Herhangi bir web sitesini a\u00e7t\u0131\u011f\u0131n\u0131zda, muhtemelen ilk g\u00f6rece\u011finiz \u015fey \u00e7erezlerin kullan\u0131m\u0131yla ilgili bir a\u00e7\u0131l\u0131r pencere bildirimidir. Genellikle t\u00fcm \u00e7erezleri kabul etme, yaln\u0131zca gerekli olanlar\u0131 kabul etme veya hepsini reddetme se\u00e7enekleri sunulur. Se\u00e7iminiz ne olursa olsun, muhtemelen bir fark g\u00f6rmeyeceksinizdir ve bildirim yine de ekrandan kaybolacakt\u0131r.<\/p>\n
Bug\u00fcn; \u00e7erezlerin amac\u0131, mevcut \u00e7erez t\u00fcrleri, sald\u0131rganlar\u0131n \u00e7erezleri nas\u0131l ele ge\u00e7irebilece\u011fi, riskler ve nas\u0131l g\u00fcvende kal\u0131nabilece\u011fi konu ba\u015fl\u0131klar\u0131yla, \u00e7erez kavanozunun i\u00e7ine biraz daha derinlemesine dalaca\u011f\u0131z.<\/p>\n
Bir web sitesini ziyaret etti\u011finizde, bu site, taray\u0131c\u0131n\u0131za bir \u00e7erez g\u00f6nderir. Bu; sizinle, sisteminizle ve sitede ger\u00e7ekle\u015ftirdi\u011finiz eylemlerle ilgili verileri i\u00e7eren k\u00fc\u00e7\u00fck bir metin dosyas\u0131d\u0131r. Taray\u0131c\u0131n\u0131z bu verileri cihaz\u0131n\u0131zda depolar ve o siteye her geri d\u00f6nd\u00fc\u011f\u00fcn\u00fczde sunucuya geri g\u00f6nderir. Bu, siteyle etkile\u015fiminizi basitle\u015ftirir: Her sayfada oturum a\u00e7man\u0131z gerekmez, siteler ekran ayarlar\u0131n\u0131z\u0131 hat\u0131rlar, \u00e7evrimi\u00e7i ma\u011fazalar sepetinizdeki \u00fcr\u00fcnleri saklar, ak\u0131\u015f hizmetleri hangi b\u00f6l\u00fcmde izlemeyi b\u0131rakt\u0131\u011f\u0131n\u0131z\u0131 bilir vb. K\u0131sacas\u0131 bu sistemin bir s\u00fcr\u00fc avantaj\u0131 vard\u0131r.<\/p>\n
\u00c7erezler; giri\u015f bilgilerinizi, parolan\u0131z\u0131, g\u00fcvenlik tokenlerinizi, telefon numaran\u0131z\u0131, ikamet adresinizi, banka ayr\u0131nt\u0131lar\u0131n\u0131z\u0131 ve oturum kimli\u011finizi saklayabilir. Oturum tan\u0131mlay\u0131c\u0131s\u0131na daha yak\u0131ndan bakal\u0131m.<\/p>\n
Oturum kimli\u011fi<\/strong>, kullan\u0131c\u0131lar bir web sitesine giri\u015f yapt\u0131klar\u0131nda kendilerine atanan benzersiz bir koddur. \u00dc\u00e7\u00fcnc\u00fc bir taraf bu kodu ele ge\u00e7irmeyi ba\u015far\u0131rsa, web sunucusu onu me\u015fru bir kullan\u0131c\u0131 olarak g\u00f6recektir. \u0130\u015fte basit bir benzetme: Benzersiz bir koda sahip elektronik bir ge\u00e7i\u015f kart\u0131yla ofisinize girebilece\u011finizi hayal edin. Kart\u0131n\u0131z \u00e7al\u0131n\u0131rsa, h\u0131rs\u0131z size benziyor olsun ya da olmas\u0131n, sizin eri\u015fiminiz olan t\u00fcm kap\u0131lar\u0131 sorunsuz bir \u015fekilde a\u00e7abilir. Bu arada, g\u00fcvenlik sistemi i\u00e7eri giren ki\u015finin siz oldu\u011funu d\u00fc\u015f\u00fcnecektir. Bir polisiye film sahnesi