Speech Synthesis Algorithms(Konuşma Sentezleme Algoritmaları)

Merhaba arkadaşlar, uzun zamandır bloga yazı yazamıyordum ama dönüşüm muhteşem oldu bence:) Bugün sizlerle Text to Speech algoritmalarının nasıl çalıştığından ve eksik, hatalı yönlernden bahsedeceğiz. Yazıyı okurken bazı cümlelerin biraz havada kaldığını düşünebilirsiniz. Örneğin "Kullandığımız Android uygulaması" falan gibi. Proje raporlarım üzerinden alıntı yaptığım için bu vb cümlelerle karşılaşabilirsiniz ama bu cümlelerin konumuzun anlaşılmasını etkilemeyeceğini düşündüğüm için tekrar düzenleme yoluna gitmedim.  Daha fazla laf kalabalığı yapmayalım ve konumuza başlayalım...

Konusma Sentezleme(Speech Synthesis)


Konuşma sentezleyici yazılı(text) bir veriyi alır ve bunun konuşma dilinde çıktısını verir. Ayrıca konuşma sentezleyici literatürde text to speech (TTL) olarakta bilinir.
Yazılı bir metinden konuşma sentezlemenin ana adımları aşağıdaki gibidir

1)Yapı Analizi(Structure Analysis):

Yazılı metni işler ve paragrafların nerede başladığına, cümlelerin nerede başlayıp nerede bittiğine karar verir. Bir çok dilde noktalama işaretleri ve tarih formatları bu adımda kullanılır.

2)Metin Önişleme(Text pre-processing):


Dilin özel yapısına karşı girdi metni analiz edilir. İngilizce ‘de kısaltmalar, akronimler, tarihler, zamanlar, numaralar, para miktarları, e-mail adresleri ve diğer birçok veri türü için özel bir işleyiş gereklidir. Diğer diller de bu tür veriler için özel bir işleyişe ihtiyaç duyarlar ve birçok dil farklı özel gereksinimlere ihtiyaç duyar.

İlk 2 adım sonrasında yazılı metni konuşma formatına çevirir. Aşağıdaki örnekler yazılı metin konuşma formatı arasındaki ilişkiyi gösterir.

St. Mathews hospital is on Main St.

“Saint Mathews hospital is on Main Street”

Add $20 to account 55374.

”Add twenty dollars to account five five, three seven four.”

Leave at 5:30 on 5/15/99

“Leave at five thirty on May fifteenth nineteen ninety nine.”

Diğer adımlar yukarıdaki çıktıları konuşmaya çevirmek içindir.

3)Yazılı Metinden Ses Birimine Çevirme(Text-to-phoneme conversion):

Her bir kelimeyi ses birimlerine çevirir. Ses birimi(hece-phoneme) bir dildeki seslerin en basit birimidir. Amerikan İngilizcesinde yaklaşık 45 adet ünlü ünsüz dahil ses birimi bulunur. Örneğin, “times” sözcüğü 4 adet ses biriminden yararlanılarak seslendirilir(t ay m s). Farklı diller de farklı ses birimleri vardır.

4)Vezin (Ölçü) Analizi(Prosody Analysis):
Cümle yapısı süreci, kelime ve sesleri cümle için uygun vezni(aruz) bulmak için kullanılır. Vezin kelimeyi söylerken ağızdan çıkan seslerden ayrı olarak daha fazla konuşma özelliği içerir. Bunlar; ses perdesi(pitch or melody), zamanlama(timing or rhythm), duraksama(pausing), konuşma oranı(speaking rate), kelimeler üzerindeki vurgu ve diğer bir çok özellik. Doğru vezin doğru konuşma seslerini bulmak için ve doğru anlamı verebilmek için önemlidir.

5)Dalga Üretimi(Waveform Production):
Son olarak, fonem ve vezin bilgisi her bir cümle için ses dalgası üretmek için kullanılır. Fonem ve vezin bilgisinden ses dalgası üretmenin birçok yolu vardır. En güncel sistemler bunu iki yolla yaparlar. Bunlardan biri kayıtlı insan sesi parçalarını birleştirerek diğeriyse sinyal işleme tekniklerini kullanarak yapar.

Konuşma Sentezi Sınırlamaları

Konuşma sentezleyiciler yukarıdaki adımları uygularken bazı hatalar yapabilirler ve insan kulağı bu hataları yakalamada çok başarılıdır. Geliştiriciler tarafından iyi geliştirilmiş bir konuşma sentezleyici bu tür hataları en aza indirebilir ve konuşma kalitesini artırabilir.

Android in kullandığı Java konuşma Apisi(Java Speech API) ve java konuşma işaretleme dili (Java Speech Markup Language(JSML)) geliştiricilere konuşma kalitesini artırmak için birçok olanak sunar.

Java sentez işaretleme dili(Java Synthesis Markup Language) girdi yazısının nasıl işaretleneceğini belirler. Özelliklerinden bazılarından kısaca bahsedelim:

* Paragrafın ya da cümlenin işaretleme başlangıcını ve bitişini belirleme yeteneği.

* Herhangi bir kelimenin telaffuzunu belirleme, sözcük veya cümle kısaltma ya da diğer özel, yazı ifade etme yeteneği

* Vezin geliştirmek için aleni duraksama kontrolü, sınırlama, vurgulama, ses perdesi, konuşma oranı ve yükseklik.

Bu saydığımız özellikler geliştirici ve kullanıcılara birazdan bahsedeceğimiz aşağıdaki gibi hataların üstesinden gelebilme olanağı verir. Şimdi hata kaynaklarını ve bu hata kaynaklarını nasıl minimize edeceğimizi inceleyelim.

