HTML5 Speech Input


Gecenin bir yarisida olmus olsa bu postu bloga yazmak istedim. Internette ufak tefek arastirmalar yaparken gozume carpan bir ozellikten bahsetmek istiyorum. Su anlik sadece Google Chrome destekliyor bu ozelligi (Eh zaten bu ozelligide Google Speech Api ye borcluyuz:) ama umarim ileride butun browserlar destekleyecek. HTML5 uzerinde hicbir zahmete girmeden ustelikte Turkce olarak speech recognition(konusma tanima) islemi yapabiliyoruz. Bu ozelligin Turkce olmasi inanilmaz derecede hosuma gitti dogrusu:) Neyse cok fazla laf kalabaligi yapmayayimda kodu vereyim:)



<input type="text" size="60" name="input" x-webkit-speech />




Eklemeniz gereken sadece bir satirlik kod:) Denemek istersenizde bu link emrinize amade:) Linkler duzenlendi arkadaslar:)

2 Ekim 2011

Posted In: Gezegen

Speech Synthesis Algorithms(Konuşma Sentezleme Algoritmaları)

Merhaba arkadaşlar, uzun zamandır bloga yazı yazamıyordum ama dönüşüm muhteşem oldu bence:) Bugün sizlerle Text to Speech algoritmalarının nasıl çalıştığından ve eksik, hatalı yönlernden bahsedeceğiz. Yazıyı okurken bazı cümlelerin biraz havada kaldığını düşünebilirsiniz. Örneğin "Kullandığımız Android uygulaması" falan gibi. Proje raporlarım üzerinden alıntı yaptığım için bu vb cümlelerle karşılaşabilirsiniz ama bu cümlelerin konumuzun anlaşılmasını etkilemeyeceğini düşündüğüm için tekrar düzenleme yoluna gitmedim.  Daha fazla laf kalabalığı yapmayalım ve konumuza başlayalım...

Konusma Sentezleme(Speech Synthesis)


Konuşma sentezleyici yazılı(text) bir veriyi alır ve bunun konuşma dilinde çıktısını verir. Ayrıca konuşma sentezleyici literatürde text to speech (TTL) olarakta bilinir.
Yazılı bir metinden konuşma sentezlemenin ana adımları aşağıdaki gibidir

1)Yapı Analizi(Structure Analysis):

Yazılı metni işler ve paragrafların nerede başladığına, cümlelerin nerede başlayıp nerede bittiğine karar verir. Bir çok dilde noktalama işaretleri ve tarih formatları bu adımda kullanılır.

2)Metin Önişleme(Text pre-processing):


Dilin özel yapısına karşı girdi metni analiz edilir. İngilizce ‘de kısaltmalar, akronimler, tarihler, zamanlar, numaralar, para miktarları, e-mail adresleri ve diğer birçok veri türü için özel bir işleyiş gereklidir. Diğer diller de bu tür veriler için özel bir işleyişe ihtiyaç duyarlar ve birçok dil farklı özel gereksinimlere ihtiyaç duyar.

İlk 2 adım sonrasında yazılı metni konuşma formatına çevirir. Aşağıdaki örnekler yazılı metin konuşma formatı arasındaki ilişkiyi gösterir.

St. Mathews hospital is on Main St.

“Saint Mathews hospital is on Main Street”

Add $20 to account 55374.

”Add twenty dollars to account five five, three seven four.”

Leave at 5:30 on 5/15/99

“Leave at five thirty on May fifteenth nineteen ninety nine.”

Diğer adımlar yukarıdaki çıktıları konuşmaya çevirmek içindir.

3)Yazılı Metinden Ses Birimine Çevirme(Text-to-phoneme conversion):

Her bir kelimeyi ses birimlerine çevirir. Ses birimi(hece-phoneme) bir dildeki seslerin en basit birimidir. Amerikan İngilizcesinde yaklaşık 45 adet ünlü ünsüz dahil ses birimi bulunur. Örneğin, “times” sözcüğü 4 adet ses biriminden yararlanılarak seslendirilir(t ay m s). Farklı diller de farklı ses birimleri vardır.

4)Vezin (Ölçü) Analizi(Prosody Analysis):
Cümle yapısı süreci, kelime ve sesleri cümle için uygun vezni(aruz) bulmak için kullanılır. Vezin kelimeyi söylerken ağızdan çıkan seslerden ayrı olarak daha fazla konuşma özelliği içerir. Bunlar; ses perdesi(pitch or melody), zamanlama(timing or rhythm), duraksama(pausing), konuşma oranı(speaking rate), kelimeler üzerindeki vurgu ve diğer bir çok özellik. Doğru vezin doğru konuşma seslerini bulmak için ve doğru anlamı verebilmek için önemlidir.

5)Dalga Üretimi(Waveform Production):
Son olarak, fonem ve vezin bilgisi her bir cümle için ses dalgası üretmek için kullanılır. Fonem ve vezin bilgisinden ses dalgası üretmenin birçok yolu vardır. En güncel sistemler bunu iki yolla yaparlar. Bunlardan biri kayıtlı insan sesi parçalarını birleştirerek diğeriyse sinyal işleme tekniklerini kullanarak yapar.

Konuşma Sentezi Sınırlamaları

Konuşma sentezleyiciler yukarıdaki adımları uygularken bazı hatalar yapabilirler ve insan kulağı bu hataları yakalamada çok başarılıdır. Geliştiriciler tarafından iyi geliştirilmiş bir konuşma sentezleyici bu tür hataları en aza indirebilir ve konuşma kalitesini artırabilir.

Android in kullandığı Java konuşma Apisi(Java Speech API) ve java konuşma işaretleme dili (Java Speech Markup Language(JSML)) geliştiricilere konuşma kalitesini artırmak için birçok olanak sunar.

Java sentez işaretleme dili(Java Synthesis Markup Language) girdi yazısının nasıl işaretleneceğini belirler. Özelliklerinden bazılarından kısaca bahsedelim:

* Paragrafın ya da cümlenin işaretleme başlangıcını ve bitişini belirleme yeteneği.

