekleştirilen karakalem çalışmalar, izleyenlerde her zaman farklı bir hayranlık uyandırmışlardır. Yağlı boya ve sulu boya çalışmaların renk zenginliğini bir kenara bırakarak oluşturulan bu ışık-gölge ve kontür çalışmaları, başlı başına birer sanat eseri olmalarının yanı sıra, renkli çalışmalar için yol gösterici bir rol üstlenirler.

Bu bölümümüzde teknikten biraz bahsetmenin yanı sıra sizlere karakalem çalışmaya başlamanız için size kısa bir örnek sunuyoruz. Adımları takip ederek kağıt, kalem ve silgi yardımıyla evinizde kolayca bulabileceğiniz malzemelerle oldukça keyifli bir çalışma gerçekleştireceğiz.

En temel resim malzemesi
Kurşun kalem en temel resim malzemesidir. Resme başlayanların mutlaka üzerinde çalışması gereken kompozisyon ve ışık-gölge tekniklerini kara kalem resimlerle geliştirmek en uygun çalışma yöntemi olacaktır. Boyaların kendilerine has özelliklerini ve teknik zorluklarını bir kenara bırakarak, kara kalem çalışmalarla resme ilk adımınızı atabilirsiniz.

Ortaya çıkan sonuç sizi tatmin edene dek, aynı ya da benzer konular üzerinde çalışmanızı tavsiye ederiz. Hazırlayacağınız bir natürmort düzenleme ya da yakınlarınızın size modellik yapmalarıyla, ileride renkli çalışabileceğiniz kompozisyonlar için referans alabileceğiniz çalışmalar ya da hızlı eskizler gerçekleştirebilirsiniz.

Kara kalem çalışmaları için çeşitli yumuşaklıklarda kurşun kalemlerin yanı sıra kömür kalem ya da füzen benzeri malzemelerle birlikte hamur silgi kullanabilirsiniz. Böylece resimlerinizdeki ışık-gölge dağılımını dengeler ve hataları daha kolay giderebilirsiniz. Başlangıç olarak “H” benzeri sert kalemlerle çalışmanız ve resminiz ilerledikçe daha yumuşak kalemlere geçmeniz, ışık-gölge dağılımını dengede tutmanıza yardımcı olacaktır. Tabi kağıt seçiminiz de oldukça önemli. Dokulu kağıtlar, üzerlerinde daha fazla kalem izi tutacağından, resminiz size daha çekici görünecektir. Yine de yeni başlayanların daha az dokulu ve az gramajlı kağıtlar tercih etmesini tavsiye ederiz. Aksi takdirde resmi fazla koyultarak bir anda tamamen kararmış bir desenle karşı karşıya kalabilirsiniz.

1) Objelerin taslaklarını çıkartın
Kağıdınız üzerine objeleri yerleştirmenize yardımcı olması için kağıdınızı eşit büyüklükte karelere bölebilirsiniz. Üç objeji de sadece kontür olarak, 2B kaleminizi kağıda fazla bastırmadan kağıda yerleştirmeye çalışın. Objelerin ayrıntılarına girmeyin ve yanlışlık yapmaktan korkmayın.

2) Taslağı tamamlayın
Objelerin kağıt üzerine yerleşimi sizi tatmin ediyor ise, şişe ve sürahi üzerindeki küçük detayları ekleyebilirsiniz. Kağıda doğru yerleşmiş ve birbirleriyle doğru ilişkilendirilmiş nesneler gölgelendirmeye hazırlar.

3) Şişeyi gölgelendirin
Işığın nesnelerin üzerine nasıl düştüğünü dikkatlice inceleyin. Kömür kalemle çalışmaya başlayarak gölgelendirmelere başlayın. Sivri uçlu kömür kalemle yapacağınız sert ve yumuşak kalem darbeleriyle, ışıklı bölgelere geçmemeye dikkat ederek şişeyi gölgelendirin. Şişenin yuvarlak formunu vermek için dönen formunu takip eden çizgiler kullanmaya çalışın.