1)Yapı Analizi(Structure Analyses):Noktalama ve formatlama kesin olarak bir cümlenin ya da paragrafın nerede başlayıp nerede bittiğini gösteremeyebilir. Örneğin “U.S.A.” kısaltması yanlış çevrilerek bir cümle sonu olarak algılanabilir.

Çözüm: JSML de paragraf ve cümlelerin açık biçimde işaretlenmesi bu tür yapısal hataları engelleyebilir.

2)Metin Önişleme(Text pre-processing): Sentezleyicinin bütün cümle ve kelime kısaltmalarını bilmesinin ihtimali yoktur. Ayrıca bütün tarih ve zamanları da bilmesinin imkanı yoktur. Örneğin: 8/5 bizim yazımızda 5. Ayın 8’i kastedilirken 8/5 sonucunu okuyabilir ya da 1998 tarihi İngilizcede “nineteen nınety eight” olarak okunması gerekirken “one thousand nine hundred ninety eight” olarak okunabilir. Bu da anlam karmaşasına yol açabilir.

Çözüm: JSML in SAYAS elementi yazı kısaltmaları için değişiklikler sunar.

3)Yazılı Metinden Ses Birimine Çevirme(Text-to-phoneme conversion): Birçok sentezleyici yüz binlerce kelimeyi doğru olarak telaffuz eder fakat her zaman tahmin edilmesi gereken değişik ve olağandışı isim, şirket ismi vb. şeyler ya da yazılışları aynı ama okunuşları farklı sözcükler vardır ve bunların tahmin edilmesi büyük bir sorundur.

Çözüm: JSML in SAYAS elementi alışılmadık sözler için fonetik telaffuz sağlar.

4)Vezin (Ölçü) Analizi(Prosody Analysis): Bir cümleyi doğru olarak ifade edebilmek, doğru vurguyu yapabilmek, doğru ses perdesini tutturabilmek vb. şeyler için cümlenin anlamını anlamak gereklidir ve maalesef bilgisayarlar bunu yapamazlar.

Çözüm: JSML in EMP, BREAK ve PROS elementleri yazı üzerinde vurguyu, duraksamayı vb işler için kullanılabilir.

5)Dalga Üretimi(Waveform Production): Dudak, ağız, akciğer gibi insan sesinin özelliğini veren aparatlar olmadan ses sentezleyicisinden çıktı olarak çıkacak ses genellikle yapay(robotik) olur. Bu mekanik veya robotik ses insan sesinden kolaylıkla ayırt edilebilir. Bazı şartlar altında bu robotik ses tercih edilebilir fakat çoğu zaman sentezleyiciden gelen sesin daha kolay anlaşılabilir ve dinlenilebilir olduğu için insan sesine benzemesi tercih edilir.

Çözüm: Maalesef Java Speech API ve JSML direk olarak bu konu hakkında pek bir şey yapamazlar.

Konuşma Sentezi Değerlendirmesi

Konuşma sentezleyicilerin kilit noktaları sentezlenen sesin anlaşılabilirliği, kullanıcılar tarafından kabul görüşü ve çıkış kalitesidir. Konuşma sentezleyicilerin kalitesinin nasıl hesaplanacağının ve hangi faktörlerin çıktı kalitesine etki edeceğinin bilinmesi özellikle uygulama alanında önemlidir.

İnsanlar neredeyse yaşam süreleri boyunca dinlerler ve konuşurlar. Bunun sonucunda da insan kulağı ve beyni sesler üzerine çok hassastır. Konuşma üzerindeki en ufak değişiklikleri, duygusal duruları, aksanları, konuşma problemlerini rahatlıkla algılayabilir. Fakat şu anki konuşma sentezleyicilerin konuşması bu ufak değişiklikleri ses ile iletemeyecek durumdadır. Bu yüzden dinleyiciler konuşma sentezleyiciden çıkan sesleri anlayabilmek için ekstra efor sarf etmelidirler. Yukarıda sayılan gibi bir çok nedenden dolayı yeni kullanıcılar konuşma sentezleyicilerle ilk tanıştıklarında kendilerini rahatsız ve tatmin olmamış hissederler.

Geliştiriciler konuşma sentezleyicilerin kalitesinin değerlendirmesini yaparken 2 önemli faktör vardır. Anlaşılabilirlik ve doğallık. Anlaşılabilirlik sentezlenen konuşmanın kullanıcılar tarafından güvenli olarak anlaşılmasının göstergesidir. Doğallık ise sesin ne kadar insan sesine yaklaşabildiğiyle ve kullanıcılara bir insanla konuşuyormuş hissi vermesiyle alakalıdır.

10 Şubat 2011

Posted In: android, Gezegen, Guncel ve Teknoloji

Güvenli Kod Yazımı

Evet arkadaşlar uzun zamandır yazamıyordum. Bunun nedeni uzun zamandır projelerle uğraşıyor olmam. Bugün sizlerle projelerimi yaparken rapor olarak yazdığım nasıl güvenli kod yazılır adlı raporumu paylaşacağım. Verilen örnekler biraz .NET platformu üzerinden ama herkes için yararlı olacağını düşünüyorum.


Güvenlik çok yönlü bir olaydır ve güvenlik riskleri her yerde olabilir. Belki kötü bir hata denetim kodu, belki çok geniş bir yetkilendirme, belki de server üzerinde hangi servislerin çalıştığının unutulması  Bu liste böyle uzar gider ve yazımızın amacı da buradan çıkar Burada bizim amacımız en çok yapılan yazılım hatalarını incelemek ve bu hatalara karşı ne gibi önlemler alabileceğimizi öğrenmektir. Unutmayalım ki bunlar sadece güvenli kod yazabilmek için ilk adımlarımızdır. Bunların dışında yüzlerce farklı saldırı tekniği ve korunma metodu vardır. Bunların hepsini uygulasak dahi aklımızdan çıkarmamız gereken bir husus daha vardır. Asla güvenli kod yoktur. Çünkü saldırganlar her geçen gün saldırı tekniklerini değiştirmekte ve farklı saldırılarla sistemlerimize ve kodlarımıza saldırmaktadırlar.

