Feed Info - Ferruh Mavituna | Yazlar

OWASP T�rkiye tarafından d�zenlenmekte olan Uygulama G�venliği etkinliğinde biz de Netsparker ekibi olarak yerimizi alıyor olacağız.

Netsparker standına uğrayarak selam verip t-shirt'�n�z� almayı unutmayın…

Uygulama G�venliği G�n�, 2012 İstanbul konferansı, �lkemizde yazılım ve uygulama g�venliği ile ilgili pop�ler ve anahtar konuların aktarılacağı bir ortam sunmayı ama�lamaktadır. Y�zlerce yazılım geliştiricisi, iş sahibi ve bilgi g�venliği profesyonellerinin katılmasının hedeflendiği konferans 9 Haziran 2012, Cumartesi g�n� ger�ekleştirilecektir.

Uygulama G�venliği G�n�, 2012 İstanbul, Marmara �niversitesi Rekt�rl�ğ� Sultanahmet/İstanbul konferans salonunda ger�ekleştirilecektir.

Uygulama G�venliği G�n�, 2012 İstanbul etkinliğine kimler katılmalı?
- Yazılım geliştiriciler
- Yazılım mimarları
- Yazılım QA �alışanları
- İş sahipleri
- Bilişim y�neticileri
- Analistler
- Bilgi g�venliği y�neticileri ve �alışanları
- G�venlik denetmenleri

Konferans Programı

Etkinliğe katılım �cretsizdir ama kayıt olmanız gerekmektedir.

Bildiğiniz veya bilmediğiniz gibi son 3 senedir Netsparker yazılımının geliştirilmesi, d�nya pazarına a�ılması daha iyi olması vs. gibi işlerle uğraşıyorum. Teknik ekibin �oğunun T�rk olduğu bir yapı altında takım arkadaşlarıyla bir �ok şey �ğrendik.

Bu 3 sene i�erisinde �ğrendiklerimizden onlarca blog postu �ıkar ama o konuya başka bir zaman girelim.

Az zamanda b�y�k işler başardık, Allah’ın izniyle HP, IBM gibi firmalarla karşı karşıya olduğumuz bir sekt�rde bilinen bir isim olduk, y�zlerce mutlu m�şterimiz oldu, Netsparker Community Edition 100.000’den fazla download edildi! NASA, GE, DELL, EA Games, ING, Skype ve benzeri bir �ok d�nya firmasında yazılımımız aktif olarak kullanılmaya başladı. D�nyanın en b�y�k open source firmalarında g�venlik s�re�lerine girdi.

Şimdi daha fazla b�y�mek istiyoruz ve onun i�in T�rkiye’deki teknik ekibimizi genişletiyoruz.

5 sene �nce Hayalet �alışan diye bir yazı yazmıştım, kendi sekt�rde bir �ok yerde �alışmış biri olarak kendi �alışmak isteyeceğim bir firma oluşturmaya �alışıyorum hep. Bizimle �alışmanın bazı avantajları:

Evden �alışmak
O her zaman taşınmak istediğiniz balık�ı k�y�ne taşınabilirsiniz.

Esnek �alışma saatleri
Belli ortak saatler dışında istediğiniz saatlerde �alışabilirsiniz, bug�n keyfiniz yoksa �alışmak zorunda değilsiniz, keyfiniz gelince işinizi bitirebilirsiniz (Hafif ROWE tadında).

Paranın alabileceği en iyi donanım
Eğer bir şeye ihtiyacınız varsa s�ylemeniz yeterli. Bunun yanında i7 6 Core, 32GB RAM gibi test ama�lı kullanabileceğiniz harika sistemlerde elinizin altında. Gerektiğinde AWS Cloud gibi yapıları da kullanabiliyorsunuz.

Paranın alabileceği en iyi yazılımlar
Bir yazılıma ihtiyacınız varsa s�ylemeniz yeterli.

Diğer Ekstralar
Kitap, eğitim, konferans vs. eğer bir şey sizin kişisel gelişiminize veya işinize yardım olacaksa s�ylemeniz yeterli.

Size �zel
K���k bir ekipte her t�rl� �zel duruma, isteğe anlayış vardır. Mesela ge�en sene ekipten bir arkadaşımız t�m Ramazan ayında tatil aldı.

Esnek ve Yeniliğe A�ık
Ekibin her bireyi herhangi bir s�recin geliştirilmesine aktif m�dahale edebilir. Mesela daha �nceden 2 ay boyunca haftada 4 g�n �alışmayı denedik, �alışma saatlerini tamamen serbest bıraktık vs. �zetle esnek ve a�ık bir yapıya sahibiz, dogmatik fikirlerin olmadığı bir ortamda yaşıyoruz.

S�per Teknik Ekip
Web g�venliği konusunda d�nyada �alışabileceğiniz sayılı yerlerden biri burası ve bilgi paylaşımı konusunda tamamen a�ık bir ekibe sahibiz.

�r�n Firması
Sadece tek bir �r�n geliştiriyoruz ve başka hi� bir servisimiz yok. T�m d�nyada satılan, on binlerce aktif kullanıcısı olan bir �r�n�n par�ası olacaksınız, �zellikle danışmanlık firmalarından sıkılanlara bildirilir.

Gittiğiniz bir konferansta tanıştığınız insanların yazılımınızı kullanıyor olma ihtimali, stackoverflow’da bir soruya �zerinde �alıştığınız yazılımın cevap olarak yazılması ya da LinkedIn’de baktığınız bir kişinin CV’sinde deneyimli olduğu yazılımlar arasında �ıkma ihtimali de pop�ler bir �r�n geliştirmenin gizli avantajları arasında.

Transparan
İ�inde a�ık bir firmayız, hemen hemen t�m bilgilere �alışanlar ulaşabilir ya da sorabilir. Bug�n satış yaptık mı? Siteye ka� ziyaret�i geliyor? Demo kullanıcılarının ka�ı İstanbul’dan? Firma, �r�n ve s�re� konularında herkesin fikir hakkı olduğu gibi bilgilere ulaşma hakkı da var.

Full Time Q/A Testers
Evet, yazdığınız kodun doğru �alıştığını sizden başka test edecek kişiler de var ekibimizde!

Hala buradaysanız ve bu ilginizi �ekiyorsa aranılan pozisyonun detayları ve işe nasıl başvurabileceğiniz şurada:

• Senior .NET Developer
• Security Researcher

.NET geliştirici pozisyonuna birden fazla kişi alınacak ve hemen başvurabilirsiniz.

Blog yazmaya ara verdiğim en uzun s�re buydu sanırım. İşlere odaklanırken kafayı yememek i�in hayatımdaki bazı şeyleri listemden �ıkartmıştım, bunlardan biri de blog yazmaktı. Sizin haberiniz yok, blog yazmadığım s�rede �ok olay gelişti.