4) Bardağa form kazandırın
Şişenin ağzı gibi detayları kömür kalemin ucunu iyice inceleterek çalışın. Ardından bardağa dönün, sağ yanındaki gölgeli bölgeyi oluşturmak için kaleminizi biraz daha bastırarak kullanın. Solundaki ve üst tarafındaki ışıklı bölgeleri boş bırakın.

5) Sürahi üzerinde çalışın
Çizimini tamamladığınız bölgelerin üzerine bir parça kağıt yerleştirin ki, kurşun kalem kağıt üzerinden dağılıp resminizi kirletmesin. Ardından sürahiyi gölgelendirmeye başlayın. Yine ışık alan bölgeleri açıkta bırakarak dikey çizgilerle gölgelendirme yapın.

6) Sürahiyi biraz koyultun
Kademe kademe ilerleyerek nesnelerin üzerine düşen gölgeleri koyulaştırın. Gerek gördünüz alanlarda ışığı belirginleştirmek için silginiz ile kurşun kalem lekelerini silerek daha parlak ışık olurturabilirsiniz.

A Kağıda yerleştirme
Nesnelerin detaylarına girmeden önce kompozisyon genel hatlarıyla kağıda yerleştirildi ve objelerin birbirlerine olan orantıları kontorl edildi.

B Kurşun kalem kullanmak
Hata yapma ihtimaline karşı taslak 2B kalemle çizildi. Ardından çalışma kömür kalemle tamamlandı. Kömür kalem neredeyse tüm kurşun kalem izlerini gizledi. Unutmayın kurşun kalem kömür kalemden daha açık tonlar yaratır ve daha yumuşak bir sonuç verir.

C Üç boyutlu görüntü
Natürmortta gördüğünüz üç nesne de yuvarlak forma sahipler. Bu etkiyi kağıda taşımak için kontür çizmek yeterli olmayacaktır. Bu sebeple gölgelendirme, objelerin formlarını ortaya çıkaracak şekilde yapıldı.

İyi Çalışmalar, yaptığınız resimleri bize gönderebilirsiniz.

Keşfin arkasındaki iki araştırmacı Robert Hansen ve Jeremiah Grossman açığın seviyesi ile ilgili ufak bilgiler verdiler.

Clickjacking nedir?

“Maalesef, bulgularımızın bazıları kötü değil, çok kötü. O kadar kötü ki, sorumluluğunu taşıyarak duyurmamız gerektiğini hissettik. Bir açık diğerine yöneltti o da bir diğerine ve güm - yakında açıklar ile ilgili pek çok yama çıkacak. Ve sadece bir kaç üretici firma ile çalıştık. Ve.. evet. Açık çok kötü.”

Yarı kısıtlı OWASP prezentasyonunu izlemiş birisi açığın gerçekten zero-day (patch i yok) olduğu, tüm browser’ları etkilediğini ve Javascript ile alakası olmadığını belirtiyor:
“Kabaca, kötü amaçlı bir web sitesini ziyaret ettiğinizde saldırgan browser’ınızın ziyaret ettiği linklerin kontrolünü eline alabiliyor. Problem lynx türü olanlar hariç hemen hemen tüm browser’ları etkiliyor. Problemin javascript ile alakası yok ve javascript i kapatmanın yararı olmuyor. Browser2ların çalışma mantığındaki bir hata ve bir yama ile basitçe kapanamayacak birşey. Bu açıkla, kötü amaçlı bir web sayfasına girdiğinizde, kötü amaçlı kişi istediğiniz linke, butona tıklamanızı sağlıyor ve birşey görmüyorsunuz.”

Firefox 2, 3, Internet Explorer tüm sürümleri (8 dahil), Opera, Safari browser’ları Clickjacking açığından etkileniyor.

Kaynak: http://blogs.zdnet.com/security/?p=1972

Biz geliyoruz…

Firefox Noscript eklentisinin yazarı Giorgio Maone Noscript ile %100 korunma sağlanabileceğini söylüyor. Clickjacking ile ilgili olarak yayınladığımız haberin yazarına aşağıdaki epostayı göndermiş:
“Merhaba,
Clickjacking haberinin yorumlarında Noscript in koruma sağlamadığı ile ilgili çok sayıda spekülasyon ve kafa karışıklığı gördüm.
Bu açığın nasıl olduğu ile ilgili detaylı bilgiye erişme imkanım oldu ve size aşağıdakileri söyleyebilirim:
1. Gerçekten korkutucu bir açık.
2. NoScript varsayılan konfigürasyonu ile çoğu saldırı senaryosunu durdurabilir (en pratik, etkili ve tehlikeli olanlarını).
3. NoScript ile %100 korunma sağlamak için “Plugins|Forbid <IFRAME>” seçeneğini işaretlemelisiniz.

