İnternet tarayıcıları nasıl veri topluyor?

senna27

senna27

Centipat
Katılım
7 Eylül 2020
Mesajlar
54
Merhaba arkadaşlar, uzun süredir merak ettiğim ama cevabını bulamadığım bir soru var. Belki internet güvenliğiyle ilgili daha uzman arkadaşlar yardımcı olabilir. Birçok bir yabancı makale okudum ama sanırım hala cevabı tam olarak bulamadım.

Basit bir soru aslında. Herhangi bir kullandığımız internet tarayıcı (Chrome, Mozilla, Vivaldi, Opera vs.) ziyaret ettiğimiz mail servisi, banka sayfası, e-Devlet vs. gibi önemli servislerde login olduğumuz zaman bunlara ait bilgilerimizi (kullanıcı adı, TC. No, şifreler, sayfalardaki bilgiler) görebilir mi ve bunları haberimiz olmadan kendi serverlarında bir databasete tutabilirler mi? Bunu önelemnin bir yolu var mıdır? Nasıl emin oluyoruz? Yani Gmail kullanırken tamam zaten Google bu servisi kurduğu için belki görmesinde bir sakınca yok ama Gmail ile Vivaldi'den veya Opera'dan oturum açtığında ne kadar güvenli? Sizin mail bilgilerinize bu tarayıcılar da sahip olabiliyor mu?

Örneğin Mozilla Firefox güvenlik konusunda oldukça ünlenmiş ve açık kaynak kodlu bir tarayıcı. Benim de kullanmış olduğum ve güvendiğim bir tarayıcı. Ancak her ne kadar açık kaynak olsa da birçoğumuz bu açık kaynak kodu okuyup anlayacak seviyede programlama ve internet servisleri prosedürü hakkında uzman bilgi sahibi değil. Dolayısıyla açık kaynak olması başkalarından referans alabileceğimiz bir konu. Yani başkaları bu açık kaynak kodu inceleyip güvenip referans oluyor.

Bilgisayarlarda akan her trafiği ne yazık ki izleyemiyoruz. Hatta birkaç sene önce cisco modemlerde bir açık olduğu ve şirketin serverlarına data yolladığıyla ilgili bir haber vardı.

Buradan yola çıkarak paranoyak olmaya da gerek yok. Ancak ne gibi bir yöntem izlemeliyiz. Açıkcası ben e-Devlet, banka sitesi için yalnızca Google Chrome kullanıyorum ve herhangi bir eklenti de yüklü değil. Açıkcası elimiz kolumuz bağlı Google büyük bir firma ve milyonlarca insan Google'a güveniyor ve haliyle biz de sürü psikolojisiyle hareket ediyoruz.

YouTube videoları izlemek için Vivaldi kullanıyorum çünkü AdBlock eklentili geliyor. Bazen ufak tefek video reklam sıkıntıları(beyaz ekran çıkıyor reklam yerine onu da "skip" edebiliyorsunuz.) olsa da sorunsuz çalışıyor. Vivaldi ne kadar güvenlidir.

Mozilla Firefox sadece uBlock Origin kullanıyorum. Açık kaynak kodlu ama ziyaret ettiğim tüm sayfalardaki verilerei okuma iznine sahip. Bunun olası kötü senaryo sonuçları ne olabilir? Web tarayıcıları kendi serverlarına tarafımızdan veri yollanmadığından nasıl emin olabiliyoruz.

Genel olarak herhangi bir sitede login olacağım zaman Gmail ile login oluyorum veya yine Gmail uzantılı bir mail ile kaydoluyorum. Yine Gmail ile login olma konusunda çoğu site bu "API" ile login kurmasına rağmen mesela büyük teknoloji firmalarında asla bu gibi seçenekler yok. Örneğin Facebook'a kayıt olmak için Google ile login olma seçeneği yok. Mail uzantınız Gmail'de olsa manuel girmeniz gerekiyor. Steam yine aynı şekilde, Discord yine aynı şekilde...

Büyük teknoloji firmaları Google'la login veya kayıt olma seçeneğini tercih etmemesindeki sebep nedir? Örneğin Technopat'da Google ile oturum açmaya izin veriyor. Bunun avantajları da var. Örneğin site hacklense bile kullanıcı adınız ve şifreniz güvende oluyor aksi halde mail ve şifrenizi Database'den çekebilirler.