gibi, de\u011fil mi? Ayn\u0131 \u015fey \u00e7evrimi\u00e7i ortamda da ge\u00e7erlidir: Bir bilgisayar korsan\u0131, oturum kimli\u011finizi i\u00e7eren bir \u00e7erezi \u00e7alarsa, kullan\u0131c\u0131 ad\u0131 ve parola girmeye gerek kalmadan, sizin ad\u0131n\u0131za, sizin zaten oturum a\u00e7m\u0131\u015f oldu\u011funuz bir web sitesine giri\u015f yapabilir; bazen iki fakt\u00f6rl\u00fc kimlik do\u011frulamas\u0131n\u0131 bile atlatabilir. 2023 y\u0131l\u0131nda, hackerlar \u00fcnl\u00fc teknoloji blog yazar\u0131 Linus Sebastian\u2019\u0131n \u201cLinus Tech Tips\u201d ve on milyonlarca abonesi olan di\u011fer iki Linus Media Group YouTube kanal\u0131n\u0131 da \u00e7ald\u0131 ve bunu tam da bu \u015fekilde yapt\u0131lar. Bu konuyu daha \u00f6nce ayr\u0131nt\u0131larla ele alm\u0131\u015ft\u0131k<\/a>.<\/p>\n \u015eimdi farkl\u0131 \u00e7erez \u00e7e\u015fitlerini inceleyelim. T\u00fcm \u00e7erezler bir dizi \u00f6zelli\u011fe g\u00f6re s\u0131n\u0131fland\u0131r\u0131labilir.<\/p>\n Oturum \u00e7erezlerinin kal\u0131c\u0131 hale gelmesi m\u00fcmk\u00fcnd\u00fcr. \u00d6rne\u011fin, bir web sitesinde \u201cBeni hat\u0131rla\u201d, \u201cAyarlar\u0131 kaydet\u201d veya benzeri bir kutuyu i\u015faretlerseniz, veriler kal\u0131c\u0131 bir \u00e7erezde kaydedilir.<\/p>\n Ayn\u0131 \u00e7erez birden fazla kategoriye girebilir. \u00d6rne\u011fin, \u00e7o\u011fu iste\u011fe ba\u011fl\u0131 \u00e7erez \u00fc\u00e7\u00fcnc\u00fc taraf \u00e7erezleridir, ancak gerekli \u00e7erezler aras\u0131nda belirli bir tarama oturumunun g\u00fcvenli\u011fini sa\u011flayan ge\u00e7ici \u00e7erezler de bulunur. T\u00fcm bu \u00e7erez t\u00fcrlerinin nas\u0131l ve ne zaman kullan\u0131ld\u0131\u011f\u0131na ili\u015fkin daha fazla ayr\u0131nt\u0131 i\u00e7in Securelist\u2019teki raporun tamam\u0131n\u0131 okuyabilirsiniz<\/a>.<\/p>\n Oturum kimli\u011fi i\u00e7eren \u00e7erezler, bilgisayar korsanlar\u0131 i\u00e7in en cazip hedeflerdir. Oturum kimli\u011finin \u00e7al\u0131nmas\u0131, oturum ele ge\u00e7irme<\/a> olarak da bilinir. En ilgin\u00e7 ve yayg\u0131n y\u00f6ntemlerden baz\u0131lar\u0131n\u0131 inceleyelim.<\/p>\n Kullan\u0131c\u0131 ile web sitesi aras\u0131ndaki internet trafi\u011fini izleyerek veya \u201cdinleyerek\u201d oturum ele ge\u00e7irme m\u00fcmk\u00fcnd\u00fcr. Bu t\u00fcr sald\u0131r\u0131lar, HTTPS yerine daha az g\u00fcvenli HTTP<\/a> ileti\u015fimi kurallar\u0131n\u0131 kullanan web sitelerinde ger\u00e7ekle\u015fir. HTTP ile \u00e7erez dosyalar\u0131, HTTP isteklerinin ba\u015fl\u0131klar\u0131nda d\u00fcz metin olarak iletilir, yani \u015fifrelenmezler. K\u00f6t\u00fc niyetli bir ki\u015fi, sizinle bulundu\u011funuz web sitesi aras\u0131ndaki trafi\u011fi kolayca ele ge\u00e7irebilir ve \u00e7erezleri \u00e7\u0131karabilir.