Güvenlik ve Gizlilik Rehberi

Kodlama Şifreleme Değildir

En önemli güvenlik kavramı: kodlama ve şifreleme tamamen farklıdır. Kodlama, uyumluluk için veri formatını dönüştürür. Şifreleme, kriptografik anahtarlarla veri gizliliğini korur. Asla ikisini karıştırmayın.

Yaygın Kodlama Yöntemleri (GÜVENLİ DEĞİL):

• Base64: İkili verileri metne dönüştürür. Herhangi bir anahtar olmadan tamamen tersine çevrilebilir.
• URL Kodlama: URL'ler için özel karakterleri kaçırır. Herkes anında çözebilir.
• HTML Varlıkları: HTML özel karakterlerini kaçırır. Hiçbir güvenlik sağlamaz.
• Onaltılık: Baytları onaltılık değerler olarak temsil eder. Sadece başka bir temsil formatı.

⚠️ Uyarı: Kodlanmış veriler KORUNMAZ. Herkes çözebilir. Asla şifreleri, sırları, API anahtarlarını veya hassas bilgileri kodlamayın.

Kodlama Ne Zaman Kullanılır (Güvenli Durumlar)

Güvenliğin gerekli olmadığı durumlarda kodlamanın meşru kullanımları vardır. Kodlama için güvenli senaryolar:

Kodlama için Güvenli Kullanımlar:

• Veri Formatı Dönüşümü: E-posta ekleri veya metin tabanlı protokoller için ikili dosyaları metne dönüştürme.
• URL Güvenliği: Düzgün iletim sağlamak için URL'lerdeki özel karakterleri kodlama.
• HTML Görüntüleme: Görüntülemeden önce kullanıcı içeriğini kodlayarak HTML enjeksiyonunu önleme.
• Veri Değişimi: Veri alışverişi için JSON, XML veya protokole özgü kodlama.
• Geliştirme ve Hata Ayıklama: Geliştirme ve sorun giderme sırasında kodlanmış verileri inceleme.

Güvensiz Kullanımlar (Asla Yapmayın):

• ❌ Asla şifreleri kodlamayın. Uygun şifre karması kullanın (bcrypt, Argon2, PBKDF2).
• ❌ Asla API anahtarlarını veya tokenları kodlamayın. Şifreleme veya güvenli anahtar yönetim sistemleri kullanın.
• ❌ Asla depolama için hassas verileri kodlamayın. Uygun anahtar yönetimiyle şifreleme kullanın.
• ❌ Erişim kontrolü için kodlamaya asla güvenmeyin. Kodlanmış veriler herkese açık olarak okunabilir.

Doğru Güvenlik Uygulamaları

Gerçek güvenlik için kriptografi ve uygun güvenlik kontrolleri kullanın. İş için doğru araçlar:

Gerçek Şifreleme Kullanın

Veri gizliliği önemli olduğunda şifreleme gereklidir:

• Simetrik Şifreleme: Bekleyen ve aktarılan verileri şifrelemek için AES-256. Aynı anahtar şifreler ve şifresini çözer.
• Asimetrik Şifreleme: Anahtar değişimi ve dijital imzalar için RSA veya ECC. Açık/özel anahtar çiftleri.
• TLS/SSL: Ağ trafiğini şifrelemek için HTTPS. İstemci ve sunucu arasında aktarılan verileri korur.
• Uçtan Uca Şifreleme: Maksimum gizlilik için, iletimden önce istemci tarafında verileri şifreleyin.

Güvenli Veri İletimi

Her zaman aktarılan verileri koruyun:

• HTTPS Kullanın: Kullanıcı verilerini işleyen her web sitesi TLS/SSL sertifikaları kullanmalıdır.
• Sertifika Doğrulama: Ortadaki adam saldırılarını önlemek için SSL sertifikalarını doğrulayın.
• API Güvenliği: OAuth 2.0, uygun doğrulama ile JWT veya HTTPS üzerinden API anahtarı kimlik doğrulaması kullanın.