* Herhangi bir kelimenin telaffuzunu belirleme, sözcük veya cümle kısaltma ya da diğer özel, yazı ifade etme yeteneği

* Vezin geliştirmek için aleni duraksama kontrolü, sınırlama, vurgulama, ses perdesi, konuşma oranı ve yükseklik.

Bu saydığımız özellikler geliştirici ve kullanıcılara birazdan bahsedeceğimiz aşağıdaki gibi hataların üstesinden gelebilme olanağı verir. Şimdi hata kaynaklarını ve bu hata kaynaklarını nasıl minimize edeceğimizi inceleyelim.

1)Yapı Analizi(Structure Analyses):Noktalama ve formatlama kesin olarak bir cümlenin ya da paragrafın nerede başlayıp nerede bittiğini gösteremeyebilir. Örneğin “U.S.A.” kısaltması yanlış çevrilerek bir cümle sonu olarak algılanabilir.

Çözüm: JSML de paragraf ve cümlelerin açık biçimde işaretlenmesi bu tür yapısal hataları engelleyebilir.

2)Metin Önişleme(Text pre-processing): Sentezleyicinin bütün cümle ve kelime kısaltmalarını bilmesinin ihtimali yoktur. Ayrıca bütün tarih ve zamanları da bilmesinin imkanı yoktur. Örneğin: 8/5 bizim yazımızda 5. Ayın 8’i kastedilirken 8/5 sonucunu okuyabilir ya da 1998 tarihi İngilizcede “nineteen nınety eight” olarak okunması gerekirken “one thousand nine hundred ninety eight” olarak okunabilir. Bu da anlam karmaşasına yol açabilir.

Çözüm: JSML in SAYAS elementi yazı kısaltmaları için değişiklikler sunar.

3)Yazılı Metinden Ses Birimine Çevirme(Text-to-phoneme conversion): Birçok sentezleyici yüz binlerce kelimeyi doğru olarak telaffuz eder fakat her zaman tahmin edilmesi gereken değişik ve olağandışı isim, şirket ismi vb. şeyler ya da yazılışları aynı ama okunuşları farklı sözcükler vardır ve bunların tahmin edilmesi büyük bir sorundur.

Çözüm: JSML in SAYAS elementi alışılmadık sözler için fonetik telaffuz sağlar.

4)Vezin (Ölçü) Analizi(Prosody Analysis): Bir cümleyi doğru olarak ifade edebilmek, doğru vurguyu yapabilmek, doğru ses perdesini tutturabilmek vb. şeyler için cümlenin anlamını anlamak gereklidir ve maalesef bilgisayarlar bunu yapamazlar.

Çözüm: JSML in EMP, BREAK ve PROS elementleri yazı üzerinde vurguyu, duraksamayı vb işler için kullanılabilir.

5)Dalga Üretimi(Waveform Production): Dudak, ağız, akciğer gibi insan sesinin özelliğini veren aparatlar olmadan ses sentezleyicisinden çıktı olarak çıkacak ses genellikle yapay(robotik) olur. Bu mekanik veya robotik ses insan sesinden kolaylıkla ayırt edilebilir. Bazı şartlar altında bu robotik ses tercih edilebilir fakat çoğu zaman sentezleyiciden gelen sesin daha kolay anlaşılabilir ve dinlenilebilir olduğu için insan sesine benzemesi tercih edilir.

Çözüm: Maalesef Java Speech API ve JSML direk olarak bu konu hakkında pek bir şey yapamazlar.

Konuşma Sentezi Değerlendirmesi

Konuşma sentezleyicilerin kilit noktaları sentezlenen sesin anlaşılabilirliği, kullanıcılar tarafından kabul görüşü ve çıkış kalitesidir. Konuşma sentezleyicilerin kalitesinin nasıl hesaplanacağının ve hangi faktörlerin çıktı kalitesine etki edeceğinin bilinmesi özellikle uygulama alanında önemlidir.

İnsanlar neredeyse yaşam süreleri boyunca dinlerler ve konuşurlar. Bunun sonucunda da insan kulağı ve beyni sesler üzerine çok hassastır. Konuşma üzerindeki en ufak değişiklikleri, duygusal duruları, aksanları, konuşma problemlerini rahatlıkla algılayabilir. Fakat şu anki konuşma sentezleyicilerin konuşması bu ufak değişiklikleri ses ile iletemeyecek durumdadır. Bu yüzden dinleyiciler konuşma sentezleyiciden çıkan sesleri anlayabilmek için ekstra efor sarf etmelidirler. Yukarıda sayılan gibi bir çok nedenden dolayı yeni kullanıcılar konuşma sentezleyicilerle ilk tanıştıklarında kendilerini rahatsız ve tatmin olmamış hissederler.

Geliştiriciler konuşma sentezleyicilerin kalitesinin değerlendirmesini yaparken 2 önemli faktör vardır. Anlaşılabilirlik ve doğallık. Anlaşılabilirlik sentezlenen konuşmanın kullanıcılar tarafından güvenli olarak anlaşılmasının göstergesidir. Doğallık ise sesin ne kadar insan sesine yaklaşabildiğiyle ve kullanıcılara bir insanla konuşuyormuş hissi vermesiyle alakalıdır.

10 Şubat 2011

Posted In: android, Gezegen, Guncel ve Teknoloji

Eclipse ADT-Plugin Sorunu

Merhaba arkadaşlar. Bugünkü konumuz erişim sorunları arasında nasıl Android ADT-Plugini yükleyebiliriz olacak. Plugini yüklemek çok basit. İşe bu plugini indirmekle başlayın.  Daha sonra Help-İnstall New Software yolunu izleyin ve gelen pencerede Archive butonuna tıklayın. İndirdiğiniz zip dosyasının bulunduğu yeri seçin ve onaylayın. Bundan sonra 2-3 ufak tıklamayla ADT-Plugininiz sizinle.