Yani bu konular hakkında daha fazla detay veya kullanım nasıl araştırıp bulabilirim. Açıkcası birden fazla tarayıcı kullanmak hem avantajlı hem de insanı oldukça yoran bir şey. Konu hakkında internet güvenlik uzmanı olan kişiler nasıl bir kullanım izliyorlar?

Konu biraz uzun oldu ama hepimizin dikkat etmesi gereken temel şeyler olduğunu düşünüyorum.
 
Bilgi toplanması izleme amaçlı olarak çerezler ile yapılıyor. Şifreleme sistemi ise genel olarak SSL ile yapılıyor.

Burada güzel anlatılmış basitçe.

www.hosting.com.tr

SSL Nedir, SSL Güvenlik Sertifikası Nasıl Çalışır? | Hosting.com.tr

SSL Nedir? SSL internet ortamında çok karşılaşılan kavramlardan biridir. Genellikle alışveriş sitelerinde oldukça sık rastlanmaktadır. SSL'in açılımı Secure Socket Layer'dır. Türkçe anlamıysa Güvenli Giriş Katmanı'dır. SSL kişisel gizlilik ve güvenilirlik sağlayan, network üzerindeki bilgi...
www.hosting.com.tr www.hosting.com.tr
 
senna27 dedi:
Büyük teknoloji firmaları Google'la login veya kayıt olma seçeneğini tercih etmemesindeki sebep nedir? Örneğin Technopat'da Google ile oturum açmaya izin veriyor. Bunun avantajları da var. Örneğin site hacklense bile kullanıcı adınız ve şifreniz güvende oluyor aksi halde.
Genişletmek için tıkla...

Bak bunu yeni öğrendim. Daha güvenli yani (?).
 
Tarayıcıların SSL bağlantı üzerinden şifre topladığını kim çıkardı bilmiyorum, varsa da benim haberim yok.

Google'a veri kaptırmamak için Chrome'u kullanmamak yeterli değil. Bağlandığın hemen hemen her sitede en az bir Google domainine bağlanıyorsun, bu da internet üzerinde hangi sitelere girdiğin verisinin ister istemez Google'in eline geçmesi demek. Asıl sorun arz eden kısım, uygulama üzerinden toplanan verilerin bazı üçüncü partilere kar amaçlı satılması. Opera bu yüzden önerilmiyor. Kapalı kaynak uygulamaların ne tür verileri topladığını görmenin bir yolu yok.
 
ViooYa dedi:
Bilgi toplanması izleme amaçlı olarak çerezler ile yapılıyor. Şifreleme sistemi ise genel olarak SSL ile yapılıyor.

Burada güzel anlatılmış basitçe.

www.hosting.com.tr

SSL Nedir, SSL Güvenlik Sertifikası Nasıl Çalışır? | Hosting.com.tr

SSL Nedir? SSL internet ortamında çok karşılaşılan kavramlardan biridir. Genellikle alışveriş sitelerinde oldukça sık rastlanmaktadır. SSL'in açılımı Secure Socket Layer'dır. Türkçe anlamıysa Güvenli Giriş Katmanı'dır. SSL kişisel gizlilik ve güvenilirlik sağlayan, network üzerindeki bilgi...
www.hosting.com.tr www.hosting.com.tr
Genişletmek için tıkla...
Yani şimdi diyelim ki e-devlet veya internet bankacılığına girdiğimde tarayıcı herhangi bir şekilde bu sitelerde girdiğim şifre, tc no'ya erişemez mi oluyor? Tarayıcı izinlerinde neden tüm verileri okuyabilir seçeneği niye var o zaman ? sonuçta bu şifreyi tarayıcıya girdiğim zaman otomatik olarak pop-up çıkıp şifrenin kaydedilip kaydedilemeyeceği soruluyor. E zaten tarayıcı bu veriyi okuyabiliyor. Benim bahsettiğim konu veri transeferindeki güvenlik değil hocam.

realknowledge dedi:
Tarayıcıların SSL bağlantı üzerinden şifre topladığını kim çıkardı bilmiyorum, varsa da benim haberim yok.