Olası Güvenlik Riskleri

1)SQL Injection

SQL Injection hala daha görülebilecek en büyük açıklıklardan biridir. Kullanıcı verisine dayanan bir atak türüdür. Bu atak türü genellikle kod yazanların SQL Injectionı tam anlamıyla anlamadıkları için başlarına gelir. Peki nedir bu SQL injection. Bunu anlayabilmemiz için once SQL in ne olduğunu bilmemiz gerekir. SQL veritabanıyla anlaşmamızı ve verileri veritabanından çekip üzerlerinde işlem yapmamızı sağlayan bir dildir. Bir nevi biz insanların veritabanıyla konuşup anlaşma şeklidir. SQL Injectionı ise kullanıcının söylediği sözlerin veritabanına biraz değiştirilmiş şekliyle yansıtılması olarak tanımlarsak yanlış tanımlamış olmayız. Buna gore de veri tabanının bize vereceği değer değişecektir ki kötü niyetli son kullanıcılar bu yapıdan faydalanarak istenmeyen olaylara maruz bırakabilir bizi. SQL Injectionı biraz kavradıktan sonra bir tane gerçek örnek üzerinde durumu konuşalım.
Aşağıdaki gibi bir SQL sorgumuz olsun

Select * from kullanıcılar where username=$uname AND password=$pass

$uname ve $pass kısımlarını kullanıcıdan alıyoruz. Burada eğer kullanıcı bize gerçek değerleri verip giriş yaparsa bunda hiçbir sorun yok. Ama eğer kullanıcı adı ve şifre yerine özel bir takım karakterler yazarak girişi sağlayabilirsek işte o anda yetkisiz olarak verilere ulaşabiliriz. Username ve pass için bir SQL injection denemesi yaparak neler olabileceğini inceleyelim. Eğer usename ya da pass yerine “OR” yazarsak yetkisiz olarak giriş yapabiliriz ve system içerisinde kullanıcı yetkilere gore gönlümüzce dolaşabilriz.

Select * from kullanıcılar where uname =”OR”=” AND pass=”OR”=”

2)Cross Side Scripting

Cross Side Scripting kısaca, HTML ve Javascript yardımıyla bir sitede, siteye giren kullanıcıya tehlike arz edecek şekilde kod çalıştırmaya denir. Temel olarak kullanıcıların bilgilerini çalmayı amaçlar. Cross Side Scripting de SQL Injection gibi kullanıcı verilerine dayanan bir saldırı türüdür.

3)Broken Authentication and Session Management
   
Tam olarak güvenliği sağlanmamış ( örneğin md5 veya benzeri bir algoritma ile korunmamış) oturum nesnenleri ve çerezlerinin ele geçirilip kötü amaçlar için kullanılmasıdır. Organizasyonlar için önerilen şeyse developerlarına güçlü authentication ve session management control sağlamasıdır.

4)Insecure Direct Object References
   
Herhangi bir kontrol mekanızması olmadan kod içerisinden bir dosyanın include edilmesi, direk veritabanı erişim bilgilerinin saklanması ve çağrılması ve benzeri public fonksiyon erişimleri gibi hatalardır. Korunmak içinse indirect objeler kullanılmalı ve objelere erişim control altında tutulmalıdır.

5)Cross Site Request Forgery (CSRF)
   
CSRF ataklarından bir sisteme login olmuş kullanıcı tekrardan login request göndermesi için zorlanır fakat bu sefer login requestindeki bilgileri istemciye değil saldırgana aittir.
Konuyu daha iyi anlayabilmek için yine bir banka örneği vererek açıklayalım. Saldırganın amacı banka hesabımızı boşaltmaktır. Bu amaç için bir web sitesi hazırlar ve bir resim içerisine bir kod aşağıdaki gibi bir kod gömer.

http://example.com/transferFunds? amount=1500&destinationAccount=attackersAcct#“ width="0" height="0" />

Eğer kullanıcı önce bankasında bir işlem yapıp daha sonar banka sayfasını kapatmadan bu siteye girip yukarıdaki imajın bulunduğu linke tıklarsa saldırgan kurbanın bilgisayarındaki cookie bilgilerinden yararlanarak amacına ulaşabilir.

6)Security Misconfiguration
   
Güvenlik ile ilgili tanımların zayıf, yanlış veya varsayılan olarak bırakılmasından kaynaklanan saldırılardır. Örneğin evinizdkei ADSL modemleri şifrelerinin değiştirilmemesi gibi. Her cihazın default şifrelerine ( bunlara cisco, juniper vb güçlü cihazlar dahil) internetten 15 saniyede ulaşabilirsiniz.

7)Insecure Cryptographic Storage
   
Kriptolonamamış verilerin zayıf sunucularda korunması(maması). Günümüzde pek çok e-ticaret sitesi müşterilerinin bilgilerini şifrelemeden saklamaktadır. Kötü niyetli Host sahibi veya saldırgan bu bilgilere ulaşabilir. Korunmak için verytabanına kaydettiğimiz özellikle şifre gibi veriler kriptolanmış bir şekilde kaydedilmelidir.

8)Failure to Restrict URL Access
   
Erişimi kısıtlanmış sayfalara erişimlerin kontrol edilmemesidir, bu sayafalara erişen diğer sayfa ve modüllerin iyi bir şekilde izlenmemesi veya kodlama hataları vb.
Örneğin bir admin paneline bir kısıtlama koymadan link yardımıyla ulaşılabilyorsa bu çok büyük bir güvenlik riskidir.