20 Ocak 2011

Posted In: android, Gezegen

Güvenli Kod Yazımı

Evet arkadaşlar uzun zamandır yazamıyordum. Bunun nedeni uzun zamandır projelerle uğraşıyor olmam. Bugün sizlerle projelerimi yaparken rapor olarak yazdığım nasıl güvenli kod yazılır adlı raporumu paylaşacağım. Verilen örnekler biraz .NET platformu üzerinden ama herkes için yararlı olacağını düşünüyorum.


Güvenlik çok yönlü bir olaydır ve güvenlik riskleri her yerde olabilir. Belki kötü bir hata denetim kodu, belki çok geniş bir yetkilendirme, belki de server üzerinde hangi servislerin çalıştığının unutulması  Bu liste böyle uzar gider ve yazımızın amacı da buradan çıkar Burada bizim amacımız en çok yapılan yazılım hatalarını incelemek ve bu hatalara karşı ne gibi önlemler alabileceğimizi öğrenmektir. Unutmayalım ki bunlar sadece güvenli kod yazabilmek için ilk adımlarımızdır. Bunların dışında yüzlerce farklı saldırı tekniği ve korunma metodu vardır. Bunların hepsini uygulasak dahi aklımızdan çıkarmamız gereken bir husus daha vardır. Asla güvenli kod yoktur. Çünkü saldırganlar her geçen gün saldırı tekniklerini değiştirmekte ve farklı saldırılarla sistemlerimize ve kodlarımıza saldırmaktadırlar.

Olası Güvenlik Riskleri

1)SQL Injection

SQL Injection hala daha görülebilecek en büyük açıklıklardan biridir. Kullanıcı verisine dayanan bir atak türüdür. Bu atak türü genellikle kod yazanların SQL Injectionı tam anlamıyla anlamadıkları için başlarına gelir. Peki nedir bu SQL injection. Bunu anlayabilmemiz için once SQL in ne olduğunu bilmemiz gerekir. SQL veritabanıyla anlaşmamızı ve verileri veritabanından çekip üzerlerinde işlem yapmamızı sağlayan bir dildir. Bir nevi biz insanların veritabanıyla konuşup anlaşma şeklidir. SQL Injectionı ise kullanıcının söylediği sözlerin veritabanına biraz değiştirilmiş şekliyle yansıtılması olarak tanımlarsak yanlış tanımlamış olmayız. Buna gore de veri tabanının bize vereceği değer değişecektir ki kötü niyetli son kullanıcılar bu yapıdan faydalanarak istenmeyen olaylara maruz bırakabilir bizi. SQL Injectionı biraz kavradıktan sonra bir tane gerçek örnek üzerinde durumu konuşalım.
Aşağıdaki gibi bir SQL sorgumuz olsun

Select * from kullanıcılar where username=$uname AND password=$pass

$uname ve $pass kısımlarını kullanıcıdan alıyoruz. Burada eğer kullanıcı bize gerçek değerleri verip giriş yaparsa bunda hiçbir sorun yok. Ama eğer kullanıcı adı ve şifre yerine özel bir takım karakterler yazarak girişi sağlayabilirsek işte o anda yetkisiz olarak verilere ulaşabiliriz. Username ve pass için bir SQL injection denemesi yaparak neler olabileceğini inceleyelim. Eğer usename ya da pass yerine “OR” yazarsak yetkisiz olarak giriş yapabiliriz ve system içerisinde kullanıcı yetkilere gore gönlümüzce dolaşabilriz.

Select * from kullanıcılar where uname =”OR”=” AND pass=”OR”=”

2)Cross Side Scripting

Cross Side Scripting kısaca, HTML ve Javascript yardımıyla bir sitede, siteye giren kullanıcıya tehlike arz edecek şekilde kod çalıştırmaya denir. Temel olarak kullanıcıların bilgilerini çalmayı amaçlar. Cross Side Scripting de SQL Injection gibi kullanıcı verilerine dayanan bir saldırı türüdür.

3)Broken Authentication and Session Management
   
Tam olarak güvenliği sağlanmamış ( örneğin md5 veya benzeri bir algoritma ile korunmamış) oturum nesnenleri ve çerezlerinin ele geçirilip kötü amaçlar için kullanılmasıdır. Organizasyonlar için önerilen şeyse developerlarına güçlü authentication ve session management control sağlamasıdır.

4)Insecure Direct Object References
   
Herhangi bir kontrol mekanızması olmadan kod içerisinden bir dosyanın include edilmesi, direk veritabanı erişim bilgilerinin saklanması ve çağrılması ve benzeri public fonksiyon erişimleri gibi hatalardır. Korunmak içinse indirect objeler kullanılmalı ve objelere erişim control altında tutulmalıdır.

5)Cross Site Request Forgery (CSRF)
   
CSRF ataklarından bir sisteme login olmuş kullanıcı tekrardan login request göndermesi için zorlanır fakat bu sefer login requestindeki bilgileri istemciye değil saldırgana aittir.
Konuyu daha iyi anlayabilmek için yine bir banka örneği vererek açıklayalım. Saldırganın amacı banka hesabımızı boşaltmaktır. Bu amaç için bir web sitesi hazırlar ve bir resim içerisine bir kod aşağıdaki gibi bir kod gömer.

http://example.com/transferFunds? amount=1500&destinationAccount=attackersAcct#“ width="0" height="0" />

Eğer kullanıcı önce bankasında bir işlem yapıp daha sonar banka sayfasını kapatmadan bu siteye girip yukarıdaki imajın bulunduğu linke tıklarsa saldırgan kurbanın bilgisayarındaki cookie bilgilerinden yararlanarak amacına ulaşabilir.

6)Security Misconfiguration
   
Güvenlik ile ilgili tanımların zayıf, yanlış veya varsayılan olarak bırakılmasından kaynaklanan saldırılardır. Örneğin evinizdkei ADSL modemleri şifrelerinin değiştirilmemesi gibi. Her cihazın default şifrelerine ( bunlara cisco, juniper vb güçlü cihazlar dahil) internetten 15 saniyede ulaşabilirsiniz.