Son altı ayı Bahama Adaları’nda ge�irdim, başkent Nassau’daydım. Adanın kuytu k�şelerinden birinde klasik “Balık�ı Adasında Yaşama” teorisini test ettim. Hani şu kuytu adada tek başına yaşadığın, bir şey almanın gereksinim olmadığı, koşuşturmaca olmayan yerde yaşam s�rmek. Hani şu işinizi yaptıktan sonra g�neş ka�madan sahile inebileceğiniz ve pembe kum – turkuaz okyanusun tadını �ıkartma potansiyelini i�eren yerde olmak. Hani şu etrafınızda hi� bir şey olmayan yerde Facebook olmadan, minimum Twitter ile yaşamak.

Nassau klasik Karayipler. İklimi, yolları, aga�ları, insanları. İlk geldiğinizde kendinizi K�ba’da �ekilen bir filmde hissediyorsunuz, bah�enizden ananas yemek gibi s�rreal deneyimler yaşıyorsunuz.

Altı ay sessiz sakin Bahamalar’da yaşadım, d�nyanın en g�zel sahillerini g�rd�m, yeni bir k�lt�r tanıdım, conch salatası yiyip, Bob Marley dinledim. Cuma namazlarında Bahamalı m�sl�manlarla sohbet ettim, basket oynadım, komşuyla spearfishing’e gittim. Harika yeni arkadaşlar edindim, g�neş g�zl�ğ�n� favori aksesuarım yaptım, 5 ay sa�ımı kestirmedim, turist şapkamı takıp jet-ski’ye bindim. Adadan sıkılınca Las Vegas’a (Black Hat i�in) gittik, Florida’ya gittik. Hatta ve hatta Hurricane Irene’i de g�rd�m. Sağ �ıktığım doğal afet listesine kasırga’yı da ekledim, Allah başka g�stermesin.

Balık�ı K�y�nde Yaşam

İtiraf etmem gerekli ki Nassau bir balık�ı k�y� değil ama benim bulunduğum kısmı daha sakin tarafıydı, bir de bu durum benim yaşam stilim ile birleşince balık�ı k�y� hissiyatını aldım. İşin ironik kısmı şudur ki bu balık�ı k�y� fantazisi tamamen fantazi. Şehirde b�y�m�ş veya bir s�re yaşamış birinin hayattan basit beklentileri bile o kadar y�ksek ki maalesef g�zel bir sahil bu a�ığı kapatamıyor. Ben hep kendimi Beliz ya da Karayipler’deki tuhaf bir adada yaşadığımı hayal ederdim ama o sadece bir fantaziymiş, ger�ekte bu tip bir yerde altı aydan yaşamak herkesin harcı değil. O y�zden sizinde b�yle fantazileriniz varsa bir g�zden ge�irin. Veni, vidi...

NYC

İnşallah �arşamba g�n� New York’a gidiyoruz, sanırım İstanbul, Londra’dan sonra Nassau’yu denemek sa�ma bir fikirdi, bakalım Manhattan bu seriyi nasıl takip edecek.

Bahamalarda ge�irdiğim vakitte �ok şey �ğrendim, hayallerine ulaşmanın m�mk�n olduğunu ama hayallerini doğru se�menin gerektiği, insanın aslında ne istediğini �oğu zaman bilmemesi, Martı Jonathon olmanın kolay olmadığı.

İyisiyle, k�t�s�yle bir maceranın daha sonuna geldik, yeni maceralara yelken a�tık.

Beni mi Bağlar Ferruh?

Bağlamaz değerli okur sen de haklısın, bir g�n gelecek senin de ilgini �eken şeyler yazacağım. Bu s�re i�erisinde senin ilgini �ekecek şeyler de �ğrendim. İş hayatını �ğrendim, Predictably Irrational gibi acayip s�per kitaplar okudum, hatta inanmayacaksın ama SEO konusunda bile s�yleyeceklerim var. Belki bir g�n bunlar hakkında da yazacağım, belki bir g�n bu siteyi a�tığınıda, RSS g�ncellendiğinde benim geyiğe bağladığım bir yazıyı değil de aylardır g�rmek istediğin o teknik konuyu g�receksin, bir g�n o da olacak sevgili okur, bir g�n o da olacak...

Sanırım 30 yaşına merdiven dayamış olmak, 10 yıldır evli olmak gibi fakt�rler kendimde belli arayışları tamamlamama yardımcı oldu. “Yolun yarısına geldim hala belli temel şeyleri ��zemedim” dememek i�in son �� beş senede hayatınızı değiştirecek 62 �neriler gibi bir dizi kısa sonuca vardım.

Mutlu olmayı da bu s�re�te ��zd�m ve ��z�m�n aslında ne yapmakla değil ne yapmamakla alakalı olduğunu farkettim. Umursamamanın �� boyutu var, izolasyon, g�z ardı etmek, tevekk�l.

İzolasyon

Bu benim d�zenli olarak bahsettiğim konulardan biri, haber, spor, politika, pop�ler medya, g�ndem, trend vs. sizi mutlu eden hobilerinizden değilse bunlardan izole kalmak en verimlisi. Japonya’ya bir şekilde yardım etmiyorsanız ve yardım etme durumunuz yoksa oradaki depremi takip etmenin bir anlamı yok. Genel� k�lt�r �ağımızın en b�y�k yalanı. Olabildiğince izole olmak hayatı daha kolay hale getiriyor. Sosyal ağlarda bu kategoride ve maalesef ben hala onlardan tam kopamadım.

G�z ardı etmek

İzolasyonu hep biliyordum ama pratik şekilde uygulamaya son senelerde yoğunluk verdim, g�z ardı etmek ise �ok daha yeni keşfettiğim şeylerden. Uygulaması �ok basit, size gelen şeyleri g�z ardı ediyor ve hi� bir şey yapmıyorsunuz.

Mesela birisi size bir email g�nderiyor, email’ın sonu iyiye �ıkacak bir şey değilse herhangi bir cevap vermek yerine hi� cevap vermiyorsunuz, oradaki “Delete” butonunu boşuna konulmamış, bir amacı var. Mesela biri size salak bir soru soruyor, soruyu cevaplamıyor, g�z ardı ediyorsunuz. Daha da ısrar ediyor, direk o insanı g�z ardı ediyorsunuz. Telefonunuz �alıyor, cevap vermek istemiyorsunuz ve cevap vermiyorsunuz. Bu kadar basit. İnsanları, olayları, hatta �ok aktif i�inde bulunduğum durumları bile g�z ardı edebileceğimi keşfetmek �ok b�y�k bir şeydi benim i�in. G�z ardı ettiğiniz herşey i�in, hi� bir şey yapmıyorsunuz, hi� bir şey d�ş�nm�yorsunuz ve hi� bir efor harcamıyorsunuz.

Tevekk�l

Neyi kontrol edip, neyi kontrol edemeyeceğini bilmek. Yapabileceğinizi en iyi şekilde yapın, gerisi sizin elinizde değil. Kasmanın, tekrar tekrar aynı konular �zerinden ge�menin, her olasılığı irdelemenin hemen hemen hi� bir faydası yok. Bunu idrak etmek benim i�in �ok uzun s�rd�, hala beceremiyorum ama inşallah bir g�n bu konuda daha da iyi olacağım.

