🔒 Güvenlik Merkezi
Verileriniz ve gizliliğiniz bizim için önceliktir. Platformumuzu nasıl güvenli kıldığımızı şeffaf bir şekilde açıklıyoruz.
🛡️ 1. JavaScript Kullanmıyoruz — XSS Sıfırlama
Platformumuz kasıtlı olarak istemci tarafı JavaScript içermez. XSS (Cross-Site Scripting) saldırıları tarayıcıda çalışan JavaScript koduna dayanır; bu kod tamamen yoksa saldırı yüzeyi sıfıra iner.
Kullanıcı tarafından girilen hiçbir veri komut olarak yorumlanmaz — yalnızca güvenli HTML metni olarak gösterilir. Bir saldırgan ne kadar kötü amaçlı içerik gönderirse göndersin, tarayıcıda herhangi bir kod çalışamaz.
🔐 2. HTTPS, HSTS ve Güvenlik Başlıkları
Tüm bağlantılar şifreli HTTPS üzerinden gerçekleşir. Tarayıcınız bir kez sitemizi ziyaret ettikten sonra bir daha şifresiz bağlantı denemez; bu kuralı sunucu tarafında kalıcı olarak zorunlu kılıyoruz.
- Bağlantı her zaman şifreli: Platformumuza yapılan tüm istekler HTTPS üzerinden iletilir; araya giren biri trafiği okuyamaz veya değiştiremez.
- Çerçeveye alınamaz: Sayfalarımız başka sitelerin içine gömülemez; bu sayede sizi kandırmaya yönelik sahte arayüz saldırıları engellenir.
- İçerik türü tahmini kapalı: Tarayıcı, sunucunun belirttiği dışında bir içerik türü olarak dosyaları işleyemez; kötü amaçlı dosyaların farklı yorumlanması önlenir.
- Sizi izleyen bağlantı bilgisi paylaşılmaz: Başka bir siteye geçtiğinizde hangi sayfadan geldiğiniz bilgisi o siteyle paylaşılmaz.
- Kamera, mikrofon ve konum erişimi yok: Tarayıcı izinleri sunucu tarafında tamamen kapatılmıştır; hiçbir reklam takip mekanizması çalışamaz.
- Dış kaynak yüklenmiyor: Sayfalar yalnızca kendi sunucumuzdan kaynak yükler; üçüncü taraf betik veya içerik enjeksiyonuna izin verilmez.
🔁 3. CSRF Koruması — Tek Kullanımlık Token Havuzu
CSRF (Cross-Site Request Forgery) saldırısında saldırgan, oturumunuzu açık olan başka bir siteden sizin adınıza işlem yaptırmaya çalışır. Bunu engellemek için her form gönderiminde doğrulanabilen benzersiz bir token kullanıyoruz.
- Kriptografik rastgelelik: Her token
random_bytes(32)ile üretilir — tahmin edilemez. - Dönen havuz: Aynı anda en fazla 10 token aktif tutulur; eskiler FIFO sırasıyla atılır.
- Tek kullanım: Token doğrulandıktan hemen sonra havuzdan silinir — aynı token tekrar kullanılamaz.
- Zamanlama güvenli karşılaştırma: Doğrulama
hash_equals()ile yapılır; timing saldırılarına karşı koruma sağlar.
🔑 4. Şifre Güvenliği
Şifreler asla düz metin olarak saklanmaz. Veritabanında yalnızca şifrenizin bcrypt ile üretilmiş karma (hash) değeri tutulur.
- bcrypt: Kasıtlı olarak yavaş çalışan bir algoritma — brute-force saldırılarını hesaplama maliyetiyle engeller.
- Tuz (salt): Her hash'e özgü rastgele tuz; gökkuşağı tablosu (rainbow table) saldırılarını geçersiz kılar.
- Kayıt yok: Şifreler hiçbir log dosyasına, hata raporuna veya veritabanının başka bir alanına yazılmaz.
- Sıfırlama bağlantıları: Şifre sıfırlama tokenları tek kullanımlık ve süreli — kötüye kullanılamaz.
🗂️ 5. Veri Saklama ve Silme
Verilerini silmek isteyen kullanıcılar için net ve denetlenebilir bir süreç uygulanmaktadır:
| Aşama | Süre | Açıklama |
|---|---|---|
| Yumuşak silme | Anlık | Hesap/içerik herkese görünmez olur; hesabınızı bu süre içinde geri alabilirsiniz |
| Kalıcı silme | 90 gün | Canlı veritabanından tamamen kaldırılır |
| Yedek temizleme | 180 gün | Döngüsel yedekler silindiğinde verileriniz yedeklerden de çıkmış olur |
| Silme talebine yanıt | En geç 30 gün | KVKK kapsamındaki resmi taleplere yasal süre içinde yanıt verilir |
📩 6. Güvenlik Açığı Bildirimi
Platformumuzda bir güvenlik açığı keşfettiyseniz lütfen bize bildirin. Raporunuzu ciddiye alır, en kısa sürede yanıtlar ve sorumlu açıklama (responsible disclosure) ilkesine uygun davranırız.
- Açığı kamuoyuyla paylaşmadan önce bize bildirin.
- Gerçek kullanıcı verilerine erişmekten veya zarar vermekten kaçının.
- Raporunuzu detaylı biçimde açıklayın: etki kapsamı, yeniden üretme adımları.
İletişim: admin@mevzuatraporu.com