9)Insufficient Transport Layer Protection

Uygulamalar genelde hassas mesajlar gönderilirken network trafiğini kriptolamayı başramayabilirler. Başarsalar bile zayıf algoritmalar vb şeylerle yaparlar. Burada eğer network trafiğini dinlemeyi başaran birileri varsa bizim network üzerinden ulaştırmaya çalıştığımız bütün bilgileri çalabilir.   
Bu ataklardan korunmak için böyle hassas verilerimizi güçlü bir kriptolama işleminden sonra yollamalıyız.

10)Unvalidated Redirects and Forwards
   
Bir çok web uygulamasında ilk ve son veri kontrolü yapılmaksızın yönlendirmeler yapılmaktadır. Buna en güzel örnek yıllar önce alışveriş sitelerinde ödeme sayfasına geçmeden bir önceki sayfalarda fiyatlar ve miktalar değiştirilerek ödeme sayfasına yönlendirme işlemleri idi. Kısaca uygun bir kontrol yapılmadan saldırganın bizi pishing ya da malware sitesine yönlendirmesidir.
Korunmak içinse yönlendirmelerden kaçınmalıyız. Eğer yapmak zorundaysak kullanıcılardan aldığımız veriler doğrultusunda yapmayınız.

Kodlarımızı Daha Güvenli Yapabilmek İçin 7 Öneri

1)Asla Kullanıcı Girdisine Güvenme

Bu yazıyı okuyorsanız aklınızda kalması gereken en önemli şey budur. Asla kullanıcı girdisine güvenmeyin. Çünkü saldırıların büyük bir çoğunluğu bu taraftan gelir. Eğer dış dünyadan aldığımız her verinin doğru ve kötü niyetsiz olduğuna inanırsak ilk sorunumuz orada başlar. Çünkü saldırganlar tarafından kullanılan bir çok güvenlik açığı sunucuya kendi işlerine yarayacak kötü bir mesaj göndermle kırılır.
Inputlara güvenmek ve bilgilerin doğru formda olduğuna koşulsuca inanmak buffer taşmasına, cross side scriptinge, SQL Injectiona ve bunun gibi bir çok soruna neden olabilir.

2)Buffer Taşmalarından Korunun

Buffer taşması saldırganın programa programın beklediği değerden daha büyük bir değer vermesi  sonucunda değişkenin ayrılmış olan memory alanina sığmamasıdır. Ya da programlama yaparken ufak bir gözden kaçma sonrasında da oluşabilir. Programcı ne kadar tecrübeli olursa olsun bu hatalara dikkat etmelidir. Bir buffer taşması sonucu uzaya gönderilmiş olan bir uzay gemisi parçalanmıştır. Görüldüğü gibi küçük bir olaymış gibi gözüksede sonuçları çok büyük olabiliyor. Bu kadar büyük sorunlara yol açabilmesine ragmen genellikle buffer taşmasının çözümü oldukça basittir. Genelde biraz dikkatli olarak ve alınan değerlerin aralıklarını belirleyerek üstesinden gelinebilir.
Bu olaylara mahal vermemek için yapılması gereken en önecelkli şey unsafe kodlara izin vermemektir.


3)Cross-site Scriptlerden Korunun

Croos side scriptleri webe özel güvenlik açıklarından biridir. Aşağıdaki kod parçasına bakmak istersek;


Böyle masum gibi görünen bir kodun aslında saldırıya açık bir kod bloğudur. Normlde, kullanıcı bu tür bir koda aşağıdaki gibi bir URL ile birlikte ulaşırlar:


C# yukarıdaki script kodundan aldığı verileri iyi formda ve sadece name değerinden başka bir şey almayacakmış gibi düşünür. Fakat saldırganlar bu kodu istismar ederler ve name değeri yerine tıpkı bir name değeriymiş gibi bir script girerler;


Eğer yukarıdaki adresi adres çubuğuna girersek önümüze içeriğinde hi! Yazan bir dialog box ın çıktığını görürüz. Bu ne demek peki. Bu saldırganın bizim web sitemize istediği gibi müdahale edebilmesi anlamına geliyor. Belki böylesine zararsız bir kod için çok bir önemi olmayabilir fakat bir de olaya şu açıdan bakın. Bu web sitesinin bir bankanın web sitesi olduğunu ve yazılan scriptin internet şubesine giriş butonunu etkilediğini düşünelim.




Kullanıcı giriş butonuna tıkladığı zaman aynı bankanın internet şubesi arayüzüne bağlanır gibi fakat saldırganın önceden hazırladığı bir web sitesine yönlendirir.




Web sitesi tıpkı bankanın sitesine benzediğinden kullanıcılar çoğunlukla gerçek web sitesiyle arasındaki farkı anlayamazlar ve güvendikleri için bilgilerini girmeye başlarlar. Bunun sonucunda da girilen bilgiler saldırgan tarafından ele geçirilmiş olur. Elbette bankalarımızın güvenliği bunların çok daha üstünde güvenlik tedbirleri alınarak yapılıyor fakat bu örneks durumun vahammiyetini daha iyi kavrayabilmemiz içindi.
Peki cross side scripting den kodumuzu nasıl koruyacağız. Bu olayın başımıza gelmesini engelleyebilmemiz için iki yöntem öneriliyor. İlki ve yazımızda da ilk olarak değindiğimiz konu olan asla kullanıcı girdisine güvenme ve girdinin ne içermesi gerektiğini katı bir şekilde belirle. Örneğin; bu işi gerçekleştirmek için regular expressionları kullanabiliriz. Regular expressionlarla kullanıcının girdisini kısıtlayarak bu işlemi yaparız. Aşağıdaki c# kodu bu işi nasıl yapabileceğimizi gösteriyor.

