Dünyada en çok tercih edilen ve güvenliğine güvenilen yazılım ve donanımlar üreten Check Point, uzun süredir beklenen ve birçok yenilik ile gelmesi beklenen yönetim merkezi platformu Smart Center'ın yeni versiyonu olan R70 ( Release 7.0 ) paketini ilk olarak Endpoint Security'nin yeni versiyonunda duyurdu. Bu release açıklamasında R70'ten daha fazla Endpoint Security yenilikleri anlatılmış. Bu release birçok yeni özellik olmasına karşın en büyük ve üstüne basılan özellik tüm güvenlik araçları için sadece tek bir agent kullanılması olmuş. Yapılan açıklamada "Endpoint Security'te sadece ve ilk defa tek agent" (First and only single agent for total endpoint security) şeklinde belirtilmiş ancak anlamadığım nokta Check Point'in Endpoint Security ürünündemi ilk kez yoksa tüm endpoint camiasındamı ilk kez olduğu. Evet Endpoint teknolojisinin ilk zamanlarda çeşitli güvenlik noktaları için birden fazla agent kullanılırdı ancak günümüzdeki endpoint teknolojisinde bir süredir tek agent ile her iş yaptırılabiliyor (Ör:Symantec Endpoint Security). Neyse bu olayada Check Point'tir vardır bir bildiği şeklinde bir nokta koyup ürünün özelliklerini listelemek istiyorum.

Check Point ürün özelliklerini 8 Kategori halinde listelemiş,bende bu 8 başlıktan önemli maddeleri paylaşıyorum;

• Firewall

Klasik paket kontrol(Rule Based,Zone Based vb.) yaptığımız Firewall modunda bunların dışında Program Control özellikleri ile istediğimiz programlara izin verir,yasaklayabilir yada kullanıcı onayı isteyebilir,istediğimiz yada istemediğimiz programları gruplayabilir ve grup yönetimi yapabilir,sürekli MD5 kontrolü yaparak programın gerçekliğinden emin olabilirsiniz.Ayrıca sürekli güncellenen database ile bilinen kötü içeriğe sahip yazılımlar otomatik olarak sonlandırılabilir

• NAC ( Network Access Control)

Network üzerinde bulunan node'larda taramalar yapar ve policy'de belirttiğimiz, Antivirus markası,versiyonu ve güncelleme tarihi bilgileri,firewall marka ve versiyon bilgileri,Anti-Spyware marka ve güncelleme bilgileri,işletim sistemi yada yazılım updateleri yada registryde istenen kayıtların olup olmaması gibi bilgileri kontrol eder ve policy sonucuna göre bu node'un networkte yer alıp almayacağına karar verebilir. Bunun dışında agent olmayan node'ları networkte barındırmayabilir. Bu arada belirli VPN cihazları üzerinden ve 802.1x uyumlu switchler belirli portlar üzerinden de Network Access Control gerçekleştirebilir.

• Anti-Virus

Aslında bu bölüm için çok fazla söylenecek birşey yok standart anti-virus yazılımlarının temel özellikleri yer alıyor,tek yazabileceğim ekstra özellik Remote Access VPN özellikleri barındıran bu agent'ın VPN bağlantılarınıda viruslerden arındırdığı ve 3rd party birçok Anti-Virus markasını desteklemesi.

• Anti-Spyware

Anti-Virus başlığından çok farklı şeyler söyleyemeyeceğim maalesef,standart Anti-Spyware özellikleri barındırıyor,bilinen spyware kayıt noktalarını denetim altında tutuyor.

• Full Disk Encryption

Bu ve bundan bir sonraki maddede bahsedilen özellikler Data encryption işinde üstad bir firma olan Pointsec 'in Check Point tarafından geçtimiğiz dönemlerde satın alınmasından sonra eklenen özellikler. Bu özellik ile; tüm hardiskinizi,tüm volume'lerinizi tüm partitionlarınızı,sistem dosyalarınızı yada istediğiniz dosyaları encrypt etmeniz mümkün. Üstelik bu işi pre-boot aşamasında user account'unuz ile bind ederek daha güvenli hale getirebilirsiniz. Dynamic Encryption özelliği ile eklenen yeni disk,partition yada volume'leri otomatik olarak encrypt etmeniz mümkün.