Bunları yaptığınızda hayatınızın ne kadar hızlı ve g�zel değişebileceğini d�ş�n�n… ve yapın.

IstSec ‘11 İstanbul Bilgi G�venliği Konferansı 3-4 Haziran’da İstanbul’da yapılacak. Bu sene maalesef ben katılamayacağım ama Netsparker ekibinden arkadaşla orada olacak inşallah.

Mekan: Bilgi �niversitesi Dolapdere Kamp�s�

Konferansın bu seneki ana teması “Yeni teknolojiler, yeni g�venlik riskleri” imiş.

Daha detaylı ve katılım bilgisine IstSec sitesinden ve LifeOverIP sitesinden ulaşabilirsiniz.

İnsanların yeni �r�nler i�in fikirler bulamıyor olması bana �ok ilgin� geliyor. Her g�n kullandığım yazılımlardan en az %50 si k�t�, yanlış ya da tamamen sa�ma, eğer bunlardan bir tanesini bile daha iyi yapabileceğinizi d�ş�nm�yor, eğer bu sorunların bir tanesini bile daha iyi ��zebileceğinizi d�ş�nm�yorsanız zaten ortada başka sorunlar var.

Biz firmada bir s�redir SalesForce m�şteriyiz, SalesForce o kadar iğren�, 90’lardan kalma bir yazılım ki SalesForce yerine Excel ile CRM yapmak bize daha mantıklı geliyor, nitekim biz de SalesForce’u bırakıyoruz. SalesForce sadece iğren� bir yazılım değil aynı zamanda “s�per-kapitalist” firma imajının altını doldurabilen firmalardan. Kendi �r�nlerinin k�t� olduğunu bildiklerinden SalesForce’a aylık �deme yapamıyorsunuz, yıllık anlaşma yapmak zorundasınız. Bunun nedeni bariz olarak bizim gibi bir �ok firmanın onların ne kadar k�t� olduğunu hemen anlaması ve hesaplarını 1-3 aydan sonra kapatıyor olmalarıdır.

Birine ben CRM yazıp satacağım deseniz muhtemelen size “Manyak mısın? Onlarca CRM yazılımı var piyasada.” der. Gel g�r ki 2009’da Bantam Live bunu yaptı ve iki sene i�erisinde başka bir firma tarafından satın alındı. O kadar bariz bir şekilde iyiydiler ki ben Kasım 2010’ da ben piyasadaki en iyi CRM yazılımlarından biri olacağınız yazmıştım. Gidip şu an SaaS CRM ��z�m� bulamaya �alışırsanız karşınıza 2-3� tane kabul edilebilir kalitede CRM �ıkıyor ve hepsinin CRM’e bakış a�ısı farklı. D�nyada ka� firmanın CRM’e ihtiyacı olduğunu d�ş�n�rseniz CRM yazılımı yazmamak ya da CRM ile ilgili ��z�mlerde �alışmamak direk sa�ma gibi.

Yeni bir şey bulmanıza gerek yok, yapılmamışı yapmanıza gerek yok, sadece daha iyi yapmanıza gerek var*

Ben her g�n kullandığım web siteleri, yazılımlara bakınca ağlamakla sinir krizi ge�irmek arasında gidip geliyorum. Kaliteli yazılımlar kullandık�a, kalitesizliğe toleransınız azalacak, toleransınız azaldık�a bunları kullanırken daha �ok acı �ekeceksiniz, bu acıları dindirdiğiniz an elinizde yeni bir �r�n var demek.

*Aslında bazen buna da gerek yok ama bambaşka bir blog konusu

Genelde arkadaşlar konferanslarda konuşma vs. konularında konuşurken benim �ok cesur olduğumu s�yl�yor. Aslında bunun cesaret ile pek alakası yok, olay tamamen alışmak.

Benim Hakkımda Bilmediğiniz ve Bilmek İstemeyeceğiniz 5 Şey de yazdığımı gibi alfabenin sadece 28 harfini kullanabilenlerdenim. Yaşınız 28 olunca “R“ leri s�yleyememek ciddi bir sorun olmuyor* ama yaşınız 13 iken “R” leri s�yleyemiyorsanız hayatınız o kadar kolay olmuyor, sınıfın karşısında konuşmayı sevmiyorsunuz, yeni insanlara isminizi yanınızdaki birinin s�ylemesi gerekiyor, insanlara k�frederken bile kurduğunuz c�mleler kulağa komik geliyor. Bu durumda topluluk karşısında konuşmaktan otomatik olarak korkuyorsunuz. Dolayısıyla benim i�in topluluk karşısında konuşmak ilk başlarda �ok zordu.

Bu ve benzeri aslında korkutucu olayların �zerinden gelmek i�in iki şeye ihtiya� var:

İlk Adımı Atmak

Genelde bir şeyi planlamak değil yapmak korkutucui bungee jumping yapmak i�in bilet alırken korkmuyorsunuz ama atlarken �d�n�z gereksiz şeylere karışabilir. Gel g�rki o bileti aldıysanız son dakikada caymanız �ok daha zor olacak. Dolayısıyla gidin o bileti alın, bir konferans’ta konuşmaya karar verin ve herşeyi planlayın, kendi işinizi kuracaksanız gemilerinizi yakın, istifa email’ini yazıp “Send” tuşuna basın.

Yapmak istediğiniz şeyden eminseniz yapmanın ne kadar zor olacağını d�ş�nmeyin ve sadece ilk adımı atın.

Olabilecek En K�t� Şey?**

Eğer gidip 1000 kişinin karşısında konuşmayı beceremezseniz olabilecek en k�t� şey nedir? Rezil olmak? Komik duruma d�şmek? Ger�ekten bunların bir �nemi var mı? Bu kadar basit bir ka� şey y�z�nden istediğiniz bir şeyi ya da uzun vadede işinize �ok yarayacak bir şey yapmayacak mısınız?

Bunu zaten 1-2 defa yaptığınızda korkularınızın yersiz ve sa�ma olduğunu tamamen anlıyor, olaya alışır hale geliyor ve o korkunuzu yenmiş oluyorsunuz.

JFDI.

�

* İngilizce konuşurken b�yle bir derdimin olmaması g�zel bir olay ama isim sorununu hala ��zemedim :)
** Bungee Jumping olayı i�in bu mantık ile d�ş�nmek pek yardımcı olmayabilir :) Malum olabilecek en k�t� şey 127 par�anızın olay yerinden toplanacak olması.

Diyelim ki bir fikriniz var, hayata ge�irdiniz ve şimdi de bunu ticari bir şekilde satmaya başladınız.

Buraya kadar herşey basit, web sitesi geliştirmek kolay, kod yazmak kolay, �r�n� piyasaya �ıkarmak kolay, bedava bir şeyler vermek te kolay ama size para �deyen m�şterilere sahip olmak zor. Ya da yeterli sayıda m�şteriye sahip olmak zor.