Regex r=new Regex(@”^[\w]{1,40}$”);
If(r.Match(strName).Success)
{
         //String Kısıtlara uyar
}
else
{
         //String kısıtlara uymaz
}

Bu kodumuzda regular expressionları kullanarak stringimizin 1 ile 40 alfanumerik karakterler arasında kalmasını sağlıyoruz. Kullanıcının girdisini kontrol etmenin en güvenli yolu budur. Bu işlemi terstende uygulayabilirsiniz. Yani yasak karakterleri teker teker yasaklayarak. Fakat burada unutulmaması gereken bir husus var ki bu işlem yapılırken yapacağımız ufak bir dikkatsizlik saldırı yememize neden olabilir. Bu yüzden izin verilmeyen karakterleri yasaklamak yerine izin verilen karakter olup olmadığına bakmak daha güvenli bir yoldur.
Bu saldırıları önlemenin ikinci yoluysa bu özel karakterleri daha güvenli karakterlerle değiştirme yöntemidir. Ama birinci yöntem kesinlikle daha güvenlidir.

4)Asla sa İzniyle Hareket Etme

Şimdi de biraz SQL Injectionları inceleyelim. Bilindiği gibi birçok yazılım geliştirici kullanıcılardan değer alarak very tabanı üzerinde bu değerlerle birlikte işlem yaparlar.
Aşağıdaki kodu biraz inceleyelim;

void DoQuery(string Id) {
    SqlConnection sql=new SqlConnection(@"data source=localhost;" +"user id=sa;password=password;");
    sql.Open();
    sqlstring= "SELECT hasshipped" +
            " FROM shipping WHERE id='" + Id + "'";
    SqlCommand cmd = new SqlCommand(sqlstring,sql);

Birçoğumuz yukarıdaki gibi bir kod yazmıştır muhtemelen. Fakat bize tanıdık gelen bu kod aslında o kadar da masum değil. 3 kusuru var bize tanıdık gelen bu kodun. İlk olarak, database e ulaşım system administrator(sa) hesabı kullanılarak yapılmaya çalışılmış. Sa hesabı için belirlenen mükemmel şifremiz password olarak belirlenmiş. Ama bunlara rağmen bu koddaki asıl sorun string birleştirme işlemi yaparak SQL statementı oluşturuyor olmasıdır. Bu durumda eğer kullanıcı Id değeri için 1001 yazarsa ve bu string işletilirse hiçbir sorun çıkmaz ve muhtemel olarak aşağıdaki gibi bir kod işletilir.

SELECT hasshipped FROM shipping WHERE id = '1001'

Maalesefki saldırganlar bu kadar iyi niyetli değil. Id=1001 yazmak yerine aşağıdaki gibi bir kod işletmeyi deneyebilirler;
SELECT hasshipped FROM
shipping WHERE id = '1001' 
DROP table shipping -- ';

Yukarıdaki sorgu istediğimiz select işlemini yapıyor olmasına rağmen devamında gelen kodlar sayesinde shipping tablosunuda siliyoruz ki bu istemediğmiz bir olay. – operatorü sayesinde sonrasında gelen kodlar yorumlanmıyor. Biraz once sa olarak veri tabanına bağlanmıştık ve şimdide bir tablo sildik. Peki bu tür bir olay sadece select yetkisi verilmiş bir username ile veritabanına bağlanılmış olsaydı başımıza gelirmiydi. Cevap çok basit tabiki hayır. Bu yüzden veri tabanına bağlanırken dikkat edilmesi gereken en önemli konulardan biri veri tabanına asla system administrator yetkisiyle bağlanmamaktır.
Peki nasıl SQL Injection yemekten koruyabilriz kodumuzu. Bunun için dinamik sql kodları kulanmak yerine stored procedure lar kullanmak en akıllıca olan yollardan biridir. Tabiki yine bir numaralı altın kuralımızı unutmayarak kullanıcı girdilerinin istediğimiz formatta olup olmadığını da control etmeliyiz. Örnek kod;

Regex r = new Regex(@"^\d{4,10}$");
if (!r.Match(Id).Success)
    throw new Exception("Invalid ID");

SqlConnection sqlConn= new SqlConnection(strConn);
string str="sp_HasShipped";
SqlCommand cmd = new SqlCommand(str,sqlConn);
cmd.CommandType = CommandType.StoredProcedure;
cmd.Parameters.Add("@ID",Id);

Unutmayalımki cross-side scripting, buffer overruns ve SQL Injection ların hepsi kullanıcı girdisine güvenme sonrasında çıkmıştır. Bu yüzden altın kuralımızı her zaman hatırlamalıyız.

5)Asla Kendi Ürettiğin Encryption Sistemini Kullanma

Eğer bir kriptolama işlemi yapıcaksanız asla kendi ürettiğiniz kripto algoritmasını uygulayarak yapmayın. Pek çok insan kendi ürettikleri kripto algoritmalarının kırılmasının çok zor olduğunu düşünerek bu tür bir yolu seçerler fakat yanıldıkları en büyük nokta kriptoladıkları kodların muhtemelen birkaç dakika içerisinde kırılabilecek düzeyde olmasıdır. Bu yüden c# dilinde kriptolama işlemi yapacaksak kripto kütüphanelerini kullanmamız daha iyi sonuçlar doğuracaktır.