Saygılar
Giorgio”

Firefox için NoScript indir: http://noscript.net/getit
not: Firefox a Noscript i kurduktan sonra Tools->Add-ons->Noscript->Options->Plugins->Forbid <IFRAME>

Kaynak: http://blogs.zdnet.com/security/?p=1973

1. Youtube (youtube.com)
Durum: Düzeltildi.
Popüler video paylaşım sitesi Youtube’ta CSRF saldırılarıyla bir kişinin kendisini başka bir kullanıcının arkadaş listesine ya da bir videoyu yine başka bir kullanıcının favorileri arasına eklemesi mümkün. Dahası yine bir kullanıcının hesabı ile başkalarına mesaj atılabiliyor.

2. ING Direct (ingdirect.com)
Durum: Düzeltildi.
Dünyaca ünlü ING Bankasının bir servisi olan IngDirect’te CSRF saldırılarıyla ek hesaplar yaratmak ve hesaplar arası transferler yapmak mümkün.

3. Metafilter (metafilter.com)
Durum: Düzeltildi.
Popüler weblog servisi Metafilter’da CSRF saldırılarıyla bir kullanıcı hesabı tamamen kontrol edilebilmekte. Ayrıca “şifremi unuttum” fonksiyonu ile kullanıcı şifresi saldırganın e-posta adresine gönderilebilmekte.

4. The New York Times (nytimes.com)
Durum: Henüz düzeltilmedi.
New York Times’ta hala düzeltilmeyen CSRF zaafiyetiyle herhangi bir kullanıcı e-postası bulunabilmekte. “Email This” fonksiyonundan kaynaklanan zaafiyetle birlikte binlerce kullanıcının kayıtlı e-posta adresleri spam için ya da fişlemede kullanılabilir.

Güvenlik zaafiyetleriyle ilgili daha detaylı bilgiyi şu pdf dosyasında bulabilirsiniz.

Referans: Freedom to Tinker

Kaynak : Guvenli.org

*** “Vatan Sağolmasın”dan kastedilen; Şehit verildiğinde söylenen “Vatan Sağolsun”dur. O yüzden Şehit vermeyelim ki artık o sözü duymayalım. Yoksa Vatan sana bu can feda olsun.

Not: Eğer bir blog yazarı bu yazımı okuyorsa isterim ki o da benim gibi “Şehitlerimizle ilgili” bir konudan sonra 7 gün bir şey yazmadın.

Bir site admini düşünün, ve admin arkadaşımız yönetim panelinden 67 nolu üyeyi silmek istediğinde panel üzerinde yaptığı istek x.com/uyesil.php?uye_id=67 gibi bir sayfayı açması yetiyor.Yani adminimiz tarafından yapılan x.com/uyesil.php?uye_id=67 isteğinde 67 nolu üye silinecek.

Şimdi admin arkadaşımızın başka bir siteye girdiğini düşünelim.O sitede de şöyle bir HTML kodu var;

<img src=“http://www.x.com/uyesil.php?uye_id=67″ style=“display:none”>

Bu HTML kodu, sayfada gözükmeden x.com/uyesil.php?uye_id=67 adresine HTTP isteğinde bulunuyor.

Normalde, admin haricinde herhangi bir saldırgan x.com/uyesil.php?uye_id=67 gibi bir HTTP isteğinde bulunduğunda yönetim panelinin olağan şifre yönetimi nedeniyle herhangi bir zararda bulunamayacak.Fakat ilgili yönetim panelinde, yönetici oturum bilgilerine sahip ( session ) olan adminimiz, bu siteye girdiğinde istemediği halde 67 no’lu üyeyi silmiş olacak.Ve büyük ihtimalle bunun farkında da değil.