7)Insecure Cryptographic Storage
   
Kriptolonamamış verilerin zayıf sunucularda korunması(maması). Günümüzde pek çok e-ticaret sitesi müşterilerinin bilgilerini şifrelemeden saklamaktadır. Kötü niyetli Host sahibi veya saldırgan bu bilgilere ulaşabilir. Korunmak için verytabanına kaydettiğimiz özellikle şifre gibi veriler kriptolanmış bir şekilde kaydedilmelidir.

8)Failure to Restrict URL Access
   
Erişimi kısıtlanmış sayfalara erişimlerin kontrol edilmemesidir, bu sayafalara erişen diğer sayfa ve modüllerin iyi bir şekilde izlenmemesi veya kodlama hataları vb.
Örneğin bir admin paneline bir kısıtlama koymadan link yardımıyla ulaşılabilyorsa bu çok büyük bir güvenlik riskidir.

9)Insufficient Transport Layer Protection

Uygulamalar genelde hassas mesajlar gönderilirken network trafiğini kriptolamayı başramayabilirler. Başarsalar bile zayıf algoritmalar vb şeylerle yaparlar. Burada eğer network trafiğini dinlemeyi başaran birileri varsa bizim network üzerinden ulaştırmaya çalıştığımız bütün bilgileri çalabilir.   
Bu ataklardan korunmak için böyle hassas verilerimizi güçlü bir kriptolama işleminden sonra yollamalıyız.

10)Unvalidated Redirects and Forwards
   
Bir çok web uygulamasında ilk ve son veri kontrolü yapılmaksızın yönlendirmeler yapılmaktadır. Buna en güzel örnek yıllar önce alışveriş sitelerinde ödeme sayfasına geçmeden bir önceki sayfalarda fiyatlar ve miktalar değiştirilerek ödeme sayfasına yönlendirme işlemleri idi. Kısaca uygun bir kontrol yapılmadan saldırganın bizi pishing ya da malware sitesine yönlendirmesidir.
Korunmak içinse yönlendirmelerden kaçınmalıyız. Eğer yapmak zorundaysak kullanıcılardan aldığımız veriler doğrultusunda yapmayınız.

Kodlarımızı Daha Güvenli Yapabilmek İçin 7 Öneri

1)Asla Kullanıcı Girdisine Güvenme

Bu yazıyı okuyorsanız aklınızda kalması gereken en önemli şey budur. Asla kullanıcı girdisine güvenmeyin. Çünkü saldırıların büyük bir çoğunluğu bu taraftan gelir. Eğer dış dünyadan aldığımız her verinin doğru ve kötü niyetsiz olduğuna inanırsak ilk sorunumuz orada başlar. Çünkü saldırganlar tarafından kullanılan bir çok güvenlik açığı sunucuya kendi işlerine yarayacak kötü bir mesaj göndermle kırılır.
Inputlara güvenmek ve bilgilerin doğru formda olduğuna koşulsuca inanmak buffer taşmasına, cross side scriptinge, SQL Injectiona ve bunun gibi bir çok soruna neden olabilir.

2)Buffer Taşmalarından Korunun

Buffer taşması saldırganın programa programın beklediği değerden daha büyük bir değer vermesi  sonucunda değişkenin ayrılmış olan memory alanina sığmamasıdır. Ya da programlama yaparken ufak bir gözden kaçma sonrasında da oluşabilir. Programcı ne kadar tecrübeli olursa olsun bu hatalara dikkat etmelidir. Bir buffer taşması sonucu uzaya gönderilmiş olan bir uzay gemisi parçalanmıştır. Görüldüğü gibi küçük bir olaymış gibi gözüksede sonuçları çok büyük olabiliyor. Bu kadar büyük sorunlara yol açabilmesine ragmen genellikle buffer taşmasının çözümü oldukça basittir. Genelde biraz dikkatli olarak ve alınan değerlerin aralıklarını belirleyerek üstesinden gelinebilir.
Bu olaylara mahal vermemek için yapılması gereken en önecelkli şey unsafe kodlara izin vermemektir.


3)Cross-site Scriptlerden Korunun

Croos side scriptleri webe özel güvenlik açıklarından biridir. Aşağıdaki kod parçasına bakmak istersek;


Böyle masum gibi görünen bir kodun aslında saldırıya açık bir kod bloğudur. Normlde, kullanıcı bu tür bir koda aşağıdaki gibi bir URL ile birlikte ulaşırlar:


C# yukarıdaki script kodundan aldığı verileri iyi formda ve sadece name değerinden başka bir şey almayacakmış gibi düşünür. Fakat saldırganlar bu kodu istismar ederler ve name değeri yerine tıpkı bir name değeriymiş gibi bir script girerler;


Eğer yukarıdaki adresi adres çubuğuna girersek önümüze içeriğinde hi! Yazan bir dialog box ın çıktığını görürüz. Bu ne demek peki. Bu saldırganın bizim web sitemize istediği gibi müdahale edebilmesi anlamına geliyor. Belki böylesine zararsız bir kod için çok bir önemi olmayabilir fakat bir de olaya şu açıdan bakın. Bu web sitesinin bir bankanın web sitesi olduğunu ve yazılan scriptin internet şubesine giriş butonunu etkilediğini düşünelim.




Kullanıcı giriş butonuna tıkladığı zaman aynı bankanın internet şubesi arayüzüne bağlanır gibi fakat saldırganın önceden hazırladığı bir web sitesine yönlendirir.