6)Least Privilage Prensibine Uyun

İşletim sistemleri ve common language runtime(C# kodumuzun makine diline çevirildiği yer) bir çok nedenden dolayı güvenlik prensiplerine sahiptir. Bunun da temel amacı kullanıcıların erişime yetkisi olmayan yerlerde verilere ulaşmalarını engellemek ve kötü niyetli kişilerin veriliremizle oynamasını engellemektir ve genellikle bunu serilization işlemlerini engelleyerek yaparlar. Güvenlik prensiplerini kodumuzu çevreleyen bir duvar şeklinde düşünebiliriz. Erişime izni olanları içeriye alır, izni olmayanları duvar dışında bırakır.
Yukarıda söylediğim güvenlik prensipleri dışında bize düşen bazı görevler daha vardır. Burada asıl amaç hiçbir zaman gereğinden fazla yetkiyi vermemektir. Şöyle bir örnek düşünelim;
Elimizde veritabanımızdaki verileri gösteren bir yapı olsun. Burada amacımızı gerçekleştirebilmemiz için bize sadece vritabanımızdan select yetkisi almış olan bir connection yetecektir. Çünkü tüm yapmak istediğimiz verileri veritabanından çekmektir. Eğer bir şekilde kötü niyetli bir kişi web sayfamızın diger açıklarından faydalanıp oynamalar yapmaya çalışıyorsa tek yapabileceği bizim kullanıcılara göstermiş olduğumuz verileri alabilmektir. Asla veriler üzerinde değişiklik yapamaz. Ama bu örneğimizde veritabanına erişim yetkimizi sadece select olarak değilde update ve delete de dahil olacak şekilde bir yetki vermiş olsaydık işte o zaman kötü niyetli saldırgan verilerimizi değiştirebilr ve bizim istediğimiz verilerimizi sergilememizi engeleyebilirdi. Hatta ve hatta daha ileriye giderek veritabanımızdaki verilerimizi silebilirdi bile.
İşte yukarıdaki gibi durumlara maruz kalmamak için her zaman işlerimizi yapabileceğimiz en düşük yetki seviyesinde yapmalıyız. Her zaman least privilege ilkesine uymalıyız.

7)Hata Denetimine Yeterli Önemi Ver

Bu yazıyı okuduğunuza gore kod yazma işine bir tarafından dahil olduğunuzu düşünüyorum. Hepimiz kod yazıyoruz öyle değil mi? Peki kaçımız bu yazdığımız kodların test kısmına gerekli önemi veriyoruz ya da error handling mekanizmalarını yeterince kullanıyoruz. Bu üzerinde genellikle yüzeysel olarak durduğumuz konulardan. Oysaki en az yukarıda konuştuğumuz durumlar kadar önemli bir durum bu.
Test edilmeden kullanılan programlar genelde büyük güvenlik açıklarına sahiptirler. Bu güvenlik açıklarına maruz kalmamak için kodlarımızın test bölümüne yeterli önemi vermeliyiz. Elbetteki bütün şartlar için test edemeyiz fakat ne kadar çok test yaparsak ileride programımızın çökme olasılığı da o derecede iner. Ne kadar az test yaparsakta güvenliğin temel ilkelerinden olan sürdürülebilirliği sağlamamız da o derece zorlaşır.
Bir de kodlarımızı yazarken error handling sağlayabilmemiz için gerekli yerlerde try-catch bloklarını koymaya özen göstermeliyiz. Olağan dışı oluşan durumlarda ya da olası olusabilecek hatalarda programımızın çökmesi ya da yanlış çalışması yerine bir uyarı mesajı vererek progamımızın güvenilirliğini artırmamızı sağlar.

Kaynaklar








30 Aralık 2010

Posted In: Gezegen, Guncel ve Teknoloji, microsoft

Linuxa Kolay Gecis

Evet arkadaslar uzun bir aradan  sonra tekrar yeni yazimla karsinizdayim. Bu yazim daha cok windows kullanicilarina hitab ediyor diyebilirim. Ama aklinin bir kosesinde Linux olanlarina ya da Linux a alismak istiyorum diyenlerine. Bu yazimla birlikte ozgurluk deryasina bir adim daha yaklasacaklarina inaniyorum. Evet bu adim sizin icin kucuk fakat insanlik icin daha ozgurluk icin daha kucuk bir adim olacak. Cunku siz ve ben gibi kullanicilardan cok var. Ama unutulmamasi gereken sudur "Damlaya damlaya gol olur." Neyse giris kismini biraz fazla uzattim sanki:) Konumuza yavas yavas gecelim. Linuxa ilk gecisler ve alimak isteyenler icin Linux makinamizi windows makinamiz uzerine sanal makinayla kuracagiz bugun. Boylelikle bilgisayarimiza acemilikten dolayi gelebilecek butun riskleri ortadan kaldirmis olacagiz ve gonul rahatligiyla Linux makinamizda calisabilecegiz. Simdi windows bilgisayarimiza VirtualBox sanallastirma programini indiriyoruz. Yaklasik 72mb bir program. Internet hiziniza gore 15dk lik bir bekleyisten sonra programi kurmaya basliyoruz.Kurulum islermi bittikten sonra yeni kullanicilara tavsiye edebilecegim Pardus un isosunu bilgisayarimiza indiriyoruz. Bu islemde bitince Pardus isosunu ister bir cd ye yazarak istersek Daemon Tools gibi bir programla sanal bir cdrom surucu yaratip oraya mount ederek aciyoruz. Bunun sonrasinda VirtualBox programimizi aciyoruz ve New e tikliyoruz.

Ekranimiza yukaridaki gibi bir ekran geliyor. Bu ekranda next diyoruz ve virtual makinemiz icin bir ad seciyoruz. Operating System kismini Linux yaptiktan sonra Version kismini Other Versiona ayarliyoruz.
Next dedikten sonra karsimiza sanal makinemize ne kadar ram vermek istedigimizi soran bir ekran cikacak. Burada benim tavsiyem 512 mb tan az ram vermeyin; Ben sistemime gore 1gb lik ram verdim.

Next diyoruz ve asagidaki gibi bi ekran karsiliyor bizi.