Startup ve Rakamlar

Firmanızda bilmeniz ve takip etmeniz gereken rakamlar;

Aylık Gider (burn rate)
Host masrafı, maaşlar, ofis giderleri, rutin ekstralar, reklam gideri, kullandığınız servisler, yıllık lisans �cretlerinin aylık ortalaması vs. �zetle her ay bankadan �ıkmasını beklediğiniz para.

Aylık Gelir
İşin başında bilmediğiniz (iş planlarının feci derecede sı�masının ana nedeni) ama her ay topladığınız data ile tahmin kalitesini y�kseltebileceğiniz bir rakam.

�rnek olarak son 6 ayda 100$’dan 120 �r�n sattıysanız aylık geliriniz (120/6)*100$=2000$’dır. 6 aydan daha �ok s�redir satış yapıyor olsanız bile son 6 ayı almak genelde daha sağlıklı sonu� verecek ��nk� tanınma oranınız genelde hızlı bir şekilde y�kseliyor olacak ve 1-2 sene �nceki rakamlar şu an gidişatı tam yansıtmayacaktır.

Beklenen B�y�me Oranı
Genelde satışlara baktığınızda bir ivme g�receksiniz, eğer yukarı doğru bariz bir trend yoksa zaten ciddi bir sorun var demek, eğer beklendiği gibi bir y�kseliş varsa iyi bir yoldasınız demek. Bu trend kendi başına �ok anlam ifade etmiyor olabilir �zellikle internet d�nyasının hızı ve iniş �ıkışları d�ş�n�l�nce dolayısıyla yeni bir yatırım yapacakken buna �ok bel bağlamayın, ger�ek data ile hesaplanmış Aylık Gelir �zerinden �alışın. Hayal kurarken buna istediğiniz kadar y�klenebilirsiniz :)

Satış T�neli

İnternet �zerinden �r�n� genelde 3 adımda satarsınız,

1. M�şteri siteye gelir

2. �cretsiz �ye olur

3. Para �der ve �cretli �ye Olur

Burada 1.000.000 tane 2. Adıma gelmiş m�şteriniz olabilir ama bu para kazanıyorsunuz anlamına gelmez (maalesef �ye olduklarından dolayı ama hi�bir zaman paralı �ye olmadıklarından dolayı para kaybetmenize bile neden olabilir. Reklam vs. gibi community �zerinden para kazanan firmalar hari�). �nemli olan m�şteriyi ger�ekten para kazandıracak adıma getirmek.

Aşağıda �rnek 1000 ziyaret�iden ka� kişiye satış yapabileceğinizi g�steren bir t�nel var. Buradan anlaşılması gereken şu sitenize gelen 1000 ziyaret�inin 33 tanesine satış yapabiliyorsunuz.

Eğer �r�n�n�z �ok ucuz değilse (<10$) hemen hemen her zaman bir 3 adımlı bir t�nel var demek. Ziyaret�i > (Deneme/Okuma/Başvruma/Ligth Version) > Satın Alma

Yukarıdaki grafikterki iki rakam �nemli,

�ye Conversion’ı ve Satın Alma Conversion’ı. �zetle �r�n fiyatınız 100$ ise bu �rnek conversion oranları ile 1000 ziyaret�iden 33*100=3300$ kazanacaksınız. Bunun anlamı sitenize 1000 ziyare�i �ekmek i�in 3300$ a kadar para harcayabileceğinizdir. Tabii ki burada kar oranını ve bir m�şterinin size hayat boyu getirisini hesaplamanız gerekli.

Mesela her �r�n sattığınızda AWS �zerinde yeni bir cloud sistemde kod �alıştırıp 10$ harcıyorsanız maksimum harcayabileceğiniz rakam (100-10)*33=2970$ olmalı. Ama aynı zamanda bir m�şterinin size hayat boyu kazandıracağı para (mesela aylık bir servis ise ya da ek servisler satma şansınız varsa) ortalama 250$ ise o zaman �r�n�n sadece ilk �yelik �cretini değil bu hayat boyu kazandıracağı �crete g�re hesap yapmanız lazım.

Bu �rnekteki ziyaret�iden satışa conversion oranınız ise şu şekilde: 0.12*0.28=%033

Bu oranların hepsini takip edip bulmanız gerekli, bunları verimli tahmin etmek genelde m�mk�n değil. Conversion oranlarını takip edebilmek i�in Adwords, Google Analytics, GetClicky gibi �r�nleri kullanabilirsiniz.

Satışı Arttırma

Birka� temel konuyu yazdıktan sonra esas olaya gelelim, elinizde rakamlar var, yukarıdaki oranları da buldunuz. Aylık ne harcadığınızı, ne kazandığınızı, b�y�me oranınızı, conversion oranlarını biliyorsunuz. Nasıl daha �ok satabilirsiniz?

Yukarıdaki t�nele bakarak şunu anlayabiliriz, t�nelde ya ilk adımın rakamını y�kselteceksiniz (yani daha �ok ziyaret�i �ekeceksiniz) ya da 2. veya 3. adımdaki conversion oranını y�kselteceksiniz.

T�nelin Ağzı, Daha Fazla Ziyaret�i

Otomatik olarak aklınıza şunlar gelecek:

• Adwords / Banner ve benzeri reklam y�ntemleri
• “�cretsiz” Inbound Marketing ( blog vs.) / Sosyal Medya

Bunlar kesinlikle �nemli ama unuttuğunuz bir şey var

• �R�N�N KENDİSİ

Adwords vb. CPC tabanlı reklam

Adwords, Banner reklam gibi klasik reklamcılık y�ntemlerinde ROI hesabı basit bir iş, tıklama başına 2$ �dediniz, 1000 tıklama satın alıp, 2000$ verdiniz, gelen tık sayısını ziyaret�iden satışa conversion oranınızla �arpın 1000*0.033=33 kişi satın alacak, bunu da m�şterinin hayat boyu kazandıracağı para ile �arpacaksınız.

2$ CPC den 2000$ lık internet reklamı yatırımında (33*100$)-2000$=1300$ kar ediyor olacaksınız. Dolayısıyla bir m�şteriyi bu conversion oranı olan bir reklam kanalından kazanabilmeniz i�in harcamanız gereken para:
(1/M�şteri Conversion Oranı)*CPC
(1/0.033)*2$ = 60$

Farklı reklam kanallarının conversion oranları ve CPC oranları değişebilir, dolayısıyla farklı kanalları deneyin ve ona g�re hangi kanal en iyi �alışıyorsa oraya daha �ok para yatırın. Bu farklı kanallar i�erisinde farklı reklam metinlerinin de conversion kalitesinin değişebileceğini unutmamak lazım, o y�zden Adwords’de de birden farklı reklam metnini deneyip hangisinin daha iyi conversion oranı sağladığını saptamak mantıklı bir hareket.