Web sitesi tıpkı bankanın sitesine benzediğinden kullanıcılar çoğunlukla gerçek web sitesiyle arasındaki farkı anlayamazlar ve güvendikleri için bilgilerini girmeye başlarlar. Bunun sonucunda da girilen bilgiler saldırgan tarafından ele geçirilmiş olur. Elbette bankalarımızın güvenliği bunların çok daha üstünde güvenlik tedbirleri alınarak yapılıyor fakat bu örneks durumun vahammiyetini daha iyi kavrayabilmemiz içindi.
Peki cross side scripting den kodumuzu nasıl koruyacağız. Bu olayın başımıza gelmesini engelleyebilmemiz için iki yöntem öneriliyor. İlki ve yazımızda da ilk olarak değindiğimiz konu olan asla kullanıcı girdisine güvenme ve girdinin ne içermesi gerektiğini katı bir şekilde belirle. Örneğin; bu işi gerçekleştirmek için regular expressionları kullanabiliriz. Regular expressionlarla kullanıcının girdisini kısıtlayarak bu işlemi yaparız. Aşağıdaki c# kodu bu işi nasıl yapabileceğimizi gösteriyor.

Regex r=new Regex(@”^[\w]{1,40}$”);
If(r.Match(strName).Success)
{
         //String Kısıtlara uyar
}
else
{
         //String kısıtlara uymaz
}

Bu kodumuzda regular expressionları kullanarak stringimizin 1 ile 40 alfanumerik karakterler arasında kalmasını sağlıyoruz. Kullanıcının girdisini kontrol etmenin en güvenli yolu budur. Bu işlemi terstende uygulayabilirsiniz. Yani yasak karakterleri teker teker yasaklayarak. Fakat burada unutulmaması gereken bir husus var ki bu işlem yapılırken yapacağımız ufak bir dikkatsizlik saldırı yememize neden olabilir. Bu yüzden izin verilmeyen karakterleri yasaklamak yerine izin verilen karakter olup olmadığına bakmak daha güvenli bir yoldur.
Bu saldırıları önlemenin ikinci yoluysa bu özel karakterleri daha güvenli karakterlerle değiştirme yöntemidir. Ama birinci yöntem kesinlikle daha güvenlidir.

4)Asla sa İzniyle Hareket Etme

Şimdi de biraz SQL Injectionları inceleyelim. Bilindiği gibi birçok yazılım geliştirici kullanıcılardan değer alarak very tabanı üzerinde bu değerlerle birlikte işlem yaparlar.
Aşağıdaki kodu biraz inceleyelim;

void DoQuery(string Id) {
    SqlConnection sql=new SqlConnection(@"data source=localhost;" +"user id=sa;password=password;");
    sql.Open();
    sqlstring= "SELECT hasshipped" +
            " FROM shipping WHERE id='" + Id + "'";
    SqlCommand cmd = new SqlCommand(sqlstring,sql);

Birçoğumuz yukarıdaki gibi bir kod yazmıştır muhtemelen. Fakat bize tanıdık gelen bu kod aslında o kadar da masum değil. 3 kusuru var bize tanıdık gelen bu kodun. İlk olarak, database e ulaşım system administrator(sa) hesabı kullanılarak yapılmaya çalışılmış. Sa hesabı için belirlenen mükemmel şifremiz password olarak belirlenmiş. Ama bunlara rağmen bu koddaki asıl sorun string birleştirme işlemi yaparak SQL statementı oluşturuyor olmasıdır. Bu durumda eğer kullanıcı Id değeri için 1001 yazarsa ve bu string işletilirse hiçbir sorun çıkmaz ve muhtemel olarak aşağıdaki gibi bir kod işletilir.

SELECT hasshipped FROM shipping WHERE id = '1001'

Maalesefki saldırganlar bu kadar iyi niyetli değil. Id=1001 yazmak yerine aşağıdaki gibi bir kod işletmeyi deneyebilirler;
SELECT hasshipped FROM
shipping WHERE id = '1001' 
DROP table shipping -- ';

Yukarıdaki sorgu istediğimiz select işlemini yapıyor olmasına rağmen devamında gelen kodlar sayesinde shipping tablosunuda siliyoruz ki bu istemediğmiz bir olay. – operatorü sayesinde sonrasında gelen kodlar yorumlanmıyor. Biraz once sa olarak veri tabanına bağlanmıştık ve şimdide bir tablo sildik. Peki bu tür bir olay sadece select yetkisi verilmiş bir username ile veritabanına bağlanılmış olsaydı başımıza gelirmiydi. Cevap çok basit tabiki hayır. Bu yüzden veri tabanına bağlanırken dikkat edilmesi gereken en önemli konulardan biri veri tabanına asla system administrator yetkisiyle bağlanmamaktır.
Peki nasıl SQL Injection yemekten koruyabilriz kodumuzu. Bunun için dinamik sql kodları kulanmak yerine stored procedure lar kullanmak en akıllıca olan yollardan biridir. Tabiki yine bir numaralı altın kuralımızı unutmayarak kullanıcı girdilerinin istediğimiz formatta olup olmadığını da control etmeliyiz. Örnek kod;

Regex r = new Regex(@"^\d{4,10}$");
if (!r.Match(Id).Success)
    throw new Exception("Invalid ID");

SqlConnection sqlConn= new SqlConnection(strConn);
string str="sp_HasShipped";
SqlCommand cmd = new SqlCommand(str,sqlConn);
cmd.CommandType = CommandType.StoredProcedure;
cmd.Parameters.Add("@ID",Id);

Unutmayalımki cross-side scripting, buffer overruns ve SQL Injection ların hepsi kullanıcı girdisine güvenme sonrasında çıkmıştır. Bu yüzden altın kuralımızı her zaman hatırlamalıyız.

5)Asla Kendi Ürettiğin Encryption Sistemini Kullanma

Eğer bir kriptolama işlemi yapıcaksanız asla kendi ürettiğiniz kripto algoritmasını uygulayarak yapmayın. Pek çok insan kendi ürettikleri kripto algoritmalarının kırılmasının çok zor olduğunu düşünerek bu tür bir yolu seçerler fakat yanıldıkları en büyük nokta kriptoladıkları kodların muhtemelen birkaç dakika içerisinde kırılabilecek düzeyde olmasıdır. Bu yüden c# dilinde kriptolama işlemi yapacaksak kripto kütüphanelerini kullanmamız daha iyi sonuçlar doğuracaktır.