Bu ekranda da next diyoruz ve karsimiza harddisk icin ayarlar geliyor. Bu ayarlarda istediginiz ayarlari yapabilirsiniz. Dynamic secerseniz harddisk verdiginiz kisita kadar dinamik olarak buyur. Fixed size secerseniz belirli bir boyut her zaman ayrilmis olur harddiskinizde. Secimimizi yapiyoruz ve next diyoruz. Diger ayarlamalarida harddiskimize gore yaptiktan sonra Finish butonuna tikliyoruz. Finishe tikladiktan sonra karsimiza asagidaki gibi bir ekran cikiyor.


Start butonuna tikladiktan sonra isomuzun nerede oldugunu seciyoruz.Benim bilgisayarimda sanal olarak yarattigim Fsurucusunde.

Next ve Finish dedikten sonra karsimiza cikan ekranda ilk secenegi secerek kuruluma basliyoruz. GPL metnini okuyup kabul ettikten sonra ileri seceneklerine tikliyoruz. Bilgisayarimizdaki klavye ayarlarini yapiyoruz. Ileri ye tiklayip saat dilimi ayarlarinida yaptiktan sonra kullanici ve parolasini belirliyoruz ve ileri tusuna tikliyoruz. Burada da yonetici parolamizi belirliyoruz. Ileri sekmesine tikladiktan sonra karsimiza disk bolumlerndirme ekrani geliyor. Burada sanal makinemiz sadece sanal harddiski gordugu icin otomatik secili bir hade ileri tusuna tikliyoruz. Onyukleyici seciminde onerilen kismi isaretliyoruz ve tekrar ileriye tikliyoruz. Ileriye tikladiktan sonra karsimiza gelen ekranda yapmis oldugumuz ayarlari kontrol ediyoruz. Istemedigimiz bir sey varsa geri donup tekrar yapiyoruz ve Kuruluma Basla diyoruz. Eger Pardus kurulumu hakkinda resimli bilgiye ihtiyaciniz olursa bu kaynaktan yararlanabilirsiniz. Herhangi bi sorunuz oldugunda gungorbasa@gmail.com adresine maillerinizi bekliyorum.

21 Temmuz 2010

Posted In: Gezegen, Guncel ve Teknoloji, linux

Sansure Karsi Ortak Deklarasyon

Türkiye’de 10 bine yakın internet sitesine uygulanan ve gittikçe genişleyen sansür uygulamalarına karşı, aralarında Linux Kullanıcıları Derneği’nin de bulunduğu 30 sivil toplum örgütü ortak deklarasyon yayımladı.

Saat 12:00′da yayımlanan bildiride, uygulanan sansürün Anayasa’ya aykırı, orantısız ve keyfi olduğu savunularak bir an önce durdurulması istendi. Bildiride, sansüre baz olarak kullanılan 5651 sayılı muğlak ‘internet yasası’nın da kaldırılması talep edildi.

Bildiri metninde, “çocukların zararlı içerikten korunması” niyetiyle uygulanan engellerin yetişkinlerin haklarını ihlal etmemesi ve çoğunluğun ahlaki değerlerini diğerlerine dayatma amacıyla kullanılmaması gerektiği belirtildi.

Bildirinin tam metni şöyle:

“Temel Hak ve Özgürlükler Engellenemez


1. Internet kullanıcılarının düşünce özgürlüğü ve bilgiye erişim hakkı engellenemez.
2. Türkiye’de bireylerin, kurumların, ve şirketlerin bilişim alt yapılarını istedikleri şekilde oluşturmaları ve istedikleri servislerden yararlanmaları engellenemez. Sansür ülke ekonomisine de kabul edilemez bir bedel yüklemektedir.

Hukuka Aykırı, Ölçüsüz ve Keyfi İdari İşlem Demokratik Hukuk Devletinde Kabul Edilemez


3. 03 Haziran 2010 tarihinden beri Google servislerine uygulanan dolaylı sansür Anayasa’ya ve hukukun temel ilkelerine aykırıdır. BTK ve TİB tarafından alınan karar ve uygulama ölçüsüz ve tutarsız bir uygulamadır. Bu konuya ilişkin yapılan açıklamalarda, idarenin böyle bir yetkisinin olmadığı vurgulanmıştır. Nitekim, Ankara Cumhuriyet Başsavcılığı talebi ile Ankara 1. Sulh Ceza Mahkemesi tarafından 17.06.2010 tarihinde YouTube sitesine erişim sağlayan 44 IP adresini engelleme kararı daha önce yapılan işlemin yetki bakımından hukuka aykırı olduğunu ispatlanmıştır.
4. 1. Sulh Ceza Mahkemesi’nin 17.06.2010 tarihinde verdiği ek karar, yetki sorununu çözmüş bulunmakla birlikte, kullanıcıların anayasal haklarını dikkate almadığı için yanlıştır ve en kısa sürede kaldırılması gerekir.