Google'a veri kaptırmamak için Chrome'u kullanmamak yeterli değil. Bağlandığın hemen hemen her sitede en az bir Google domainine bağlanıyorsun, bu da internet üzerinde hangi sitelere girdiğin verisinin ister istemez Google'in eline geçmesi demek. Asıl sorun arz eden kısım, uygulama üzerinden toplanan verilerin bazı üçüncü partilere kar amaçlı satılması. Opera bu yüzden önerilmiyor. Kapalı kaynak uygulamaların ne tür verileri topladığını görmenin bir yolu yok.
Genişletmek için tıkla...
Sen ne öneriyorsun hocam?
 
senna27 dedi:
Yani şimdi diyelim ki e-devlet veya internet bankacılığına girdiğimde tarayıcı herhangi bir şekilde bu sitelerde girdiğim şifre, tc no'ya erişemez mi oluyor? Tarayıcı izinlerinde neden tüm verileri okuyabilir seçeneği niye var o zaman ? sonuçta bu şifreyi tarayıcıya girdiğim zaman otomatik olarak pop-up çıkıp şifrenin kaydedilip kaydedilemeyeceği soruluyor. E zaten tarayıcı bu veriyi okuyabiliyor. Benim bahsettiğim konu veri transeferindeki güvenlik değil hocam.


Sen ne öneriyorsun hocam?
Genişletmek için tıkla...
Şifreli olarak tutuluyor. Bu şifrelemeyi de bildiğim kadarıyla Chrome değil Windows yapıyor. Mesela Senin şifren "123" ise bunu "krsbjg234235+956" gibi şifreleme şekline göre tutuyor.

CryptProtectData İstediğiniz herhangi bir rastgele veriyi şifrelemek için kullanılan bir Windows işlevi vardır . Aramanın detayları daha az önemli. Ancak, herhangi bir programlama diliyle bir şekilde deşifre edilebilecek sahte bir dil icat edersem, Chrome şöyle çağırır:
Kod: 
CryptProtectData(
{ cbData: 28, pbData: "correct battery horse staple" },
"The password for superuser.com and all the glee therein",
null, //optional entropy
null, //reserved
null, //prompt options
0, //flags
{ cbData: pbData: }); //where the encrypted data will go

Yani şifre:
  • Düz metin :correct battery horse staple
  • Şifreli :01000000D08C9DDF0115D1118C7A00C04FC297EB01000000BB0E1F4548ADC84A82EC0873552BCB460000000002000000000003660000C0000000100000006811169334524F33D880DE0C842B9BBB0000000004800000A00000001000000043C8E23979F5CC5499D73610B969A92A08000000EE07953DEC9F7CA01400000098B5F0F01E35B0DC6BBAFC53A9B1254AC999F4FA
Hiçbir zaman bir şifre vermem gerekmediğini fark edeceksiniz. Bunun nedeni, Windows'un bunların hepsine bakmasıdır. Sonunda:
  • şifreyi şifrelemek için rastgele bir şifre oluşturulur
  • bu şifre rastgele bir şifre ile şifrelenir.
  • bu şifre Windows şifrenizle şifrelenmiş
Yani birisinin şifrenizi bilmesinin tek yolu şifrenizi bilmesidir.
 

Benzer konular

Ragnar0007
İnternet tarayıcıları videoları bozuyor
Mesaj
1
Görüntüleme
168
Mehmet Kağan
Mehmet Kağan
İkr
Microsoft Edge veri topluyor mu?
2 3
Mesaj
21
Görüntüleme
2B
terzarima
T
Burkicannjr
İnternet tarayıcıları sürekli oturum kapatıyor!
Mesaj
4
Görüntüleme
251
Burkicannjr
Burkicannjr
Hof
En güvenilir internet tarayıcıları hangileri?
2
Mesaj
16
Görüntüleme
1B
Hof
Hof
Croz21
İnternet tarayıcıları "Başarısız - Ağ hatası" hatası veriyor
Mesaj
4
Görüntüleme
284
Croz21
Croz21

Yeni konular

Yeni mesajlar

Geri
Yukarı