“�cretsiz” Inbound Marketing / Sosyal Medya

Herşeyden �nce “�cretsiz marketing” diye bir şey yok, bu sadece bir şehir efsanesi. Hen�z kimse “�cretsiz marketing“ ile tanışmadı, olduğu iddia ediliyor, hep bir arkadaşın bir arkadaşı �cretsiz marketing yapmış oluyor…

Teorik olarak sosyal medyada reklam yapmak, blog yazmak, SEO ile ziyaret�iyi �oğaltmak �cretsiz gibi g�z�kse de �cretsiz değil. �creti sizin değerli vaktiniz ve vakit bir internet startup’ının en az elinde olan şeylerden bir tanesi hatta ilk aylarınızı geride bırakmışsanız muhtemelen vakitten �ok paranız var demek.

Dolayısıyla SEO, sosyal medya, blog vs. vs. gibi reklam kanallarını kullanırken elinizdeki limitli vakti başka işler yerine bunlara yatırdığınızı bilin, bunun sonucunda �r�n� daha az geliştirebildiğinizi, m�şteri desteğini geciktirdiğinizi, dok�mantasyondaki sorunları d�zeltmediğinizin bilincinde olun. Eğer değer hesabı olarak bu kanallardan reklam yapmak mantıklı ise o zaman yapın. Ama sakın o hayatının 18 saatini twitter’da her haltı twitleme ile ge�iren ve “Do�ent Sosyal Medya Uzmanı” �nvanını kendine yapıştıran arkadaşın “�cretsiz” reklam hikayelerine inanmayın.

T�nelin Devamı, Giriş Adımı

Bu t�neldeki ikinci adım, bir nevi m�şteriye kanca attığınız adım. �r�n�n demosunu download etmek olabilir ya da �cretsiz �yelik olabilir. Bu adım genelde �yle bir adımdır ki m�şterilerinizin %95’i bu adımdan ge�er.

Ka�ınız hi� kullanmadan Photoshop lisansı satın aldınız? Ya da ka� kişi daha hi� LinkedIn’e �ye olmadan LinkedIn PRO satın alır? Sıfır.

Ziyaret�iden bu adıma ge�erken ki conversion oranını y�kseltmek i�in yapılması gereken şey �r�nden �r�ne ve siteden siteye �ok farklı. Muhtemelen yapılabilecek en iyi şey yapabildiğiniz kadar A/B Splitting yapmak ve ger�ek m�şterileri izlemek, rakamlar y�kselene kadar bu d�ng�y� devam ettirmek.

T�nelin Sonu

İkinci adımdaki �r�n�n�z� denemeye karar veren kişileri ger�ekten para �deyen m�şterilere �evireceğiniz bu ���nc� adımdaki en �nemli fakt�r kesinlikle �r�n�n kendisi.

Eğer �r�n ger�ekten dandikse buraya kadar zar zor getirdiğiniz potansiyel m�şterilerin bir �oğu deneme s�resinden sonra �ekip gidecek. Eğer buradaki oran d�ş�kse �r�n�n kalitesi ve buraya kadar gelen m�şterilerde oluşturduğunuz beklentiler �zerine ciddi şekilde d�ş�nmeye başlamalısınız.

�r�n

Satışı arttırmak i�in t�neldeki �� adımdan birini arttırmanız gerekiyor, burada en mantıklı adım �r�n adımı yani �r�n�n kensini geliştirme. �r�n� geliştirmek sadece “yeni �zellikle eklemek“ demek değil hatta bazen �zellik �ıkarmak anlamına geliyor.

�r�n� geliştirmenin bariz ikinci adımdan ���nc� adıma ge�erken ki faydaları harici birinci adıma yani daha fazla ziyaret�i �ekme adımına da ciddi bir katkıları var.

�r�n�n g�zel olması insanların birbirlerine tavsiye etmesi anlamına geliyor, bu da daha �ok ziyaret�i anlamına geliyor hem de bunların conversion kalitesi daha y�ksek ziyaret�iler olması m�mk�n, bunun anlamı �r�n�n kalitesinin t�m t�nel adımlarını etkiliyor olması.

Bununla da yetinmeyip �r�n kalitesi sosyal medya, blog gibi ortamlarda otomatik reklama neden olacak. �r�n�n�z� �ok seven kullanıcılar twitter,linkedin gibi yerlerde �r�n� tavsiye edecekler hem de bu kanallar sizin firmanız tarafından oluşturulmadığından etkisi daha �ok olacak. Her �r�n�n buradan alacağı nasip farklı, B2B uygulamaları bu işten daha az verim alacakken B2C uygulamaları her zaman “viral” olma ihtimalini taşıyor olacak.

Son bir rakam

Son olarak birka� diğer takip edilmesi faydalı rakam,

�l�m G�n�
En �nemli rakamlardan biridir,
Ka� Yaşayacağınız = Bankadaki Nakit Para / (Aylık Gider - Aylık Gelir)

Mesela bankada 10000$ varsa ve ayda 2000$ gelir, 3500$ gider varsa, 10000/(3500-2000)=6.6 ay sonra paranız bitecek demek. Bu rakam eksi ise, Oooo Happy Day….

Daha �ncelerden siteden yazmadığım bir konuda konuşma hakkımı kullanarak yazmak istedim, bu bahane ile aylar sonra bir blog yazmış oldum.

AnkaSEC 2010’dan haberi olmayan arkadaşlara duyurmak ama�lı:

T�rkiye'de eksikliği hissedilen �r�n/teknoloji bağımsız g�venlik� anlayışına katkı amacıyla her yıl Bilgi G�venliği AKADEMİSİ tarafından Aralık ayında ger�ekleştirilen� Ankara'ya �zel Bilgi G�venliği Konferansı AnkaSEC bu yıl 23 Aralık'da Tubitak'ın ev sahipliğinde yapılacak.

T�rkiye'nin her k�şesinden konusunda s�z sahibi bilgi g�venliği uzmanları ve BT meraklılarını buluşturacak olan AnkaSEC '10 bu yıl "G�venlik l�ks değil, gereksinimdir" ana temasıyla ger�ekleştirilecek.

Konferans Programı:
Konferans boyunca sanallaştırma g�venliği, bulut bilişim g�venliği, siber istihbarat toplama y�ntemleri, adli bilişim analizi , mobil telefon g�venliği, yeni nesil tehditler ve ��z�m �nerileri, ve yeni nesil hacking y�ntemleri gibi konular yer alacaktır.

Konferans programı http://www.ankasec.org/?page_id=24 adresinden edinilebilir.

Etkinlik Sponsorlarımız:
AnkaSEC '10 Bilgi G�venliği Konferansı HP, Verisign, Microsoft, EnderSYS, Labris, Kaspersky,� ADEO , Teknoloji Bilgilendirme Platformu ve Bilgi G�venliği AKADEMİSİ sponsorluğunda ger�ekleştirilmektedir.
Katılım & Kayıt:
Konferansa katılım �cretsiz olup kayıt yaptırılması gerekmektedir. http://www.ankasec.org/regform.html adresinden kayıt işlemi tamamlanabilir.