6)Least Privilage Prensibine Uyun

İşletim sistemleri ve common language runtime(C# kodumuzun makine diline çevirildiği yer) bir çok nedenden dolayı güvenlik prensiplerine sahiptir. Bunun da temel amacı kullanıcıların erişime yetkisi olmayan yerlerde verilere ulaşmalarını engellemek ve kötü niyetli kişilerin veriliremizle oynamasını engellemektir ve genellikle bunu serilization işlemlerini engelleyerek yaparlar. Güvenlik prensiplerini kodumuzu çevreleyen bir duvar şeklinde düşünebiliriz. Erişime izni olanları içeriye alır, izni olmayanları duvar dışında bırakır.
Yukarıda söylediğim güvenlik prensipleri dışında bize düşen bazı görevler daha vardır. Burada asıl amaç hiçbir zaman gereğinden fazla yetkiyi vermemektir. Şöyle bir örnek düşünelim;
Elimizde veritabanımızdaki verileri gösteren bir yapı olsun. Burada amacımızı gerçekleştirebilmemiz için bize sadece vritabanımızdan select yetkisi almış olan bir connection yetecektir. Çünkü tüm yapmak istediğimiz verileri veritabanından çekmektir. Eğer bir şekilde kötü niyetli bir kişi web sayfamızın diger açıklarından faydalanıp oynamalar yapmaya çalışıyorsa tek yapabileceği bizim kullanıcılara göstermiş olduğumuz verileri alabilmektir. Asla veriler üzerinde değişiklik yapamaz. Ama bu örneğimizde veritabanına erişim yetkimizi sadece select olarak değilde update ve delete de dahil olacak şekilde bir yetki vermiş olsaydık işte o zaman kötü niyetli saldırgan verilerimizi değiştirebilr ve bizim istediğimiz verilerimizi sergilememizi engeleyebilirdi. Hatta ve hatta daha ileriye giderek veritabanımızdaki verilerimizi silebilirdi bile.
İşte yukarıdaki gibi durumlara maruz kalmamak için her zaman işlerimizi yapabileceğimiz en düşük yetki seviyesinde yapmalıyız. Her zaman least privilege ilkesine uymalıyız.

7)Hata Denetimine Yeterli Önemi Ver

Bu yazıyı okuduğunuza gore kod yazma işine bir tarafından dahil olduğunuzu düşünüyorum. Hepimiz kod yazıyoruz öyle değil mi? Peki kaçımız bu yazdığımız kodların test kısmına gerekli önemi veriyoruz ya da error handling mekanizmalarını yeterince kullanıyoruz. Bu üzerinde genellikle yüzeysel olarak durduğumuz konulardan. Oysaki en az yukarıda konuştuğumuz durumlar kadar önemli bir durum bu.
Test edilmeden kullanılan programlar genelde büyük güvenlik açıklarına sahiptirler. Bu güvenlik açıklarına maruz kalmamak için kodlarımızın test bölümüne yeterli önemi vermeliyiz. Elbetteki bütün şartlar için test edemeyiz fakat ne kadar çok test yaparsak ileride programımızın çökme olasılığı da o derecede iner. Ne kadar az test yaparsakta güvenliğin temel ilkelerinden olan sürdürülebilirliği sağlamamız da o derece zorlaşır.
Bir de kodlarımızı yazarken error handling sağlayabilmemiz için gerekli yerlerde try-catch bloklarını koymaya özen göstermeliyiz. Olağan dışı oluşan durumlarda ya da olası olusabilecek hatalarda programımızın çökmesi ya da yanlış çalışması yerine bir uyarı mesajı vererek progamımızın güvenilirliğini artırmamızı sağlar.

Kaynaklar








30 Aralık 2010

Posted In: Gezegen, Guncel ve Teknoloji, microsoft

Google Chrome OS Kotu

Vallaha ben Richard Stallman`in yalancisiyim. Kendileri GNU foundation in kurucusu olmaktalar. Stallman`a gore Google Chrome OS ya da bu tur cloud mantigini kullanan uygulamalar, isletim sistemleri aslinda kullanicilarin iyiligi yonunde gorunselerde kullanicilar icin kotu durumlar soz konusu. Dosyalarimizin cloud uzerinde bulunmasinin dosya gizliligimizi tehlikeye attigini soyluyor. Ayrica dosylarimiz uzerindeki butun insiyatiflerimizde ayni zamanda service providerin eline gecmis bulunuyor. Iznimiz disinda bu dosyalari okuyabilir, degistirebilir, silebilir ya da baska makamlara servis edebilirler. (Buradan sonrasi benim yorumum:) Bana oyle geliyorki eskiden sadece kimlik bilgilerimiz sirketlerin degerlerine deger katarken artik kisisel dosyalarimizda zenginlik katacak.

21 Aralık 2010

Posted In: Geyik ve Ben, Gezegen, linux

Droid Draw

Merhaba arkadaslar. Bugun sizlere Android programlama yaparken işinize yarayabılecek ufak bır programcıktan bahsedeceğim. Programın adı droid draw. Program bizlere kolaylıkla, sürükle bırak yontemiyle gui yapabilmemizi sağlıyor. Tüm yapmanız gereken ekranınızın nasıl göründüğünü ayarladıktan sonra Generate butonuna basmak ve uretılen kodu Main.xml dosyasının içerisine yapıştırmak:)

Yukarıda da programın ekran görüntüsü bulunmaktadır. Programı indirmek için web sitesine göz atabilirsiniz.

8 Aralık 2010

Posted In: android, Gezegen

Europass CV

Merhaba arkadaslar, bugun Daron hocanin tweetini okuduktan sonra acaba xml formatinda cv nasil yazilir diye merak ettim ve biraz olsun arastirdim. Bu arastirmalarim sirasinda AB ce ve dunya uzerinde kabul goren bir CV sistemi oldugunu gordum. Simdi sizlere bundan bahsedecegim. kariyer.net gibi sitelerde doldurdugumuz cv ler isverenlerce cok dikkate alinmayabiliyor maalesef(Bakiniz Daron Yondem`in tweeti) Iste bu yuzden kendi cv mizi yazmamiz gerekiyor. Bunun icinde dunyaca kabul gormus bir seyden yararlanmak guzel olur diye dusundum. Simdi siteden bir alinti yapiyorum:)


Europass Özgeçmiş (CV)

Nedir?