Sansür Amaçlı Kullanılan 5651 Sayılı Kanun Kaldırılmalıdır


5. Erişim engelleme hukuka aykırı içeriği engellemede yetersiz bir yöntemdir. Mevcut engelleme yöntem ve araçlarının hiçbiri hukuka aykırı olduğu veya çocuklar açısından uygun olmadığı iddia edilen içeriğe ulaşmayı engelleyecek etkili bir çözüm sunmamaktadır. Erişim engelleme ile iddia edilen suçu işleyenden ziyade tüm Internet kullanıcıları cezalandırılmaktadır. Eğer filtre kullanımı gerekli görülüyorsa, bu kullanım bireyler tarafından kendi kişisel bilgisayarları üzerinde gerçekleştirilmelidir.
6. Ayrıca, engelleme kararları sadece hukuka aykırı olduğu iddia edilen içeriğe değil, bu sistemlerin tümünün çalıştığı tek bir alanın içeriğinde bulunan milyonlarca yasal sayfa ve dosyaya da erişimi imkânsız kılmaktadır. Bu nedenle, 5651 sayılı Kanun ve uygulaması, Anayasa’da öngörülen ve AİHM tarafından geliştirilen zorunluluk ve orantılılık testlerinin gereğini yerine getirememektedir.
7. 5651 Sayılı Kanunun uygulanması sansürle aynı kapıya çıkmaktadır. Türkiye’de mahkeme kararları ve idari engellemelerle 5000’den fazla web sitesi şu anda erişime kapatılmış bulunmaktadır. Yüzlerce web sitesi de 5651 Sayılı Kanun’un kapsamı dışında engellenmiştir. Mevcut rejimin taşıdığı esasa ve usule dair eksiklikler ifadeyi sansürleyen ve susturan bir yapı oluşturmuştur. Kanun ve uygulamasının etkileri geniştir, yalnızca ifade özgürlüğünü değil, özel yaşamın gizliliğini ve adil yargılanma hakkını da ihlâl etmektedir. Demokratik bir toplumda sansürün bu ölçüde yaygınlaşması kabul edilemez.
8. 5651 Sayılı Kanun Kaldırılmalıdır. 5651 Sayılı Kanun, çocukları hukuka aykırı ve zararlı İnternet içeriğinden korumak amacıyla hazırlanmıştır. Fakat benimsenen engelleme politikası, hükümetin çocukları koruma amacının çok ötesine geçmektedir. Uygulamada yaygın olarak görünen sonuç, hukuka aykırı olmayan içeriğin ve 03 Haziran 2010’dan itibaren Google şirketinin Türkiye’den milyonlarca kişi tarafından kullanılan 40’a yakın servisine yetişkinlerin erişiminin ve bu servislerin kullanılmasının yasaklanması olmuştur.

Çocukların Zararlı İçerikten Korunması için Öngörülen Devlet Politikası Yetişkinleri Etkilememelidir


9. Hükümet, mevcut politikası yerine çocukları gerçekten zararlı İnternet içeriğinden korumak için yeni bir politikayı katılımcı bir şekilde geniş kamuoyu desteği (sivil toplum, akademi, ve özel sektör) ile geliştirmelidir. Ancak bu yeni yapılanma, çoğunluğun ahlaki değerlerini diğerlerine dayatacağı bir çalışma olmamalıdır. İnternet düzenlemesine ilişkin yeni politika, ifade özgürlüğüne ve yetişkinlerin her türlü İnternet içeriğine erişim ve tüketim haklarına saygı temelinde geliştirilmelidir. Bu ilkeleri içeren yeni politika, şeffaf, açık, katılımcı, ve çoğulcu bir yöntemle belirlenmeli ve hayata geçirilmelidir.
10. Vatandaşların Anayasa’da güvence altına alınan temel hak ve özgürlüklerini korumak hükümetin ve idarenin asli görevidir. Bu güvencenin sağlanmaması halinde sorumluların istifa etmesi demokratik bir toplumun zorunlu sonucudur. Bu nedenle, yukarıda sayılan önlemleri en kısa sürede almamaları halinde gelişmelerden sorumlu Telekomünikasyon İletişim Başkanlığı İnternet Daire Başkanlığı Başkanı Sayın Osman Nihat Şen, Bilgi Teknolojileri ve İletişim Kurumu Başkanı Sayın Tayfun Acarer ve Ulaştırma Bakanı Sayın Binali Yıldırım’ın istifa etmesi acil bir zorunluluk haline gelecektir.

Kaynak : Habertux (LKD, NTVMSNBC)

24 Haziran 2010

Posted In: Geyik ve Ben, Gezegen, Guncel ve Teknoloji

Internete Sansure Hayir

Daha youtube sansurunun neden oldugunun tam sebepleri ortaya cikmadan simdiden pes dedirtecek bir gelisme daha ortaya cikti. Artik Google in da bazi sistemlerine erisemeyecegiz. Sansurunde bu kadarina pes dogrusu. Yapilanlar neden yapiliyor bilinmez ama internete sansur konusunda Cin`e cok guclu bir rakip oldugumuz kesin. Bizler internete sansur istemiyoruz. Eger sansur yapilmasi gereken bir durum varsa kullanicilar zaten kendi sansurlerini yaparlar. Bu sekilde iletisim ve erisim ozgurlugunun kisitlanmasina hic gerek yok...
Erisemeyeceginiz ya da erisirken gucluk yasayacaginiz bazi servisler...

  • Google web sitesine erişimde sorun yaşanması
  • Reklam vb. analiz verisi için web sitelerinde Google Analytics, Google Maps gibi Google uygulamalarını kullanan portal veya web sitelerine erişimlerin yavaşlaması
  • Google Toolbar yüklü bilgisayarlarda bazı sitelere yavaş erişme
  • Web sitelerin dahilinde "google search" kullanan alan adlarına erişimde yavaşlama
  • Google uygulamalarıyla entegre ya da Google Search'e dayalı birtakım uygulamaların etkilenmesi.

4 Haziran 2010

Posted In: Geyik ve Ben, Gezegen, Guncel ve Teknoloji

IPad

Ipad, apple in tanitimini yaptigi tablet pc. Apple in sitesinde gordugum kadariyla 9.7 inch boyutunda bir ekrana sahip olan bir iphone a benziyor. Iphone gibi 3G ve wireless ozelligine sahip. Multi touch ozelligi var ve en begendigim ozelligiyse10 saate varan pil omru.






Yukaridaki resimlere gore kendi dusuncem olarak mukemmel bir alet. Iphone gibi oyun oynayabilmekse bu boyutlara gore enfes bir ozellik...

Buda tanitim videosu





28 Ocak 2010

Posted In: Gezegen, Guncel ve Teknoloji

WP Twitter Auto Publish Powered By : XYZScripts.com