Skip to content

Latest commit

 

History

History
84 lines (53 loc) · 5.35 KB

bonus3.md

File metadata and controls

84 lines (53 loc) · 5.35 KB

Ek Adım: Oturum Yönetimi, Tokenlar, Sertifikalar ve Modern Güvenlik Yaklaşımları

Web güvenliği alanında bugüne kadar pek çok konuya değindik. Şimdi hem oturum (session) yönetimi hem de token tabanlı kimlik doğrulama stratejilerini ele alacak, bu yaklaşımları sertifika yönetimi, Let’s Encrypt ve AWS gibi modern çözümlerle harmanlayarak güncel bir perspektif sunacağız.

Oturum (Session) Yönetimi

Nedir?
Session, sunucuda kullanıcıya özgü bir durum bilgisinin tutulduğu, tarayıcı tarafında ise Session ID gibi bir kimliklendirici çerezle ilişkilendirilen yapıdır. Bu yaklaşım, klasik web uygulamalarında sıkça kullanılır.

Güvenlik Noktaları:

  • Session ID Üretimi: Rastgele, tahmin edilemez olmalı.
  • Çerez Yapılandırması: HttpOnly, Secure ve SameSite bayrakları, çerez hırsızlığını zorlaştırır.
  • Session Süresi ve Zaman Aşımı: Uzun süreli session, saldırganın işini kolaylaştırır. Belirli bir inaktif süre sonra oturumu sonlandır.

Avantajlar ve Dezavantajlar:

  • Avantaj: Özellikle monolitik yapılar ve eski mimarilerde basit ve hızlı çözüm.
  • Dezavantaj: Sunucu tarafında durum saklandığı için yatay ölçeklenme zordur. Birden fazla sunucu olduğunda session’ı paylaşmak için Redis gibi ek çözümler gerekir.

Token Tabanlı Kimlik Doğrulama (Ör: JWT, OAuth 2.0)

Nedir?
Token tabanlı yaklaşım, sunucunun durum tutmak yerine her istekte kullanıcının kimliğini ve yetkisini doğrulamak için bir token kullanmasına dayanır. JWT (JSON Web Token) sık kullanılan bir formattır.

Güvenlik Noktaları:

  • Token Gizliliği: Token’ı HttpOnly çerezlerde tutarak XSS riskini azaltabilirsin.
  • Kısa Ömür ve Yenileme: Access token kısa ömürlü olmalı; süre dolunca refresh token ile yenilenmeli.
  • İmza Doğrulaması ve Anahtar Yönetimi: JWT’yi imzalayan anahtar güvende tutulmalı, anahtar rotasyonu yapılmalı.

Avantajlar ve Dezavantajlar:

  • Avantaj: Stateless yapısıyla ölçeklenme kolaydır, mikro servis mimarilerinde idealdir.
  • Dezavantaj: Token çalınırsa saldırgan yetkili erişim elde edebilir. Ancak kısa ömürlü token ve iyi güvenlik politikalarıyla bu risk azaltılır.

Session vs Token: Hangisi Daha Güvenli?

Günümüzde hem session hem token tabanlı yaklaşımlarda saldırıların başarı oranı önemli ölçüde düştü. Neden?

  • Modern Tarayıcı Güvenlik Özellikleri: Content Security Policy (CSP), SameSite çerezleri, güncel tarayıcı API’leri saldırganların işini zorlaştırıyor.
  • Farkındalık ve Standartlar: Geliştiriciler OWASP rehberlerini takip ediyor, en yaygın açıklar varsayılan olarak kapatılıyor.

Sonuç olarak, doğru uygulandığında her iki yaklaşım da güvenli olabilir. Token tabanlı çözüm, dağıtık ve ölçeklenebilir ortamlarda daha çok tercih edilirken, klasik yapılarda session hâlâ iş görebilir. Önemli olan uygun önlemleri almak ve mimari ihtiyaçlara göre karar vermek.

Sertifikalar ve Şifreleme: Let’s Encrypt, AWS ve Otomasyon

HTTP üzerinden iletişim, potansiyel saldırılara davetiye çıkarır. Bu nedenle HTTPS (TLS/SSL) şarttır. Günümüzde sertifika yönetimi çok daha kolay:

Let’s Encrypt ile Ücretsiz ve Otomatik Yenileme:

  • Let’s Encrypt, otomasyon araçları (ör. certbot) ile sertifikaları otomatik yenilemeni sağlar.
  • Genellikle 90 günlük sertifikalar kullanılır, böylece sürekli güncel ve güvenli bir TLS katmanı elde edersin.

AWS Certificate Manager (ACM):

  • AWS’nin yönetilen sertifika hizmetiyle sertifika alma, bağlama ve yenileme süreçleri otomatikleştirilir.
  • ACM, AWS Load Balancer, CloudFront, API Gateway gibi servislerle entegre çalışarak manuel işlemleri azaltır.

TLS Politikaları ve HSTS:

  • Güçlü şifre suit’leri, TLS 1.2 veya TLS 1.3 kullanarak eski protokolleri devre dışı bırak.
  • HSTS ile tarayıcıların sitene her zaman HTTPS üzerinden bağlanmasını zorunlu kıl.

Bugün Saldırılar Ne Kadar Etkili?

Önlemler arttıkça saldırganların işinin zorlaştığı bir gerçek. Otomasyona dayalı güvenlik testleri, bulut servislerinin hazır güvenlik katmanları, sertifikaların otomatik yenilenmesi ve tarayıcı güvenlik özellikleri saldırı yüzeyini daraltıyor.

Saldırılar hâlâ var, ama eskisi gibi basit bir açığı sömürmek yerine daha sofistike, hedef odaklı ve komplike saldırı senaryolarına yöneliyorlar. Bu da saldırganların teknik beceri eşiğini yükseltiyor.

Kapanış

Elimizde artık hem geleneksel hem de modern mimarilerin güvenliğini sağlamak için gerekli bilgi ve araçlar var. Session yönetimi, token tabanlı kimlik doğrulama, sertifika yönetimi (Let’s Encrypt, AWS ACM), kısa ömürlü token’lar, güçlü TLS politikaları ve modern tarayıcı güvenlik özellikleriyle harmanlanmış bir yaklaşım sayesinde:

  • Ölçeklenebilir, dağıtık mimarilerde bile güçlü güvenlik sağlanabilir.
  • Saldırılar giderek daha az etkili hale gelir.
  • Geliştiriciler, operasyon ekipleri ve güvenlik uzmanları aynı dili konuşarak sürdürülebilir bir güvenlik kültürü oluşturabilir.

Bu entegre bakış açısıyla, hem geleneksel hem de modern uygulamalarda siber savunmayı bir adım öteye taşıyabilirsin.