• Media Encryption

Yine Pointsec teknolojisi ile gelen bir özellik olan Media Encryption ile tüm port ve media ürünlerinizin yönetimini yapabilir bu ürünler içindeki dataları encrypted hale getirebilirsiniz.Ayrıca Unique Media Authorization ile ürününüzün kayıt id'sine göre farklı yönetim sağlayabilirsiniz.

• Remote Access,IpsecVPN

Check Point ürünleri kullananların çok yabancı olmayan bir özellik bu. Remote Vpn Client'ımızın agent'ımız içine dahil edilmiş versiyonu.

• Management

Bir endpoint ürününde aranan en önemli özellik doğru konfigurasyonlar ve yönetimdir,bunları pratik olarak yapmakta kullanıcı sayılarımızı 1000'li rakamların üzerinde düşünürsek en önemlisidir. Bu yüzden Check Point bu konuda bize geniş imkanlar sağlıyor. İstersek Web üzerinden pratik yönetim yapıp raporlar alabiliriz yada daha detaylı ve alışılmış bir yönetim için SmartCenter tercih edebiliriz. Ayrıca bu tercihimizle birlikte raporlama için Eventia Analyzer ve Eventia Reporter kullanabiliriz.

 

Sonuç olarak ürünün bu versiyonunun tarafımdan test edilmemiş ve Anti-Virus-Anti-Spyware özellikleri her zamanki gibi beni tatmin etmemesine rağmen Check Point isminin ve teknolojisinin getirdiği güvenle rahatlıkla ortamlarımızda testlerine başlayabiliriz.

Artık Bitdefender'la ilgili bir haber yazmaktan, yeni bir release açıklamaktan, ürünün reklamını yaptığımı sanacağınızdan dolayı çok çekiniyorum :) fakat tekrar tekrar belirtmeliyimki Bitdefender ürün ailesindeki ürünlerin kalitelerini, herhangi bir X sitenin yada firmanın yaptığı yüzeysel yada ticari bir test sonucundan dolayı değil bizzat kendi oluşturduğum ortamlarda yaptığım test sonuçlarından dolayı kabul ediyorum ve sizlerle paylaşıyorum. Belki hatırlarsınız en son olarak Bitdefender Bussiness Security 2008 ürün ailesini kabaca tanıtmıştım. Bu ürünün release'nin ardından Softwin firması Bitdefender ile güvenlik konusunda daha ne kadar derine inebileceklerini gösterdi. Hatırlayacağınız üzere Total Security 2008'de adındanda anlaşılacağı gibi güvenlik konusunda, Backup,Disk Encryption vb. değişik güvenlik seviyeleri ve bilgisayar performansını artırıcı yenilikler gelmişti.

Total Security'nin 2009 versiyonuda yine 2008'de aynı özelliklerin yenilenmiş halini taşımakla beraber yepyeni güvenlik araçları ile birlikte geldi.
Yeni özellikler arasında en popüler Instant Messaging yazılımları olan Msn Messenger ve Yahoo! Messenger iletişiminizi encrypt hale getirebiliyorsunuz, çok kullanışlı ve gerçekten etkileyici bir özellik bu. Bitdefender 2009'u kurduktan sonra Msn ve Yahoo Messenger yazılımlarına ufak plug-in ekleniyor ve her chat pencerenizin en altında Bitdefender logosu çıkıyor,bu logoya tıkladığınızda konuşmanızı encrypt etmeniz için gerekli ayarlar çıkıyor. Bunun dışında yeni eklenen File Vault ile belirlediğiniz dosyalar,klasörler ve kişisel bilgiler özel bir şekilde saklanıyor ve şifreleniyor.

Bunun dışında yeni eklenen bir özelliğimizde Laptop mode adında,hatırlayacağınız üzere Total Security 2008 ile birlikte game mode denilen bir özellik gelmişti ve bunun sayesinde siz oyun moduna geçip bir oyun oynarken Bitdefender çalışma şeklini değiştirip oyun performansınızı düşürmeden güvenliğinizi sağlıyordu. Hatta daha sonra bu özellik ayrı bir versiyon olarakta satışa çıktı. Bu versiyonda gelen Laptop mode bu özellik benzeri Laptop'ınızın performansını düşürmemek ve pil süresini uzatmak için bazı optimizasyon işlemleri yapıyor. Bu temel yenilikler dışında genel olarak gördüğüm 2008 versiyonundan daha performanslı olduğu ve genel olarak tüm güvenlik katmanlarında gelişmeler yapıldığı oldu. Bundan sonraki versiyonlarda neler olur şimdiden merakla beklemekteyim.

