İçeriğe git
cutty.dev
All posts

Parolalı bağlantı güvenliği — tıkladığınızda ne olur?

Kısa bağlantına şifre ekleyebilirsin. Arka planda neler olduğunu, jargona girmeden ve neden önemli olduğunu gösteriyoruz.

Şifreli kısa bağlantı oldukça basittir. Şifreyi girersiniz, başkasının bu bağlantının nereye yönlendirdiğini görebilmesi için o da şifreyi girmek zorundadır. Arka planda ise daha fazlası gerçekleşir. Ne zaman, neden ve nasıl işe yaradığını gösteriyoruz.

Neden genel olarak bağlantıyı şifreyle korumalıyız

Anlam ifade ettiği üç bağlam:

Sadece belirli kişilere göstermek istediğiniz içerik. Premium müşteriler için fiyatlandırma, halka açıklanmadan önceki beta belgesi, kursu satın alanlar için eğitim materyali. Şifre yoksa, biri bu bağlantıyı bir arama motorunda bulabilir veya ikinci el olarak alabilir.

Kısa ömürlü içeriği kapatmak istiyorsanız. Cuma günü için özel teklif, yalnızca katılımcılar için erişilebilir olacak konferans materyali. Parola, bağlantıyı kontrollü bir girişe dönüştürür — ziyaretçinin parolayı sizden aldığını, ikinci elden olmadığını bilirsiniz.

Herkese açık olarak yayımladığınız ancak kontrolü elinde tutmak istediğiniz içerik. Tam fiyat listeniz, iç ürün süreçleriniz, müşteriye sunduğunuz teklif. Bağlantı gönderilebilir — ancak şifre olmadan kimse içeri giremez.

Şifre ayarladığınızda ne olur

Bağlantı oluşturma formunda şifreyi giriyorsunuz. Şifre anında şifrelenir — okunamaz bir karakter dizisine dönüştürülür. Şifrenizin "tajne123" olması, "Kaydet"e tıkladığınız anda ortadan kaybolur. Ben bile siteyi yöneten biri olarak onu okumanın bir yolu yoktur.

Veritabanında ne saklanır: şifre değil, parmak izi (teknik olarak "hash") — yani sadece tam olarak aynı şeyi girdiğinde eşleşen bir dizi. Eğer biri veritabanımıza sızarsa, sadece bu dizileri alırlar; bağlantılarının şifrelerini değil.

Bunun için ağdaki çoğu giriş sisteminin kullandığı sektör standardını kullanıyoruz. Bu, bilerek yavaş olacak şekilde tasarlanmıştır — böylece bir veritabanı çalan saldırganın şifreleri tahmin etmesi milyonlarca yıl sürer.

Birisi bağlantınızı tıkladığında ne olur

  1. Ziyaretçi, doğrudan yönlendirme yerine kilit ekranını görür. "Bu bağlantı şifre ile korunmaktadır" şeklinde kısa bir bilgi ve giriş alanı bulunur.
  2. Şifreyi girer ve "Kilidi Aç" butonuna tıklar. Şifre, kaydedilmiş karma (hash) değeriyle karşılaştırılmak üzere sunucuda doğrulanır.
  3. Eşleşirse — ziyaretçiye 24 saat geçerli olan bir oturum belirteci (token) verilir. Bir sonraki 24 saat boyunca şifre girmeden bu bağlantıya tekrar dönebilir. Hatırlamasına gerek yoktur.
  4. Eşleşmezse — hata mesajı gösterilir. Aynı IP adresinden beş deneme yapıldıktan sonra — beş dakikalık engelleme uygulanır. Botlar zorla giremez.

Ne YAPMIYORUZ

  • Şifreleri açık metin olarak kaydetmiyoruz. Hiçbir zaman. Hata ayıklama günlüklerinde bile.
  • Şifreleri e-posta ile göndermiyoruz. Ziyaretçi unutsa bile, biz hatırlatamıyoruz çünkü biz de bilmiyoruz. Şifreyi aldığı hesap üzerinden tekrar göndermeniz gerekiyor.
  • Şifreleri üçüncü taraflara göndermiyoruz. Hiçbir harici analitik, pazarlama veya AI sağlayıcısı bu verilere erişemez.

Pratik İpuçları

Açık olmayan şifreler oluşturun. Şirket adı + kuruluş yılı zayıf bir fikir. Tarayıcıdaki şifre oluşturucu bunu daha iyi yapar.

Şifreyi linkle aynı kanalda göndermeyin. Linki e-posta ile gönderiyorsanız, şifreyi SMS ile gönderin. Ya da tam tersi. Böylece bir iletişim kanalına sızma, tam erişim sağlamaz.

Aynı hedef URL'ye sahip birden fazla bağlantınız olabilir, ancak farklı şifrelerle. Farklı kişilere erişim sağlarken faydalıdır — bir bağlantının süresi dolduğunda o bağlantıyı engelleyebilir, diğerlerine herhangi bir etkisi olmadan devam etmelerini sağlayabilirsiniz.

Şifre, yeni bir bağlantı oluşturmadan değiştirilebilir. Panelde "Düzenle" → yeni şifreyi girin. Tüm aktif 24 saatlik oturumlar hemen sona erecek ve her ziyaretçi yeni şifreyi girmek zorunda kalacak.

Şifre YETMEYEBİLDİĞİNDE

Şifre, herkese açık dizine ve rastgele erişime karşı koruma sağlar. Ancak şifreyi bilen ve paylaşmak isteyen kişiye karşı koruma sağlamaz. Senaryonuz "sadece bu tek belirli kişi bunu görebilir" gerektiriyorsa — ek olarak oturum açma, kullanıcı hesapları ve yetkilendirme ihtiyacınız vardır. Bu, işlevsellik açısından daha üst bir seviyedir (Pro planında gelecek planlarda yer alıyor).

Çoğu durumda (%95) "yanlış birinin görmesini istemiyorum" — şifre yeterlidir.

Kendin dene — bağlantı oluştururken "Gelişmiş seçenekler"i seçin → "Şifre ekle".