Cookie (Çerezler) Nedir? Dikkat Etmezsek Ne Olur?
Merhaba,
Bu yazımızda başımdan geçen küçük ama bilgilendirme biliçlendirme adına büyük bir konudan bahsedeceğim. Başlıktan da anlaşılacağı üzere konumuz cookie… Ya da çerezler.
Cookie Nedir?
Cookie dijital dünyada ilk 1994’lü senelerde dünyaya gelmiştir. Web dünyasının gelişmesi ile birlikte web sayfalarının kullanıcının sayfaya girişlerini kontrol etmek için kullanılmaktaydı. Tabi ki 1980 sonrası her bilişim teknoloji gibi o da hızını alamadı. Ve günümüzde ki en büyük veri hırsızlıkları ve en önemli pazarlama stratejisine dönüştü.
Nasıl Çalışıyor Mantığı Nedir?
Bir kişinin internette sörf yapabilmesi için iki temel şeye ihtiyacı vardır. Birincisi tabi ki ağ. İnternet ağına çıkışını sağlayacak bir aygıt vb. İkincisi de bu internetin protokollerini tanımlayacak ve bunlara göre kullanıcının rahat kullanımını sağlayacak elbette ki tarayıcı.
Tarayıcı ile örneğin Chrome ile giriş yaptığınızda bir siteye, web sayfası sizin tarayıcıdan bir takım bilgiler istemektedir. Örneğin: cihaz bilgisi, ip adresi, mac adresi, o siteye ait kullanılan şifreler vb. Peki bunları ne yapıyor web sayfası? Bir daha ki bu sayfayı ziyaret etmenizde sizin hangi durumlarda ziyaret ettiğinizi, ne sıklıkla ve sitede en çok nelerle ilgilendiğinizi çıkarıyor. Özetle size ait metadata çıkarıyor.
MetaData nedir? Diyecek olursanız: Size ait direk olmayan ama çevresel bilgiler bütünüdür. Örneğin: Google Haritalar uygulaması sizin hastalandığınızı bilemez. Ama eczaneyi arattığınızda “Haa bu adam ilaç arıyor o halde hasta ve veya hasta yakını var!” der. İşte bu gibi mantıksal çıkarımlara metadata adı verilmektedir.
Peki Korsanlar Bunlarla Ne yapıyor?
Başımdan geçen bir olayla özetlemek isterim. Bir arkadaşım var, adı lazım değil baş harfi Z. Kendisi geçtiğimiz bir zaman içinde benden yardım istedi. İnstagramda fake bir hesabın kendisine yazdığını ve kim olduğunu öğrenmek istediğini iletti.
Ben tabi ki kapşonu geçirip hesabı ele geçirmedim. Çok daha mantıklı olanı, cookileri çalacak bir script yazdım PHP ile. (Buradan üniversitede ki PHP dersime giren ve beni bu nimet ile tanıştıran hocama selam olsun.) Ve temp bir sayfa geliştirip gizlenmiş bir link oluşuturup bu linke tıklatmasını sağladım.
Böylelikle elime geçen bilgiler:
- Cihaz bilgisi
- Tarayıcı bilgisi
- İp adresi ve konumu
- Mac adresi
- Cihazın işletim sistemi bilgisi.
- Forum şifreleri
- Operatör bilgisi
Elime geçti ve kendisine gerekli olanları bir not defterine çıkartıp kendisine verdim. Sonuç olarak Z’nin ne kadar işini gördü bilemem. Ama çıkarımlarla kesinlikle kim olduğunu bilebilecektir diye düşünüyorum. Ele geçirdiğim bilgilerden kimisini eksik vermem gerekliydi. Örneğin forum bilgileri.
Çünkü yasal düzenlemeler ile artık en ufak bir bilgi çalmak suç haline geldiği için ve karşı tarafı bilemediğim için hepsini vermedim. Dolayısıyla küçük bir linke tıklamak bu kadar ince bilgileri alıyorsa ve siz düzenli olarak tarayıcınızla Facebook giriş bilgileri, Twitter vb. mecraların giriş bilgilerini tutuyorsanız kesinlikle ama kesinlikle şifrelemeden kullanmayın.
Örneğin Mozilla Firefox ki ben çok kullanıyorum. Bir özelliği var, eminim diğerlerinde de vardır. Araştırmanız gerekli. Cookie bilgilerini şifreleyerek sizin belirlediğiniz bir anahtar ile ancak kırılabiliyor. Aslen bu durumda çok güvenli değil. Çünkü ekran kartı güçlü ise bir saldırganın 10 milyar anahtar denemesi sadece 5 gününü almakta ne yazık ki… Yani Brute Force… Dolayısıyla dikkat edin.
Genelde illegal siteler kendini belli eder, bu bir linke tıkladığınızda hop diğer linke atan sistemlerde emin olun ki alacaktır bu gibi bilgileri, böyle durumlar için private mode ile gezinin. Gizli sekmede gezinmek sizin çerez oluşturmanızı yani cookie oluşturmanızı önler ve çalınacak bir veride olmayacağı için sitelerde direk alamaz.
Aklınıza tabi ki şimdi şu soru geldi… “Lan biz bu siteye giriyoruz. Bizden neler alıyorsun?” Diyecek olursanız açıkçası ben alamıyorum. Çünkü blogger Google tarafından verilen bir hizmet. Ve bu hizmet içinde ben sadece sayfa tasarımını yapıyorum. Bu taslak ve görünüm bana ait sadece. Ki sayfa tasarımı ile veri çalınması mümkün değil. HTML/CSS yani, programladığım bir yer yok sayfa içinde.
Bol bilişimli günler 🙂
Everything is very open with a very clear clarification of the challenges.
It was definitely informative. Your website is useful. Thanks forr sharing!