Europass'ı kullanmak isteyen herkes Europass Özgeçmişi doldurarak başlayabilir. Europass Özgeçmiş (CV) becerilerinizi ve yeterliliklerinizi görülür hale getirmenizi sağlar. Bu döküman ile kişisel bilgilerinizi, iş deneyimlerinizi, eğitim öğretim bilgilerinizi ve kişisel becerilerinizi belirli bir formatta oluşturabilirsiniz. Bu döküman formatı AB ülkelerinde de aynı olduğu için kendinizi işverenlere en etkin şekilde tanıtmanıza olanak sağlar.
Europass Özgeçmiş (CV) 2002 yılında çıkarılan Avrupa Özgeçmişinin (CV) yerini alır.

Europass CV'nin Kullanımı


Europass Özgeçmişi (CV) kullanmak için üç seçeneğiniz vardır;


-Europass CV'nizi Online Olarak Oluşturun


Yukarıdaki linke tıkladıktan sonra karşınıza çıkacak sayfada sağ üst köşeden dil seçeneğini yaptıktan sonra, gerekli talimatları takip ederek CV’nizi oluşturabilirsiniz. CV’nizin tamamlanmış halini daha sonra elektronik olarak (e-posta ile veya indirerek) edinebilirsiniz.


-Europass CV belgelerini indirin


(boş şablon, talimatlar,farklı dillerde doldurulmuş örnekler ve Europass kapak sayfası). Bu bilgileri daha sonra bilgisayarınızda CV’nizi oluştururken kullanacaksınız.

-Europass CV'nizi Güncelleyin (XML/XML+PDF)


Eğer daha önceden CV'nizi yukardaki "Europass CV'nizi Online Olarak Oluşturun" linkinden oluşturmuş ve XML/XML+PDF formatlarında kayıt etmiş iseniz, bu CV'nizi ,bu linki kullanarak yükleyebilir ve verilerinizi güncelleyebilirsiniz.
Kişisel verileriniz otomatik olarak sisteme girilecektir.

21 Kasım 2010

Posted In: Geyik ve Ben, Gezegen, staj

Android-Read Sms

Merhaba arkadaslar. Bu aralar Android ile ilgilenmeye basladim. (Bitirme projem vesilesiyle) Ama hosuma gitmeye basladi. Ozellikle yazdiginiz uygulamayi kendi telefonunuzda calistirdiginiz ve kullanmaya basladiginiz zaman tadindan yenmiyor valla. Bu motivasyonlarla birlikte telefon hafizasindaki son mesaji ingilizce olarak seslendiren bir uygulama yaptim.(Bitirme projemin bir parcasi) Insallah ilerde sesli olarak sms alip gonderebileni yapicam. Ama simdilik sadece elimizde sms okuyani var. Bende simdi bu projemin kaynak kodunu sizlerle paylasmak istedim.
Read.java
package sms.TextToSpeech;

import java.sql.Date;
import java.text.SimpleDateFormat;
import java.util.Locale;

import android.app.Activity;
import android.database.Cursor;
import android.graphics.Color;
import android.net.Uri;
import android.os.Bundle;
import android.provider.SyncStateContract.Constants;
import android.speech.tts.TextToSpeech;
import android.speech.tts.TextToSpeech.OnInitListener;
import android.util.Log;
import android.view.View;
import android.widget.Button;
import android.widget.EditText;
import android.widget.TextView;

public class Read extends Activity implements OnInitListener{
    /** Called when the activity is first created. */
    private EditText et;
    private Button b;
    private String address;
    private String body;
    private String date;
    private TextToSpeech mTts;
    @Override
    public void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        setContentView(R.layout.main);
        b=(Button)findViewById(R.id.b);
        et=(EditText)findViewById(R.id.et);
        et.setEnabled(false);
        et.setClickable(false);
        et.setBackgroundColor(Color.WHITE);
        Uri SmsUri=Uri.parse("content://sms/inbox");
        String[] projection=new String[]{"_id","address","body","date"};
        Cursor cursor=null;
        try{
            cursor=getContentResolver().query(SmsUri,projection,null,null,null);//Bilgilerin nereden alinacagi belirlenir
          
            if(cursor!=null&&cursor.moveToFirst()){    //Ilk mesaja konumlanir
                    int id=cursor.getInt(cursor.getColumnIndex("_id"));    //Id sini alir
                    address=cursor.getString(cursor.getColumnIndex("address")); //hangi telefondan geldigini alir
                    body=cursor.getString(cursor.getColumnIndex("body")); //mesaj
                    date=cursor.getString(cursor.getColumnIndex("date")); //mesaj atilan tarih
                  
                    SimpleDateFormat formatter=new SimpleDateFormat("dd/MM/yyyy - HH:mm:ss");
                    date=formatter.format(new Date(Long.parseLong(date)));
                et.setText(body);
              
                }
            }
        finally{
            if(cursor!=null){
                cursor.close();
            }
        }
        b.setOnClickListener(new View.OnClickListener() {
          
            @Override
            public void onClick(View v) {
                // TODO Auto-generated method stub
                onInit(1);    //Click eventi olustugunda text to speech cagirilir
              
              
            }
        });
        mTts=new TextToSpeech(this,this);

    }
    //TTS=Text to Speech
    @Override
    public void onInit(int status) {
        // TODO Auto-generated method stub
        if(b.isPressed()){
            Locale loc = new Locale("en", "","");    //TTS ayarlari
            if(mTts.isLanguageAvailable(loc) >= TextToSpeech.LANG_AVAILABLE){
              mTts.setLanguage(loc);    //Dil ayarlanir
            }
            mTts.speak(et.getText().toString(), TextToSpeech.QUEUE_FLUSH, null);//Konusma islemi gerceklestirilir  
        }
    }
    protected void onDestroy() {//TTS destroy eder
          super.onDestroy();
          mTts.shutdown();      
        }

}
AndroidManifest.xml dosyasi iceriside taginden once ya da taginden sonra asagidaki kodu eklemeyi unutmayiniz. Bu kod Android telefonumuz icerisinde sms okuyabilmemiz icin gerekli olan izini bize verir.




