asıl rahatsız olduğum konu 3.paragraftan itibaren başlıyor.

Efendim, dünyayı kurtaran adam kimdi acaba? Ordaydık ama tanıyamadım ben.

// P.S : oldukça güzel bir seminerdi.

Keşke Firefox geliştiricileri de senin gibi düşünseydi de, kapatmasalardı açığı..

En "geek" örnek olarak web tasarımcılarını gösterebilmek mümkün.

Zira, müşteriler firefox fanatiği ya da internet explorer düşmanı değil. Dolayısıyla bir site geliştirirken, yazdığınız her css/xhtml kodunu Internet Explorer/Firefox gibi favori tarayicilarda denemek zorundasiniz.

ve evet burada asil nokta ikisinin de yüklü olması, ve ikisinin de yüklü olduğunda bu açığın 'exploit' edilebilmesi...

captcha, blog yazisinda dogru sekilde yazilmis. o cumleyi, 'hem baslikta hem icerikte yanlis sekilde kullanilmis' gibi hayal edelim.

Talihsiz bir baslik olmus. Bu yazida bende sikinti yaratan birkac nokta var;

Birincisi bildigim kadariyla "CAPATCHA" diye bir şey yok. Bu tip koruma sistemlerine captcha deniyor. O da "Completely Automated Public Turing test to tell Computers and Humans Apart" kelime grubunun akronim hali.

Yazım hatası(bilinçsiz bir hata) diyeceğim ama, blogda da aynı şekilde kullanılmış burda da.

İkincisi, işin neden türklüğe vurulduğu? Zira, phpBB'de ki ilk captcha'lari gormus olsaydiniz, bunun turklukle alakali olmadigini, yabancilarinda dogustan hatasiz yazilimlar uretmedigini gorebilmis olurdunuz.

Ya da su an bu yorumu okudugunuz sitenin bundan birkac ay kadar oncesine kadar, cok rezil bir guvenlik acigina sahip oldugunu biliyor muydunuz? HTML icinde tutulan hidden bir ID ile hesap bilgileri/sifreler degistirelebiliyordu.

Bunu gordukten sonra yetkililere bildirdim.Sonucta acik kapandi, oldu bitti.

Bunu kendi blogumda yazsaydim, 'bunlar beni sandelyemden düşürecek kadar rezil kod yazıyor bakın şu açığa' deseyim nasıl olurdu? Anlayamıyorum, 'lütfen türk usulü nedir' biri bana anlatsın!

bu arada bugzilla'da resmi olmayan bir patch yayınlanmış durumda.

mail listesinde mesaj hakikaten rezil bir uslupla yazılmış.

bende orada olacagim, yararli bir etkinlik olacaga benziyor.

FM'den kimler gelmeyi dusunuyor?

Keşke 'eleştirmek' için eleştiriler gelmeseydi de ben de adamakıllı cevap yazabilseydim;

Kafası karışıp, dünyanın sonunun geldiğini düşünenler için:
http://yarisma.ceviz.net/2007/ya

Baslikta ufak bir hata olmuş, yarisma web sitesinden de gorulebilecegi gibi oduller $ bazinda.

Eğer yukarıda core PHP açıklarından bahsedildiyse, PHP'nin popülerliğinden ve php ekibinin güvenlik konusunda sorumluzluğundan bahsetmek gerekir.

Birgün ROR'da php kadar kullanım alanı oluştursa, onun da güvenlik sorunları şu an duyduğumuzdan fazla olacaktır, ya da django.

PHP security team kadar duyarsız olurlar mı bilmem tabi, yeri gelmişken;

http://www.securityfocus.com/columnists/432
Stefan Esser'in bir roportajı.

Hımm, peki ne kullanacağız? Diğer dillerde güvenlik açıkları yok mu?

İşin ilginci PHP'yi kullanarak onlarca uygulama yaptım, ki bunlardan 6-7 tanesi komple sistemdi, uzun süredir "hack" gibi bir sorun yaşamadan duruyorlar nette.

Güvenlik konusu programcıda bitiyor aslında, XSS & SQL Injection gibi şeyler diğer dillerde de var.Remote file include && register_globals sorunları hariç aynı sorunlar diğer dillerde de çıkabilir.

"Konuya donelim: Boyle bir sey yapmakla amacin ne oldugunu anlayamadim. "Evet iste sistemlerini hack'ledik. Yasasin kotuluk" mu oluyor amac?"

tongucyumruk'un örnek senaryosuna katılmakla beraber, yapılan yazılımın "evet iste sistemlerini hackledik" kısmını anlamayadım.

Msn zaten açık bir protokol, bilgisayardan gidip-gelen veriyi dinleyip parse eden bir yazılımın böyle bir iddiası olmasa gerek.

Websitesinin Firefox üzerindeki görüntüsü beğenmedim, Türk standartları Enstitüsünün sitesi pek standart olmamış gibi.