Bu durum bir çok uygulamada mevcut, hatta öyleki google adsense şifreleri CSRF yardımıyla değiştirilebiliyor, digg.com sahte digg istekleri ile kandırılabiliyordu.

Şimdi diğer sayfaya geçip nasıl önlem alacağımıza bakalım;

Nasıl Önlem Alacağız?

CSRF’yi önlemenin en bilinen ve en sağlam yolu, token ( anahtar ) modelidir.Herhangi bir form düşünün, form sayfası her açıldığında rastgele bir sayı veya string üretiyoruz ve bunu anahtar olarak hafızaya kaydediyoruz.Daha sonra aynı anahtarı veritabanına anahtarlar şeklinde kaydediyoruz.

Form işleme sayfasına geldiğinde, session’daki anahtarı veritabanındaki anahtarla kontrol ediyoruz.Eğer gerçekten böyle bir anahtar mevcutsa işlemi yapıyoruz, aksi taktirde işlemi durduruyoruz.

CSRF ile yapılan isteklerde, form kısmına hiç giriş yapılmayacağı için anahtar session’a kayıt edilmeyecektir.Dolayısıyla, form işleme sırasında CSRF ile yapılan sahte istek geçersiz kalacaktır.

Kafanızda biraz daha açık olması için ufak bir PHP betiği; ( örnek amaçlıdır. )

1. <?
2. session_start();
3. /*** MySQL Baglantisi ***/
4. mysql_connect(“localhost”,“root”,“”);
5. mysql_select_db(“anahtarlar”);
6. /*** FORM ***/
7. if(empty($_GET["kutucuk"])) {
8. /* Anahtar degerlerini yenile */
9. $_SESSION["anahtar"] = md5(rand(0,999));
10. /* Anahtarlar tablosunu guncelle -vt icin- */
11. mysql_query(“INSERT INTO anahtarlar (anahtar) VALUES(’$_SESSION[anahtar]‘)”);
12. /* Formu Bas */
13. echo(‘<form method=”GET”><input type=”text” name=”kutucuk” /><input type=”submit” value=”Flood Me” /></form>’);
14. }
15. /*** FORM İŞLEME **/
16. elseif(isset($_GET["kutucuk"])) {
17. $anahtar_kontrolu = mysql_query(“SELECT anahtar FROM anahtarlar WHERE anahtar=’$_SESSION[anahtar]‘”);
18. if(mysql_num_rows($anahtar_kontrolu)> 0 ) {
19. echo(“Anahtar kabul edildi.Senin formunu kabul ediyorum..”);
20. /* Anahtari kir ve cope at…*/
21. mysql_query(“DELETE FROM anahtarlar WHERE anahtar=’$_GET[anahtar]‘”);
22. $_SESSION["anahtar"] = ”;
23. }
24. else {
25. die(“Yanlis anahtar”);
26. }
27. }
28. ?>

Betik, form açıldığında rastgele bir değer üretip hem session’a hem veritabanına kaydediyor. Form’un işlendiği bölümde session’dan gelen değer ile veritabanındaki anahtarlar kontrol ediliyor, eğer kayıtlı bir anahtar ise kabul ediliyor. ve anahtar bir daha kullanılmamak üzere veritabanından siliniyor.

Aynı mantığı ASP ve diğer web programlama dillerinde uygulabilirsiniz.

Bunun dışında almanız gereken önlemler;

1. Form iletişiminde GET değil POST kullanın.
2. *PHP kullanıyorsanız, $_POST dizisini kullanın.Zira register_globals ile exploit edilebildiği sürece form iletişiminde POST kullanmanızın önemi kaybolur.

Konu ile ilgili kaynaklar;

1. http://www.0×000000.com/?i=309
2. http://www.tux.org/~peterw/csrf.txt
3. http://www.cgisecurity.com/articles/csrf-faq.shtml

Ayrıca bunlara da bakmanızda fayda var.

Olympos Security -> Cross Site Request Forgery - XSRF - CSRF

Lupus Security Blog’s -> Cross Site Request Forgery(CSRF) Olusumu ve Korunma Onlemleri