Güvenli Veri Depolama

Depolanmış verileri uygun şekilde koruyun:

• Şifre Karması: bcrypt, Argon2 veya PBKDF2 kullanın. Asla düz metin şifreler veya kodlanmış şifreler saklamayın.
• Bekleyen Veri Şifreleme: AES-256 ve uygun anahtar yönetimiyle hassas veritabanı alanlarını şifreleyin.
• Anahtar Yönetimi: Şifreleme anahtarlarını verilerden ayrı saklayın. Anahtar yönetim hizmetlerini veya donanım güvenlik modüllerini kullanın.

Yaygın Güvenlik Hataları

Geliştiricilerin kodlama ile yaptığı en yaygın güvenlik hataları:

Hata 1: Şifreleri Kodlama

Base64 ile şifre kodlama sıfır güvenlik sağlar. Herkes Base64'ü anında çözebilir. Bunun yerine bcrypt, Argon2 veya PBKDF2 şifre karması kullanın. Şifre karması tek yönlüdür ve şifrelerin kurtarılmasını imkansız hale getirir.

Hata 2: Şifreleme Yerine Kodlama

Kredi kartlarını, sosyal güvenlik numaralarını veya sağlık verilerini Base64 veya URL kodlamasında saklamak kritik bir güvenlik açığıdır. Hassas veri depolama için uygun anahtar yönetimiyle AES-256 şifreleme kullanın.

Hata 3: İstemci Tarafı "Güvenlik"

Sunucuya göndermeden önce JavaScript'te veri kodlama güvenlik sağlamaz. Herkes tarayıcı JavaScript kodunu görüntüleyebilir ve kodlamayı tersine çevirebilir. Her zaman sunucu tarafında verileri doğrulayın ve güvenli hale getirin.

Hata 4: Belirsizlik Yoluyla Güvenlik

Özel kodlama şemaları veya birden fazla kodlama katmanı güvenlik oluşturmaz. Süreci tersine çevirmek için kriptografik anahtar gerekli değilse, güvenli değildir. Yerleşik şifreleme standartlarını kullanın.

URLP Gizliliğinizi Nasıl Korur

Tüm URLP araçları verileri tamamen tarayıcınızda JavaScript kullanarak işler. Kodladığınız, çözdüğünüz veya biçimlendirdiğiniz hiçbir şey asla cihazınızdan ayrılmaz.

Gizlilik Avantajları:

• Sıfır Sunucu İşleme: Verileriniz asla sunucularımıza dokunmaz. Tüm işleme JavaScript'te istemci tarafında gerçekleşir.
• Veri Toplama Yok: Araçlarımızla işlediğiniz hiçbir veriyi saklamaz, günlüğe kaydetmez veya iletiriz.
• İnternet Gerekli Değil: Sayfa yüklendikten sonra araçlar çevrimdışı çalışır. İnternetten bağlantınızı kesebilirsiniz.
• Açık Kaynak Şeffaflığı: İstemci tarafı işlemeyi doğrulamak için JavaScript kaynak kodunu inceleyin.

İstemci tarafı işlemede bile, kodlamanın şifreleme olmadığını unutmayın. Kodlama araçlarını kullanarak son derece hassas verileri (şifreler, API anahtarları, kişisel bilgiler) işlemeyin. Hassas veriler için uygun şifreleme kullanın.

Güvenlik Kaynakları ve Araçları

URLP araçlarını keşfedin ve güvenlik etkilerini anlayın:

URLP Araçları:

• Base64 Kodlayıcı - Format dönüşümü, şifreleme değil. Hassas olmayan veriler için güvenli.
• URL Kodlayıcı - URL'ler için karakter kaçırma. Herkese açık ve kolayca tersine çevrilebilir.
• HTML Varlık Kodlayıcı - HTML enjeksiyonunu önler. Veri gizliliği için değil.
• JWT Kod Çözücü - JWT tokenlarını inceleyin. Unutmayın: JWT yükleri kodlanmış, şifrelenmemiş.