Gelen yorumlara uygun şekilde moderasyon yapmak yönetim ekibi için gerçekten sıkıntılı bir işse - ki burda bir ima yok, aman birileri burdan bir şeyler çıkarıp flame başlatmasın - bu sistem oldukça normal gibi.

Her sistemin problemleri olacaktır, asıl nokta "nasıl daha iyi yapılabilir" olmalı.Düşüncelerini söyleyen üyelere sert bir uslupla saldırmak veya yeni sistemin sadece kötü olduğunu belirtip çözüm önerisi getirilmemesinin kimseye yararı olacağını düşünmüyorum.

HTTPonly cookie desteği hala eklenmemiş.

http://blog.php-security.org/archives/40-httpOnly-Cookies-in-Firefox-2.0.html

Insanlar neden okumaktan acizler...

IE'nin yorumlama farkı olmasa yukarıda bahsettiğim problem karaliste yöntemi ile kolayca çözülebiliyor.

Ama bu konuda iş beyaz liste oluşturmaya gelince elinizde milyonlarca html attribute bulunan bir array'la uğraşmak zorunda kalıyorsunuz..

Xss her zaman kod yazarı ile alakalı bir durum olmuyor, tarayıcıların yorumlama farkları yüzünden xss zayıflıkları ortaya çıkabiliyor.Örneğin aşağıdaki kodu IE javascipt olarak çalıştırıyor.

<IMG STYLE="xss:expr/*XSS*/ession(alert('XSS'))">

Projeniz öyle bir proje ki, bazı html etiketlerine izin veriyorsunuz.İçinde IMG'de var..Şimdi elinizde böyle bir veri var, ve buna benzer milyonlarca yorumlama farkından doğan zayıflık olabilir.

Javascript ile ulaşamayacak bir cookie göndermek varken, yukardaki yorumlama farkları için standart değerleri aldıktan sonra beyaz liste oluşturup mu kontrol ederdiniz?
(Biz ikincisini yaptık, yüzlerce satır ekstradan kod yazmak durumunda kalıyorsunuz.)

Şahsen ben tarayıcıları yeterince düşündüm, birazda onlar bizi düşünsün.

Yapılan işin doğru ve etik olmadığı konusunda hemfikiriz.Benim anlatmak istediğim asıl nokta, bu topic'in herhangi bir karalama kampanyası olmadığı...

"Sonra birkaç script-kiddie çıkıp SQL Injection ile ilgili bir kaç numara öğrendikten sonra "swordfish"cilik oynamaya kalkıyor. Olan da samimi FM müdavimleri ve editörlerinin vakitlerine oluyor."

Anlayamıyorum neden böyle yorumlar yapıldığını.FM'de SQL Injection vb. zayıflıklar bulup bunu bildiren niye script kiddy olsun ki?

Fm index'inde herhangi bir hack screen görsen bile bu onların script kiddy olduğunu ortaya koymaz.Zira kimin nasıl/ne yaptığını müneccim değilsen bilme ihtimalin yok.

Ve evet, yapan kişilerden birini yakınen tanıyorum.Söylediğinin aksine birkaç programlama dili bilen, güvenlik üstüne kendini geliştiren bir arkadaş.Ve maalesef FM dahil TR'de ki sayılı sitelerde SQL Injection, Cross site scripting gibi güvenlik zaaflarını yakalıyor ara-sıra...

Açıkcası kodların ve veritabanın yayınlanması konusunda bende üzülüyorum, lakin Fm'de herhangi bir index görseydiniz nasıl olurdu?Siz script kiddy olsaydanız, isim vs. yapmak isteseydiniz bilişim diyince akla gelen ilk sitelerden biri olan Fm'ye index atma şansını sahip olunca sadece kodları mı yayınlardınız?

(Bunları yazmamın sebebi sevdiğim birine script kiddy, hasta ruhlu vs. yapılan benzetmeler.Tanımadığınız, etmediğiniz kişilere laf atmayı bıraktığınızda bende şu yazmak istemediğim satırları yazmak zorunda kalmayacağım.)

sevgiler...

Oncelikle "karizma cizilmesi" diye birsey soz konusu degil. Sitelerine "nasil indirdik assa hihoho, programci bozuntulari" seklinde yazilar yazan bir zihniyetle karsi karsiyayiz ----- Böyle bir zihniyetle karşı karşıyaya olunsaydı FM anasayfasında aynı şeyleri görüyor olurdun. Neden olaylara tek yönlü bakıyorsunuz? Tamam, FM'nin veritabanına erişilmesi kötü bir olay, ama anasayfada "hekıd by osmanlı" hekiri yazilmasi cok daha kötü olurdu...

Aslında bunlara hasta kişilik demek biraz ağır olabilir.Zira site deface edilebilecekken hiç bir şey yapılmadı.Gerçekten hasta kişilikliler - sitenin içeriği ne olursa olsun- genelde " Ne mutlu Türküm Diyene" , "kahrolası amerika " vs. içeren index'ler atıyorlar türk sitelerine. Her neyse geçmiş olsun.