Web Programlama Eğitimleri : Kriptografinin Uygulanması
Web Geliştiricileri İçin Temel Kriptografi Uygulamaları
Web güvenliği artık yalnızca ağ yöneticilerinin değil, doğrudan yazılım geliştiricilerin de sorumluluğu altında.
Modern web uygulamalarında kullanıcı verilerini korumak, oturum güvenliğini sağlamak ve kimlik doğrulaması yapmak için kriptografik yöntemlerin doğru biçimde uygulanması gerekiyor.
Aşağıda, bir web geliştiricinin bilmesi gereken temel kriptografi uygulamalarını bulacaksın:
1. HTTPS’in Doğru Şekilde Kullanılması
Bir web uygulamasını güvenli hale getirmenin ilk adımı, HTTPS bağlantısını zorunlu kılmaktır.
HTTPS, kullanıcı ile sunucu arasındaki tüm trafiği şifreler ve “ortadaki adam saldırılarını” (MITM) engeller.
Dikkat edilmesi gerekenler:
-
Geçerli bir SSL/TLS sertifikası kullan.
-
HTTP bağlantılarını otomatik olarak HTTPS’e yönlendir.
-
Sertifika zincirini (CA, intermediate, root) eksiksiz kur.
-
Güvenli TLS sürümlerini (örneğin TLS 1.3) tercih et.
2. Parolaları Hash Fonksiyonları ile Saklama
Kullanıcı şifrelerini asla düz metin (plaintext) olarak veritabanında saklama.
Bunun yerine güçlü bir hash algoritması kullan:
-
SHA-256, SHA-512 veya bcrypt, scrypt, Argon2 gibi modern algoritmalar tercih edilmeli.
-
Her parola için rastgele bir salt (tuz) değeri eklenmeli.
-
Bu sayede aynı parolaya sahip iki kullanıcı bile farklı hash değerlerine sahip olur.
Örnek:
Bu yöntem, veritabanı sızsa bile şifrelerin çözülmesini neredeyse imkânsız hale getirir.
3. Token Tabanlı Kimlik Doğrulama (JWT)
Modern web uygulamaları genellikle JSON Web Token (JWT) ile oturum doğrulaması yapar.
Bu token’lar, dijital olarak imzalanır ve verinin değişmediğini garanti eder.
Kritik noktalar:
-
Token’ları HS256 (HMAC) veya RS256 (RSA) algoritmalarıyla imzala.
-
Gizli anahtarı (secret key) kodun içinde değil, .env dosyasında sakla.
-
Token ömrünü kısa tut (örneğin 15–30 dakika).
-
Yenileme (refresh token) sistemini uygula.
4. Dijital İmzalarla Veri Doğrulama
Bir verinin gerçekten belirli bir kaynak tarafından gönderildiğini kanıtlamak için dijital imza kullanılır.
Özellikle ödeme sistemleri, API entegrasyonları ve e-imza uygulamalarında bu zorunludur.
Nasıl çalışır:
-
Gönderen, mesajın hash’ini oluşturur.
-
Hash değeri özel anahtarla imzalanır.
-
Alıcı, açık anahtarla imzayı doğrular.
Bu sistem, mesajın hem kaynağını hem de bütünlüğünü garanti eder.
5. Kullanıcı Verilerinin Uygulama İçinde Şifrelenmesi
Bazı durumlarda (örneğin kimlik numarası, kredi kartı bilgisi, özel belgeler), verilerin yalnızca aktarım sırasında değil, uygulama içinde de şifrelenmesi gerekir.
Simetrik şifreleme (AES) bu noktada en çok tercih edilen yöntemdir.
AES, hem hızlıdır hem de güçlü güvenlik sağlar.
Örnek:
-
Veriyi saklarken
AES-256ile şifrele. -
Anahtarı güvenli bir biçimde yönet (örneğin AWS KMS veya Azure Key Vault gibi hizmetlerle).
6. API Güvenliği ve Kriptografik İmzalama
API anahtarlarını korumak, modern web uygulamaları için hayati önem taşır.
Kriptografik imzalama ile her API isteğinin gerçekten yetkili bir istemciden geldiği doğrulanabilir.
Yapılması gerekenler:
-
Her isteği HMAC veya RSA imzasıyla doğrula.
-
API anahtarlarını ortak kod tabanına gömme.
-
HTTPS dışında asla API çağrısı yapma.
7. Güvenli Oturum Yönetimi
Oturum bilgileri, kullanıcı kimliğini temsil eder — dolayısıyla en kritik hedeflerden biridir.
Geliştiriciler, oturum yönetimini de kriptografik temellerle güçlendirmelidir:
-
Oturum kimliklerini tahmin edilmesi zor biçimde oluştur.
-
Cookie’lerde
HttpOnlyveSecurebayraklarını aktif et. -
Oturumu zaman aşımı (timeout) ve token yenileme mekanizmasıyla kontrol et.
Sonuç
Kriptografi, web güvenliğinde sadece “arka planda çalışan” bir teknoloji değildir;
her form girişi, her token, her bağlantı aslında bir şifreleme katmanının içinden geçer.
Bir web geliştirici için kriptografiyi anlamak, yalnızca teknik bilgi değil, kullanıcı güvenine yatırım yapmak anlamına gelir.
Doğru uygulandığında kriptografi, saldırıları önler, veriyi korur ve dijital dünyanın en güçlü güvenlik kalkanı haline gelir.