İletişim:
Konferansla ilgili t�m geribildirimler i�in web sayfamızdaki iletişim formunu kullanabilirsiniz.

Katılımcılara konferans katılım belgesi dağıtılacaktır.

Ulaşım:
T�BİTAK Başkanlık Binası
Feza G�rsey Salonu
Tunus Cad. No:80
Kavaklıdere / Ankara

AnkaSEC D�zenleme Kurulu
http://www.ankasec.org

Ek olarak Netsparker takımından Onur Yılmaz’da orada olacak ve 2 tane de Netsparker Professional hediye edeceğiz.

Son 6 ay s�resince �ok fazla kitabı yarım-yarım okudum, ge�en g�n gaza gelip kendime bir de Kindle edindim, �yle olunca Kidnle’ın tadını daha �ok �ıkarabilmek i�in elimdeki yarım kitapları bir an �nce bitirmeye �alışıyorum.

Şu an yarısında kaldığım 3 kitap var:

• Drive: The Surprising Truth About What Motivates Us
• The Undercover Economist
• Coders at Work: Reflections on the Craft of Programming

Drive zevkli bir kitap zaten bitirmeme az kaldı, �zellikle psikoloji ile ilgileniyorsanız gayet keyifli gelebilir. Coders at Work, Founders at Work’�n aksine dandik bir kitap �ıktı (sanırım bunun nedeni programcıların genelde girişimcilerden daha sıkıcı insanlar olması). Hen�z �ok okumadım ��nk� okuduğum kadarının geneli �ok sıkıcıydı. Gene de bir defa daha zorlayacağım. The Undercover Economist bayağı ilgin� bir kitap, �zellikle benim gibi ekonomi temeli sıfır olan biri i�in gayet faydalı da. Onun da sonlarına gelmiş durumdayım zaten.

Yakın d�nemde de şunları okuyup bitirmiştim:

• The Culture Code
• ReWork
• Start Small Stay Small
• Inbound Marketing
• 97 Things Every Programmer Should Know - Hızlı
• Software Project Survival Guide – Hızlı

Ek olarak başlamaya hazır kitaplıkta bekleyen bir sonraki okuyacaklarım;

• Predictably Irrational
• The Paradox of Choice: Why More Is Less

d�n de şu kitabın ilk b�l�m�n� okudum

• Eat that frog!

Gayet hoşuma gitti, onu da okuma listeme aldım. Okunacak listemdeki son kitap ise, 50 Great Myths of Popular Psychology.

Bu arada not d�şmem lazım Kindle kitap dağıtım modeli ve Electronic Paper dikesinlike kitap sekt�r�n�n geleceğini şekillendiriyor. Sanırım bir noktada iPad / Electronic Ink Display arası g�zel cihazlar kullanıyor olacağız.

EpicWin iPhone i�in geliştirilmiş zekice bir todo list uygulaması. Yapılacak listenizi oluşturuyor sonra da yaparak puan kazanıyorsunuz, arka planda da RPG havasında bir hikaye devam ediyor.

Todo List olayının ne kadar �nemli olduğunu biliyoruz, aynı zamanda bir şeyleri tamamlamanın ve bunun karşılığında hızlı şekilde sanal dahi olsa bir başarı hissi almanın bağımlılık edici olduğuna da biliyoruz (bakınız XBOX Achievements, FourSquare vs.), a�ık bir şekilde blog gibi yerlerde bir şeyi yapacağınızı ilan etmenin o işin tamamlanmasına pozitif etkisi olduğunu da biliyoruz. B�t�n bunları birleştiren basit bir uygulama olsa mesela ne g�zel olurdu.

K���k bir web sitesi, insanlar yapılacak listesiniz yazacak, daha sonra bunları tamamladık�a hem EpicWin / FourSquare / Stackoverflow tadında bir puan toplama olacak hem de bu t�m yapılacak listesi g�ncellemeleri de Facebook/Twitter/Blog Widget’ları gibi yollar ile a�ık şekilde g�z�kebilecek ve takip edilebilecek.

�zetle EpicWin’i web’e koyup, �zerine sosyal ağ etkisini yapıştırmak lazım. Bundan sonrası zaten zekice gelişebilir, mesela basit keyword analizler ile en pop�ler listeler ortaya �ıkabilir ya da �nl� bir ka� celebrity/web celeb’in listelerini featured todo list’ten insanlar izleyebilir. Hatta sistem open source yazılımların road map’lerinin takibi i�in bile kullanılabilir.

Son zamanlarda ciddi sayıda k�t� film izledim ama The Social Network kesinlikle herkesin dediği gibi s�per bir film. Şiddetle tavsiye edilir,her g�zel hikaye gibi ger�ek ile kurgu i� i�e ama kesinlikle izlenesi.

Sadece film'e dayanarak Mark hakkında hem iyi hem de k�t� duygular oluşuyor i�inizde

Sosyal medyanın gelişmesi ile insanlar herşeyi paylaşır oldu, ne yaptıkları (twitter), ne g�rd�kleri (flickr,youtube), ne okudukları (librarything), ne yedikleri (mekanist), nerede oldukları (four square) ve kimle birlikte oldukları (facebook)…

Bazılarına bu tuhaf, sa�ma, hatta aptalca gelebilir ama aslında bu benim seneler �nce ilk blog yazmaya başladığımda aklımdaki şeydi. İlk sitemi yayınladığımda (~11 sene �nce) ve daha sonraları blog yazmaya başladığımda (~8 sene �nce) benim de aklımda hep bu vardı, o zaman �ok �topikti şimdi ise ger�ek. İnsan belli şeyleri paylaşmanın tadına varınca daha fazlasını istiyor.

Psikolojik olarak durumun a�ıklamasını yapacak bir bilgim yok ama muhtemelen bunlar bilinme arzusu ve kendini ifade etme arzusunun sonu�ları. Belki g�zden ka�ırdığımız şey 10 kişi bunu yaparken iyiydi ama 10 milyon kişi bunu yapınca o kadar anlam ifade etmiyor fakt�r�d�r. Bu da otomatik olarak sosyal medyayı 3 b�l�me ayırdı. Geyik yapan arkadaşlar ve onları takip eden diğer geyik yapmak isteyen sanal ya da ger�ek d�nyadan arkadaşları. Sosyal medyayı diğer benzer profesyoneller ile birlikte iletişimde kalmak, kariyer, bilgi vs. konusunda yukarıda olmak isteyenler, bir de son olarak sosyal medyayı tamamen inbound marketing amacı ile kullananlar. Bir de not d�şmek lazım pek aktif olarak katılmayan ama sadece kendine başarılı bir fig�r olarak g�rd�ğ� ya da tarzını, bilgisini beğendiği insanları takip eden bir grup var ki bunu da kariyer / bilgi grubunun i�erisine sokabiliriz. Inbound tayfası ile kariyer tayfası birbirine �ok yakın ve hatta bazen i� i�e olduğundan onları kategorilere ayırırken dikkatli olmak lazım.