<\/p>\n Bu sald\u0131r\u0131lar genellikle halka a\u00e7\u0131k Wi-Fi a\u011flar\u0131nda, \u00f6zellikle WPA2 veya WPA3 ileti\u015fim kurallar\u0131yla korunmuyorlarsa ger\u00e7ekle\u015fir. Bu nedenle, halka a\u00e7\u0131k eri\u015fim noktalar\u0131nda son derece dikkatli olman\u0131z\u0131 \u00f6neririz<\/a>. Mobil veri kullanmak \u00e7ok daha g\u00fcvenlidir. Yurt d\u0131\u015f\u0131na seyahat ediyorsan\u0131z, eSIM<\/a>\u00a0kullanmak iyi bir fikirdir.<\/p>\n Siteler aras\u0131 komut dosyas\u0131<\/a>, web g\u00fcvenli\u011fi a\u00e7\u0131klar\u0131 aras\u0131nda s\u00fcrekli olarak en \u00fcst s\u0131ralarda yer al\u0131r ve bunun iyi bir nedeni vard\u0131r. Bu t\u00fcr sald\u0131r\u0131lar, k\u00f6t\u00fc niyetli ki\u015filerin bir sitenin verilerine (arzu edilen oturum kimliklerini i\u00e7eren \u00e7erez dosyalar\u0131 dahil) eri\u015fmesine olanak tan\u0131r.<\/p>\n \u0130\u015fte i\u015fleyi\u015fi: Sald\u0131rgan, web sitesinin kaynak kodunda bir g\u00fcvenlik a\u00e7\u0131\u011f\u0131 bulur ve k\u00f6t\u00fc ama\u00e7l\u0131 bir komut dosyas\u0131 yerle\u015ftirir; bu yap\u0131ld\u0131ktan sonra, geriye kalan tek \u015fey sizin vir\u00fcsl\u00fc sayfay\u0131 ziyaret etmenizdir ve \u00e7erezlerinize veda edebilirsiniz. Komut dosyas\u0131 \u00e7erezlerinize tam eri\u015fim hakk\u0131 kazan\u0131r ve bunlar\u0131 sald\u0131rgana g\u00f6nderir.<\/p>\n Di\u011fer sald\u0131r\u0131 t\u00fcrlerinden farkl\u0131 olarak, siteler aras\u0131 istek sahtecili\u011fi<\/a>, bir web sitesi ile taray\u0131c\u0131n\u0131z aras\u0131ndaki g\u00fcven ili\u015fkisini kullan\u0131r. Sald\u0131rgan, kimli\u011fi do\u011frulanm\u0131\u015f bir kullan\u0131c\u0131n\u0131n taray\u0131c\u0131s\u0131n\u0131, kullan\u0131c\u0131n\u0131n bilgisi d\u0131\u015f\u0131nda, parola de\u011fi\u015ftirme veya y\u00fcklenen videolar vb. verileri silme gibi istenmeyen bir eylem ger\u00e7ekle\u015ftirmeye y\u00f6nlendirir.<\/p>\n Bu t\u00fcr sald\u0131r\u0131larda, sald\u0131rgan, g\u00fcvenlik a\u00e7\u0131\u011f\u0131 bulunan web sitesine istek i\u00e7eren k\u00f6t\u00fc ama\u00e7l\u0131 bir ba\u011flant\u0131, HTML kodu veya komut dosyas\u0131 i\u00e7eren bir web sayfas\u0131 veya e-posta olu\u015fturur. Sayfay\u0131 veya e-postay\u0131 a\u00e7mak ya da ba\u011flant\u0131ya t\u0131klamak, taray\u0131c\u0131n\u0131n hedef siteye otomatik olarak k\u00f6t\u00fc ama\u00e7l\u0131 iste\u011fi g\u00f6ndermesi i\u00e7in yeterlidir. Bu siteye ait t\u00fcm \u00e7erezleriniz iste\u011fe eklenecektir. Parola de\u011fi\u015fikli\u011fi veya kanal silme gibi taleplerin sizden geldi\u011fine inanarak, site sald\u0131rganlar\u0131n talebini sizin ad\u0131n\u0131za yerine getirecektir.