Fedora package imzalayan sunucular bir şekilde hacklenmiş. Bu şu anlama geliyor, sunucular üzerinde package imzalamak için kullanılan pass phrase'ler saldırganların eline gectiyse, kendi kötü niyetli paketlerini ya da bildiğiniz package'lerin üzerine güncelleme yapıp imzalabilir ve doğaya salabilirler, ve bir çok update yaptığını sanan kişi kurban olabilir.
Gerçi pass phrase'lerin sızmadığını söylemiş yetkililer, ama neyin ne olacağı belli olmaz. Bir kaç gün boyunca package yuklemeyip, update yapmamak mantıklı gözüküyor.

Aslnda beni asıl meraklandıran, böyle bir şeyin nasıl gerçekleştiği. Nitekim orta ölçekli bir firmanın sıkıcı excel dosyalarının ve sistem admininin mp3'lerinin barındığı bir sunucu değil bu, shared hosting ile çalıştırdığın web sitesi değil, Fedora Projesinin kritik sunucularından biri. Ne dersiniz, bir 0-day'la karşılaşmış olmayalım ..

Bu sunucu için nasıl bir güvenlik tasarımı mevcut bilmiyorum ama, kritik sunucular için en azından iki-üç katman konulmalı, defansınız kuvvetli olmalı, bir katmandaki yazılımda zafiyet bulunsa bile, diğer katmanı aşamamalı gelen dalgalar.

Redhat maillistindeki açıklama için tıklayın.

// UPDATE
Bazı x86 OpenSSH package'lerini saldırganlar imzalamış, eğer bu package'lere sahipseniz orjinalleri ile değiştirmeniz gerekli. Şu adresten yeni versiyonları çekebilir ve detayları okuyabilirsiniz

Bu zamana kadar hep aklımda, hayalimde Crossbeam tarzı bir güvenlik kutusu hazırlamak vardı ancak birçok ürünü VMWare sayesinde tek makinada birleştirmeme rağmen işin firewall kısmında network kartlarının kullanımından dolayı hep sorun yaşayıp bu isteğimi gerçekleştirememiştim. İşin açıkçası tercih ettiğim firewall her zaman Check Point'ti ve her yeni release'de acaba bu sefer olurmu diye uğraşıyordum,belirli evrelere geldikten sonra yine hep çakıyordu.

En son VPN-1 Power Vsx duyrulduktan sonra böyle birşeyi başaramayacağımı anladım. Ancak Check Point' in birkaç gün önce duyurduğu habere göre VPN-1 VE adlı bir ürün piyasada. WMWare sertifikalı bu ürün anlayacağınız gibi fiziksel bir sunucu üzerine kurulan bir virtual appliance.

Ürünün özellikleri tahmin edebileceğinizden farklı değil, bildiğimiz VPN-1 özelliklerini VMWare ortamında kullanmamızı sağlıyor, sanal makinamız üzerine kurulumu gerçekleştirip hem VMWare kurulumunu yaptığımız fiziksel sunucuyu hemde değişik segmentlerdeki networkümüzü koruyabiliyoruz.VPN-1 Power NGX R65,VPN-1 UTM NGX R65,VPN-1 UTM Power NGX R65,SmartCenter NGX R65,ClusterXL NGX R65 ürünleri ile iletişim sağlayabiliyor. Ürün daha yeni olduğu için bazı sıkıntıları olabileceğinden şüphem yok ama test ortamlarında denemeye başlasak iyi olacak.

Ürün hakkında daha detaylı bilgi almak için burayı tıklayınız..

Hepimizin bildiği üzere ASP.net 'te RequestValidation adıyla bir XSS koruma mekanizması mevcut. Ben bu tip default korumalara pek fazla ısınamadığım için, bu mekanizmadan da pek hazzetmiyorum.
Vakti zamaninda ASP.net 1.1 seviyelerindeyken eklenen bu mekanizma basit bir şekilde by-pass edilebiliyordu ki aynı anda bu zafiyeti keşfedenlerin sayısı hiç de az değildi (Birisi de Ferruh 'tur.)