Benim yıllar �nce aklımda olan şey �ok dağılmış bir şekilde oluştu, benim kafamda ki şu şekildeydi:

• Blog’a widgetlar eklenir
• Tray de �alışan bir uygulama şu şeylerin paylaşımını �ok kolay hale getirir
• Okuduğun kitap ve şu anki durumu, Bu ebooklar vs. i�in otomatik – Library Thing, Good Reads
• Dinlediğin M�zik, otomatik Media Player’dan alınır – Last.fm
• İzlediğin Film, Dizi ve puanın, gene m�mk�nse otomatik media player’dan alınır – ??? Get Glue?
• Giydiğin Kıyafet (marka vs. olarak) – ?…
• Oynadığın Oyun – Steam
• Kısa olarak şu an ne halt yediğin – Twitter
• Aktif olarak kullanılan program ve ne kadar vakit harcandığı – Wakoopa
• Girdiğin ve paylaşmak istediğin siteler – Delicious
• Bu tray uygulamasının otomatik keşfettiği herşey ve elle girilen herşey otomatik sitede g�z�kecekti

Nerede bulunduğunu yayınlama gibi şeyler o zaman hi� aklıma gelmemişti, sonu�ta internet kullanıcılarının her zaman bilgisayar başında olacağını varsaymıştım.

Bu tray uygulamanın adı “Life” olacaktı. Şimdi bakıyorum da aslında bunların, hepsi ve �ok daha fazlası efektik olarak yapıldı (tek bir par�a olarak değil ama). A�ık�ası ben kullanmıyorum, iki nedeni var nedense eskisi kadar bir şeyleri paylaşma isteği kalmadı, ikincisi bu sistemlerin hepsi �ok dağınık ve pratik değiller. Eğer pratik olsalar bir istatistik manyağı olarak gittiğim her yeri, attığım adım sayısını, hasta olduğum g�nleri, her g�n giydiğim kıyafetleri, bastığım tuş sayısını, yazdığım kelime sayısını, emailda harcadığım s�reyi, bulunduğum şehirleri, dinlediğim m�zikleri, izlediğim filmleri, izlediğim dizileri, g�rd�ğ�m siteleri, tanıştığım insanları vs. vs. hepsini kayıt altına alırdım. Ondan sonra hasta olduğum g�nlerde ki hava durumu ile giydiğim kıyafet dataları karşılaştırıp boğazlı kazağın bana yaramadığını anlayabilirdim, izlediğim ve puanladığım 500 filmi başka insanlar ve film dataları ile karşılaştırıp bir sonraki izleyeceğim filmin dandik olmamasını sağlayabilirdim, dinlediğim m�zikler sayesinde Sibirya’daki k���k bir grubu m�zik grubunu bulabilirdim…

Bir g�n oraya gelecek miyiz, yoksa d�zenli şekilde 20 farklı servisi ayrı ayrı kullanmak zorunda kalacak mıyız emin değilim. Bir g�n birileri inanılmaz bir XML formatı, bir protokol ile bu datanın efektif paylaşılmasına farklı yerlerde farklı cihazlarla iki y�nl� iletişim yapmayı ve bu datayı işlemeyi m�mk�n kılabilecek mi, emin değilim, ama emin olduğum tek şey var oraya doğru gitmemizin gerekli olduğu. D�nyada bu kadar data oluşturulurken hemen hemen hi� birinin �zellikle bireyler a�ısından kollektif anlam ifade etmemesi acı bir durum, bu kadar data verimli işlendiğinden, b�y�yen trendleri hatta ekonomik krizleri bile tahmin etmek �ok kolay olabilirdi, belki de Google’un geleceği tahmin edebileceğini iddia etmesi bu datayı efektif olarak korrele edebileceğine inanmasıdır.

23 Aralık’ta tahmin ettiğiniz gibi Ankara’da AnkaSec’in 2. d�zenlenecek. Maalesef ben orada olamayacağım ama oralardaysanız gitmeyi ihmal etmeyin derim.

Bir s�redir yaz(a)mıyorum, Ramazan ayı vesilesiyle hala hayatta olduğumu hatırlatayım dedim…

Bu yazıya da biraz anlam katmak i�in sizi Sorularla İslamiyet sitesinin Ramazan Sayfaları’na g�nderiyorum.

21 Haziran’da İstanbul’da Gen� Girişimciler Kul�b�’nde�IT Sekt�r�nde Kişisel Gelişim ve Kariyer isimli bir konuşma yapacağım. A�ık�ası bug�ne kadar yaptığım g�venlikle alakalı olmayan ilk konuşma olacak.

Etkinlik �cretsiz, siteden kayıt olmanız yeterli.

25 Haziran’da Ankarada 5. Kamu Kurumları Bilgi Teknolojileri G�venlik Konferansında konuşuyor olacağım, genelde demo ağırlıklı bir şekilde web uygulamalarındaki g�venlik a�ıklarından bahsedeceğim.

Konferansa katılım �cretsiz ama sitesinde belirtildiği şekilde kayıt olmanız gerekli.

Bir s�redir yazamıyorum bu da yazamadığım vakitlere denk geldi. Hakin9 benimle bir r�portaj yaptı, ek olarak Hakin9 artık �cretsiz olarak internet yayınlanmaya başladı, şuradan download edilip okunabilir.

Maalesef geliştiriciler olarak “kabul edilemez” listemiz gereğinden �ok daha fazla ve esas ger�eği d�zenli şekilde unutuyoruz. “�r�n ��zmek i�in geldiği sorunu en iyi şekilde ��z�yor mu? Size diğer t�m eksik ve hataları g�z ardı etmenizi sağlayacak birşeyler sunabiliyor mu?”

Bakalım neler yapmadan da bir yazılım yapabiliyormuşuz ve başarılı olabiliyormuş, benden iki �rnek:

• Google Chrome
• Otomatik update ekranı yok, (hakkında sayfasında �ok basit bir g�stergesi var)
• Proxy desteği yok (sadece SYSTEM proxy’ sini kullanıyor)
• Normalde ihtiyacınız olabileceği ama olmadan da yaşayabileceğiniz bir milyon �zellik yok (Firefox / IE ayarları ile Chrome’ un ayarları arasında 10 kat kadar fark var)
  
• Hacker News
• Şifrenizi unutursanız hatırlatma desteği yok,
• Arama yok
• Kategori, tag vs. yok

Bu tip �zellikler ileride gerekebilir ama v1.0 de ger�ekten o �zelliğe ihtiyacınız var mı? Şimdi kesinlikle olması gerekenler listenize tekrar bakın ve yarısını silip aslında abarttığınızı itiraf edin.

Unutmadan insanların bir �zelliği istemesi o �zellik olmayınca yazılımı kullanmayacağı anlamına gelmiyor.