<\/p>\n Bu nedenle, tan\u0131mad\u0131\u011f\u0131n\u0131z ki\u015filerden gelen ba\u011flant\u0131lar\u0131 a\u00e7maman\u0131z\u0131 ve k\u00f6t\u00fc ama\u00e7l\u0131 ba\u011flant\u0131lar veya komut dosyalar\u0131 konusunda sizi uyarabilecek g\u00fcvenilir bir g\u00fcvenlik \u00e7\u00f6z\u00fcm\u00fc<\/a>\u00a0y\u00fcklemenizi \u00f6neririz.<\/p>\n Bazen sald\u0131rganlar\u0131n karma\u015f\u0131k planlar kullanmas\u0131na gerek kalmaz, oturum kimli\u011fini tahmin etmeleri yeterlidir. Baz\u0131 web sitelerinde oturum kimlikleri \u00f6ng\u00f6r\u00fclebilir algoritmalarla olu\u015fturulur ve IP adresiniz gibi bilgiler ile kolayca yeniden \u00fcretilebilen karakter dizileri i\u00e7erebilir.<\/p>\n Bu t\u00fcr bir sald\u0131r\u0131y\u0131 ger\u00e7ekle\u015ftirmek i\u00e7in, bilgisayar korsanlar\u0131n\u0131n yeterli say\u0131da \u00f6rnek kimlik numaras\u0131 toplamalar\u0131, bunlar\u0131 analiz etmeleri ve ard\u0131ndan oturum kimlik numaralar\u0131n\u0131 kendi ba\u015flar\u0131na tahmin etmek i\u00e7in olu\u015fturma algoritmas\u0131n\u0131 bulmalar\u0131 gerekir.<\/p>\n Oturum kimli\u011fini \u00e7alman\u0131n ba\u015fka yollar\u0131 da vard\u0131r, \u00f6rne\u011fin oturum sabitleme<\/strong>, \u00e7erez atma<\/strong> ve ortadaki adam (MitM)<\/strong><\/a> sald\u0131r\u0131lar\u0131. Bu y\u00f6ntemler, Securelist\u2019teki \u00f6zel yaz\u0131m\u0131zda<\/a> ele al\u0131nm\u0131\u015ft\u0131r.<\/p>\n \u00c7erez g\u00fcvenli\u011finin b\u00fcy\u00fck bir k\u0131sm\u0131 web sitesi geli\u015ftiricilerinin sorumlulu\u011fundad\u0131r. Securelist\u2019teki tam raporumuzda<\/a> onlar i\u00e7in ipu\u00e7lar\u0131 sunuyoruz.<\/p>\n Ancak, \u00e7evrimi\u00e7i ortamda g\u00fcvende kalmak i\u00e7in hepimizin yapabilece\u011fi \u015feyler de var:<\/p>\n \u00c7erezler hakk\u0131nda daha fazla bilgi edinmek istiyorsan\u0131z a\u015fa\u011f\u0131daki makalelerimize de g\u00f6z atabilirsiniz:<\/p>\n Taray\u0131c\u0131n\u0131zda \u00e7erezleri nas\u0131l engellersiniz?<\/a><\/p>\n Mozilla\u2019dan Privacy-Preserving Attribution Teknolojisi<\/a><\/p>\n Bir web sitesinin (taray\u0131c\u0131) parmak izinizi al\u0131p almad\u0131\u011f\u0131n\u0131 nas\u0131l anlars\u0131n\u0131z?<\/a><\/p>\n \u00c7erezler nas\u0131l kontrol edilir: Ger\u00e7ek d\u00fcnya deneyi<\/a><\/p>\nNe t\u00fcr \u00e7erezler vard\u0131r?<\/h2>\n
Depolama s\u00fcresine g\u00f6re<\/h4>\n
\n
Kayna\u011fa g\u00f6re<\/h4>\n
\n
\u00d6nemine g\u00f6re<\/h4>\n
\n
Depolama teknolojisine g\u00f6re<\/h4>\n
\n
Oturum kimlikleri oturum ele ge\u00e7irme yoluyla nas\u0131l \u00e7al\u0131n\u0131r?<\/h2>\n
Oturum dinleme<\/h4>\n
Siteler aras\u0131 komut dosyas\u0131 (XSS)<\/h4>\n
Siteler aras\u0131 istek sahtecili\u011fi (CSRF\/XSRF)<\/h4>\n
\u00d6ng\u00f6r\u00fclebilir oturum kimlikleri<\/h4>\n
\u00c7erez h\u0131rs\u0131zlar\u0131ndan kendinizi nas\u0131l koruyabilirsiniz?<\/h2>\n
\n