Bu filter'in son hali de -yanlış anlamadıysam- by-pass edilebiliyormuş. Richard Brain abimiz, tüm aksiyonu dökümante etmiş. Şuradan ulaşabilirsiniz.

Neyse blogda WUG-SYH kapsamında tekrar bahsedeceğim zaten

Uzun bir aradan sonra tekrar Merhabalar! Bildiğiniz üzere askerlik görevimden dolayı H-Labs üzerinde pek aktif olmasamda, teknoloji takibim içten içte sürmekte ve ilerleyen süreçler içinde yeni planlarda bulunmaktayım ve sektörden çokta fazla kopmadığım için mutluluk duymaktayım. Kısa yazımın girişindeki bu anlamsız yazılardan sonra ufakta bir teşekkürü,siteye olan katkılarından dolayı Mesut'a borç bilirim.
Neyse lafı daha fazla uzatmadan başlıktaki habere yöneleyim,Astaro'nun güvenlik sektöründeki yerinden ve öneminden bahsetmeme artık gerek olduğunu sanmıyorum çünkü arşivi inceleyecek olursanız geçmişte Astaro ile ilgili birkaç giriş yapmıştım. Astaro Security Gateway ürünü bildiğiniz gibi tam anlamıyla kaliteli bir güvenlik çözümü fakat bu kaliteye sahip olmak için normalin üzerinde bir ücret ödemeniz gerekiyor.Bu yüksek fiyat politikası sonucunda piyasada birazcık kaybolan Astaro buna çözüm olarak Security Gateway ürününü parçalamakta buldu. Bildiğiniz üzere geçtiğimiz aylarda sadece web güvenliğine yönelik Astaro Web Security Gateway'i piyasaya sürdü ve şimdide mail güvenliği ile ilgili olan versiyonu Astaro Mail Security(AMG)'yi piyasaya sürdü. Bu iki ürününde fiyatları haliyle Security Gateway ürününe göre daha makul rakamlar olduğundan dolayı bu ürünlerin kabul görmesi çok daha çabuk olacağa benzer. Ürünü hakkında daha detaylı bilgi almak için tıklayın.

Web uygulaması güvenliğindeki problemlerin hepsi zayıf girdi denetimi sebebiyle oluşmaz. Bir çok zafiyetin sebebi "bussiness logic" de denilen, aslında mantıksal hatalardan kaynaklı zafiyetlerdir.

Peki Bunlar Nelerdir?
Benim en çok karşılaştıklarım uygulamanın tasarım problemi içerdiği ve dolayısıyla kimlik doğrulama problemleri içeren durumlar. Yani atıyorum e-mail servisi veren bir web uygulamasının sil.php?mID=324 parametresi ile 324. maili silme isteği gönderen kişinin gerçekten o mailin sahibi mi, yoksa başkası mı olduğunun kontrolünün yapılmadığı durum. Aslında çok basit bir şeymiş gibi görünse de bir çok web uygulamasında bu tip mantıksal problemler var.

Başka bir örnek ise yine e-posta servisimizdeki mail gönderme örneği olabilir. Diyelim ki mailinizi yazıyorsunuz, daha sonra yolla butonuna basınca şu şekilde bir HTTP isteği oluşuyor.
http://xxxx.com/mail/yolla.php?alici=hasan&yollayan=ahmet&mesaj=...

Burada muhtemelen yolla.php biraz daha modüler olsun diye alici ve yollayan parametresi dışarıdan alınıyor. Bu durumda sunucu tarafında gerekli kontroller yapılmıyorsa -her türlü HTTP isteğinin içindeki parametrelerin manipüle edilebileceğini ilk yazımızda gündeme getirmiştik- yollayan parametresi değiştirilip bir başka kişiden küfür dolu maili herhangi birisine yollayabilme durumunuz mevcut.