<uses-permission android:name="android.permission.READ_SMS" />


Main.xml


<?xml version="1.0" encoding="utf-8"?>
<LinearLayout xmlns:android="http://schemas.android.com/apk/res/android"
    android:orientation="vertical"
    android:layout_width="fill_parent"
    android:layout_height="fill_parent"
    >
<EditText
    android:id="@+id/et"
    android:layout_width="fill_parent"
    android:layout_height="150px"
    android:gravity="top"
    />
    <Button
    android:id="@+id/b"
    android:layout_width="fill_parent"
    android:layout_height="wrap_content"
    android:text="Speak"
    />
</LinearLayout>

17 Kasım 2010

Posted In: android, Gezegen

Linuxa Kolay Gecis

Evet arkadaslar uzun bir aradan  sonra tekrar yeni yazimla karsinizdayim. Bu yazim daha cok windows kullanicilarina hitab ediyor diyebilirim. Ama aklinin bir kosesinde Linux olanlarina ya da Linux a alismak istiyorum diyenlerine. Bu yazimla birlikte ozgurluk deryasina bir adim daha yaklasacaklarina inaniyorum. Evet bu adim sizin icin kucuk fakat insanlik icin daha ozgurluk icin daha kucuk bir adim olacak. Cunku siz ve ben gibi kullanicilardan cok var. Ama unutulmamasi gereken sudur "Damlaya damlaya gol olur." Neyse giris kismini biraz fazla uzattim sanki:) Konumuza yavas yavas gecelim. Linuxa ilk gecisler ve alimak isteyenler icin Linux makinamizi windows makinamiz uzerine sanal makinayla kuracagiz bugun. Boylelikle bilgisayarimiza acemilikten dolayi gelebilecek butun riskleri ortadan kaldirmis olacagiz ve gonul rahatligiyla Linux makinamizda calisabilecegiz. Simdi windows bilgisayarimiza VirtualBox sanallastirma programini indiriyoruz. Yaklasik 72mb bir program. Internet hiziniza gore 15dk lik bir bekleyisten sonra programi kurmaya basliyoruz.Kurulum islermi bittikten sonra yeni kullanicilara tavsiye edebilecegim Pardus un isosunu bilgisayarimiza indiriyoruz. Bu islemde bitince Pardus isosunu ister bir cd ye yazarak istersek Daemon Tools gibi bir programla sanal bir cdrom surucu yaratip oraya mount ederek aciyoruz. Bunun sonrasinda VirtualBox programimizi aciyoruz ve New e tikliyoruz.

Ekranimiza yukaridaki gibi bir ekran geliyor. Bu ekranda next diyoruz ve virtual makinemiz icin bir ad seciyoruz. Operating System kismini Linux yaptiktan sonra Version kismini Other Versiona ayarliyoruz.
Next dedikten sonra karsimiza sanal makinemize ne kadar ram vermek istedigimizi soran bir ekran cikacak. Burada benim tavsiyem 512 mb tan az ram vermeyin; Ben sistemime gore 1gb lik ram verdim.

Next diyoruz ve asagidaki gibi bi ekran karsiliyor bizi.

Bu ekranda da next diyoruz ve karsimiza harddisk icin ayarlar geliyor. Bu ayarlarda istediginiz ayarlari yapabilirsiniz. Dynamic secerseniz harddisk verdiginiz kisita kadar dinamik olarak buyur. Fixed size secerseniz belirli bir boyut her zaman ayrilmis olur harddiskinizde. Secimimizi yapiyoruz ve next diyoruz. Diger ayarlamalarida harddiskimize gore yaptiktan sonra Finish butonuna tikliyoruz. Finishe tikladiktan sonra karsimiza asagidaki gibi bir ekran cikiyor.


Start butonuna tikladiktan sonra isomuzun nerede oldugunu seciyoruz.Benim bilgisayarimda sanal olarak yarattigim Fsurucusunde.

Next ve Finish dedikten sonra karsimiza cikan ekranda ilk secenegi secerek kuruluma basliyoruz. GPL metnini okuyup kabul ettikten sonra ileri seceneklerine tikliyoruz. Bilgisayarimizdaki klavye ayarlarini yapiyoruz. Ileri ye tiklayip saat dilimi ayarlarinida yaptiktan sonra kullanici ve parolasini belirliyoruz ve ileri tusuna tikliyoruz. Burada da yonetici parolamizi belirliyoruz. Ileri sekmesine tikladiktan sonra karsimiza disk bolumlerndirme ekrani geliyor. Burada sanal makinemiz sadece sanal harddiski gordugu icin otomatik secili bir hade ileri tusuna tikliyoruz. Onyukleyici seciminde onerilen kismi isaretliyoruz ve tekrar ileriye tikliyoruz. Ileriye tikladiktan sonra karsimiza gelen ekranda yapmis oldugumuz ayarlari kontrol ediyoruz. Istemedigimiz bir sey varsa geri donup tekrar yapiyoruz ve Kuruluma Basla diyoruz. Eger Pardus kurulumu hakkinda resimli bilgiye ihtiyaciniz olursa bu kaynaktan yararlanabilirsiniz. Herhangi bi sorunuz oldugunda gungorbasa@gmail.com adresine maillerinizi bekliyorum.

21 Temmuz 2010

Posted In: Gezegen, Guncel ve Teknoloji, linux

WP Twitter Auto Publish Powered By : XYZScripts.com