Sizin bildiğiniz bu şekilde başarılı ama �ok bariz �zellikleri olmayan �r�nler var mı?

I wrote this article about 2 years ago in Turkish. Recently Whitehat released a quite nice paper about vulnerability counts per programming language/framework. That report kind of backs up this article however many took and advertised it wrongly as it sounded like “choice of framework has virtually no effect on security”. So I decided to write it in English again.

One of the oldest clich�s in web application security is:

"Choice of framework doesn't matter"

I say bullshit!

Good Developers Always Develop Secure Applications

Yes, one can write a secure web application using brainfuck in 1 year and after 250 iterations. She can start by "implementing her own session handling and make it secure". That sounds funny, right? But when I say "All you need to do is implement your own CSRF protection", it doesn't sound funny because that's what everyone is keep doing. However to me it's still wrong, just like a secure session implementation a secure CSRF protection implementation should be one of the responsibilities of the framework not the developer.

Security of the Language, Security of the Framework

There is no perfect framework, vulnerabilities identified in all frameworks just like vulnerabilities identified in all applications. However just like some applications security track of some frameworks are much better. ASP.NET Request Validation Bypass, PHP Zend_Hash_Del_Key_or_index overwrite issues, Struts Validation Bypass are good examples of these vulnerabilities.

PHP is a perfect example of this. PHP itself has so many vulnerabilities (such as Zend_Hash_Del_Key_Or_Index Vulnerability, month of PHP bugs and others) even when the developer codes everything securely it still can be vulnerable. I don't even mention the terrible design issues such as GLOBALS Overwrite problems, magic quotes, providing not one but several different functions to do the very same job.

If you set a directory as protected and if your framework can't protect you because the attacker used a different HTTP Method then that's not the developer's fault, it's framework's fault.

That's why framework matters, even when you build the most solid application when your framework is weak, there is a higher possibility of getting owned.

Can framework handle unicode characters correctly? Do functions unexpectedly effected by null bytes? Does it spill out all the details when you send one character in the cookie?

All of these are problems of the framework. If you are wise enough you should choose a framework with a good track of security.

Framework Specific Issues

You won't see much RFI (Remote File Inclusion) in ASP applications because there is no easy way to introduce such vulnerability in ASP. You can't see code execution problem ( such as eval() ) in ASP.NET applications because there is no easy way to do it however in Classical ASP you have this problem. Heck, in PHP application even preg_replace can evaluate code with /e modifier. And yes that happens in real world application, PHPBB was vulnerable to this.

Framework specific problems matter.

Secure by Default - Design of the Framework

Some part of some frameworks designed in a "secure by default" way. For example it's quite rare to see HTTP Header Injection (CRLF/HTTP Response Splitting) problems in ASP.NET because by default all related .NET functions will not accept new lines. Therefore as a developer you should push your limits to introduce this vulnerability, yet if you are stupid enough you'll succeed. Developer's stupidity is something that a framework can't fix. Sorry about that.

Stupid features of a framework can hurt as well. For example Magic Quotes in PHP. Loads of application burned by that, it's such a mess. It shouldn't have been there in the first place that's why finally they decided to deprecate it.

Inbuilt Security Features

I think everyone knows that rolling your own crypto is idiotic but somehow it's OK for people roll their own CSRF protection, SQL Injection filter, XSS protection library etc. Yet all penetration testers observe that these developers keep failing miserably. That's why projects like ESAPI should be employed by more developers.

When it comes to frameworks some of the questions we need to ask;

• Does it support parameterized SQL Queries?
• Does it provide a way to separate data and the HTML and carry out the required encoding based on the output location?
• Does it provide a secure session implementation?
• Does it provide a secure authentication mechanism?
• Does it provide a secure way to execute OS commands? (separating parameters and the executable to avoid injections just like parameterized SQL Queries)
• Does it provide secure storage options? Path normalization functions?
• Does it provide a way to avoid email header injections?
• Is there any function which can protect against new line injections to write safe logs without worrying about new lines?
• Is there any inbuilt feature to apply whitelisting on inputs?

I can go on but you got the point. Unfortunately there is no framework which does all but some frameworks are clearly better.

Take a look at Secure Web Application Framework Manifesto for many other ideas and see what frameworks should bring to the table in means of security by default and as inbuilt security features.

Also ASP.NET's built-in membership feature is also is the right direction and more frameworks should do the same.

Documentation, Culture, Sample Code etc.

Documentation and culture around a framework also quite important. Take a look at Tomcat JSP examples and IIS 6 ASP examples. All of them have several serious vulnerabilities out of the box. Like it's not enough to write vulnerable applications as samples they even deployed them by default so your environment can be vulnerable by default!

For example many examples in .NET documentation uses parameterized SQL Queries which is very good thing although .NET documentation got so many other flaws and terrible code snippets in many places. Generally most of the vendors are terrible about documentation and providing secure code snippets. Some of these sample codes stripped from security checks as they stripped from error checks to increase clarity in the example. I still not a good enough excuse.

Finally when it comes to the culture there are some factors such as what are the best practices among developers. For example you can see more OS Command Injections in Perl applications than potentially any other framework because that's how Perl guys roll. Pass it to an OS command, parse the output and spill it out to the screen. This is a quite rare practice in many other frameworks*.

Required Time, Effort and Knowledge for a Secure Application

All of these discussed factors affect the required time, effort and required security knowledge to develop a secure application.

If framework provides built-in security for CSRF with one line of code than it decreases the complexity of the application, required development and testing time. Finally developers don't need to be a security expert to implement such a check.

Do you really think a junior developer would know that it's possible to do CSRF against a web service. Believe me they don't. Also they don't know that you can do XSS in CSS, they don't know if content-type is "plain/text" XSS is still possible in IE, they don't know that they need to mark cookies as secure, they don't know you can bypass many *clever* XSS protections by using XSS Tunnel or BeeF, they know jack-shit about security especially when it comes to corner cases.

They don't know and they will never know many of these and I don't expect them to know** , that's why framework should care of this stuff and that's why framework matters.

Framework Matters

Now please don't tell me that framework doesn't matter because it bloody does. However the problem is; there is no perfect framework and there won't be anytime soon although it's getting there. Right now you can still choose a better framework instead of choosing arbitrarily by claiming that all of them are same anyway.

My examples were mostly about PHP, ASP and ASP.NET because those are the frameworks that I'm pretty familiar with. You can think of many other frameworks such as Ruby on Rails, Struts or CppCMS and observe similar benefits or framework specific problems.

* Although I need to note that due to many other configuration requirements that task might not be that easy in some frameworks hence not that popular. For example .NET might require several permissions to properly run an executable from an ASP.NET script.

** OK, they need to know about "Secure Cookies" but funny enough many of them still don't. So why not mark all cookies set over SSL as secure and when their code doesn't work they can fix(!) it, at least this way it'll be secure by default and maybe developer will ask herself "What the hell is a secure cookie? and why would I need it?"