Peki Çözüm?
Bu durumda aslında sunucu tarafında doğru kontroller yapılabilir gibi duruyorsa da bence asıl yapılması gereken uygulama mantığını değiştirmek. Zira kullanıcı için, o ana özel şekilde değişmeyen her şey veritabanından alınmalı, gerekmiyorsa kullanıcıya sorulmamalıdır.
Netekim elimizde uygulamaya giriş yapmış kullanıcının cookie'si var, bu insanin kim olduğunu biliyorsak yolla.php sayfasına bu adamın adını yollamak pek mantıklı değildir. Bunun yerine yapılması gereken yolla.php içerisinde kullanıcının cookie'sine bakarak veritabanından ilgisi ismi çekmek olmalıdır. Bu arada unutmadan ekleyelim, cookie, sesion gibi bilgiler de manipüle edilebilir, ama bir kullanıcı diğerinin session bilgisini bilmesi doğal olarak mantıklı değildir, biliyorsa ortada session fixation gibi bir gariplik var demektir ve bu apayri bir zafiyettir.

Unutulmaması gereken bir şey vardır ki, kullanıcıdan alınan bilgiler her zaman web uygulaması güvenliği için ölümcül değere sahiptir. Kullanıcıdan alınan her türlü bilgi için iki defa düşünülmesi gerekmekte, gerekmiyorsa hem mantıksal anlamda bir hata yapmamak hem de çeşitli input oyunlarına gelmemek için, kullanıcıdan veri alınmamalıdır.

Bilgisayarla ilk ciddi işlerim Visual Basic ile basit TCP uygulamaları yazmak, SQL sunucu ile konuşturmak olmuştu, henüz ortaokuldayken.

Yıllar geçti, dünya değişti. VB syntax'ını unutalı yıllar oldu. Kendimi şu an itibariyle C/C++ dillerinde rahat hissediyorum lakin bir çok sebepten dolayı yazılım projelerimi implemente edeceğim diller bunlar olmayacak.

Web uygulaması güvenliği üzerine yazılım geliştireceğim için bana temel olarak gereken şey bir rahat rahat paket oluşturup, QueryString ya da Post parametresi ekleyebileceğim bir HTTP library.
Haricinde :

• Regular Expression desteği
  
• Dataları organize etmek için güzel veri yapıları
• Threading işlemlerinde kolaylık
  

Tabii ki aslında hemen her dil bunları sağlıyor, bizim olayımız en rahatını seçmek !

Aslında kafamdaki dil C/C++ syntax'ına yakınlığı sebebiyle C#, hem daha önce bu dille yazılım geliştirmişliğim mevcut, yani kendimi rahat hissediyorum bu dilde. Ayrıca .NET gibi bir platformdan faydalanacağım.  Lakin bu noktada kafamı kurcalayan sorun platform bağımsızlık olayı. Evet mono diye bir gariplik var, lakin ben doğru düzgün çalıştığına pek şahit olmadım. Zaten X platformunda çalışmayan Y yazılımını emüle etmek, uyarlamak gibi sunni işlerden pek hoşlanmıyorum, kurun VMware ile sanal makinenizi, oradan çalıştırın !

Hem platform bağımsızlık olayını aşmak, hem de hızlı şekilde yazılım geliştirebilmek için, geriye kalan alternatifler :

• Ruby on rails
• Python

İkisi hakkında da yüzeysel bilgim var, ama çevremden gördüğüm kadarıyla öğrenilmeleri çok fazla zaman almıyor.

Uzun lafın kısası bundan önceki hareketsiz yazılım hayatımı sonlandırıp; sonraki programlama hayatıma windows tarafında C#, diger tüm platformlar için Python ya da Ruby ile devam etmeyi planlıyorum. Ne dersiniz, hoş olmaz mı?

Şubat ayı gibi dosya upload'u yaparken, uzantı haricinde bir şey kontrol etmeyen bir web uygulamasına dek gelmiştim. XSS yapılabiliyor ve potansiyel LFI'da tehlikeli amaçlar doğrultusunda kullanılabiliyordu.O sırada bunun çözümü için ne önereceğim diye piyasa baktığımda bu iş için spesifik bir library bulamamıştım.

Oturup bir ya da iki akşamda ufak bir library ve döküman hazırladım, lakin bir türlü yayınlamak nasip olmadı. Kodu bilgisayarımdan bile silmişim farketmeden, daha önceden insanlara denesinler diye yolladığım maillerden çıkarttım.

Nitekim www.webguvenligi.org'dan kütüphaneyi ve dökümanı yayınladık.

Kütüphaneye ;
http://www.webguvenligi.org/?page_id=4
http://code.google.com/p/secureimage

Grafik Manipülasyonu ile ilgili atakların anlatıldığı belgeye ise :
http://www.webguvenligi.org/?page_id=5
http://docs.google.com/View?docid=d922dvw_11c89k6hg8

adreslerinden ulaşılabilir

Şu zamanlara kadar çok fazla farkında değildim, lakin durum şöyle ki güncel ve stabil şekilde çalışan, ya da adam gibi çalışan, open source bir web güvenliği tarayıcısı yok!
Web güvenliği tarayıcı derken klasik anlamdaki tarayıcılardan bahsediyorum, fuzzer vs aksiyonları dahil etmiyorum.
Hemen varolan ve şu an aklınıza geçen alternatiflerin üzerinden geçeyim :

• w3af: Web Application Attack and Audit Framework
  

Open source ve web uygulaması güvenliği diyince ilk akla gelen araçlardan biri olabilir, ama stabil olmaktan hala çok uzak . Haricinde discovery plug-inlerinin pek verimsiz çalışıyor, standart bir web crawler'in linkleri takip ederek dandik bir regular expression ile bulabileceği bir çok şeyi kaçırıyor.
Ama açıkçası diğer araçlarla da kıyaslanınca, eğer stabil bir release'ini görebilirsek ticari rakiplerine karşı açık kaynak en kuvvetli alternatif. Geliştirilmeye açık yapısı, modülerliği ve "Metasploit for Web Applications" havası ile oldukça seksi duruyor.

• wapiti :Web Application Security Auditor
  

İlk denemelerimde dehşet bir iyimserlik taşıyordum bu yazılım hakkında da ,ama hem saldırı yeteneği w3af kadar gelişmiş değil hem de zafiyetleri tanımlama yeteneği pek doyurucu değil. Yani çok standart durumlarda bir şeyler bulabilse de, genelde eliniz boş dönüyorsunuz.

• nikto2
  

Şurada kendisine sayıp sövmüşlüğüm bulunmaktadır, ama  üzülerek söylüyorum ki güvenilirliği ve stabilitesi itibariyle hala open source alternatifler arasında en kuvvetli duran araç bu. Yeni nesil web uygulamalarını denetlemede elbette zayıf kalıyor, fakat karşınızda 4-5 yıl öncesinin sistemleri duruyorsa oldukça etkili ! (çaresiz pen-testerin yakarışı)

• Grendel-Scan

Anladığım kadarıyla bu tool daha yeni release edilmiş, henüz yeterince test edemedim ama gözüme çok hantal gözüktü. 512 mb ramli centrino bir laptopta yarıda bıraktığı bir taramanın raporunu 1 saat içerisinde oluşturmasını beklersiniz, ama tıkanıp kalabiliyor.
Yetenekler itibariyle değerlendirecek olursak, help dosyalarından incelediğim kadarıyla Nikto + her türlü girdi manipülasyonu oyunu eklenmiş gibi. Uzun lafın kısası bende artık hafif bir önyargı oluştu bu konuda ve ondan dolayı bu araca da pek güvenemiyorum, bakalım eğer beni şaşırtırsa ilerleyen günlerde detaylı bir şey yazarım.

Ticari web uygulaması güvenliği tarayıcıları bu araçlara göre çok daha yetenekli ve başarılı. Ama gelin görün ki IP sınırlaması olmaksızın satın almak için ciddi miktarlarda para ödemek gerekiyor.

Bunlar haricinde, pen-testing hayatım Mozilla Firefox eklentileri, MITM saldırı proxy'm ve tabii ki fuzzerlar ile idame ediyor.

Yani otomatize zafiyet tarama mekanizmam şu şekilde gerçekleşiyor, genel attack pattern'ları bir dosyada tutuyorum ve  fuzzer'ıma injection noktaları ile bu pattern dosyasını veriyorum ve outputları kontrol ediyorum. Çok fazla manuel efor var gibi görünebilir, netekim orta büyüklükte bir web sitesini ticari bir araçla taramaya kalktığınız zaman yazılım sizin için minimum 10000 http request gerçekleştirip sonuçlarını analiz ederken elle bu kadar işlem yapacak vaktiniz yok. İster istemez kritik noktalarda bu işlemi yapıyorsunuz, haricinde yukarıda sayıp sövdüğüm tarayıcılar , MITM proxy ile  input manipülasyonu ve arada firefox eklentileri ile yaşamaya çalışıyorsunuz.