Cookie Nedir, Nasıl Çalışır ve Ne Amaçla Vardır?

Cookie Nedir, Nasıl Çalışır ve Ne Amaçla Vardır?

Cookie (Çerez) Nedir? Cookie, bir web sitesini ziyaret ettiğinizde tarayıcınız aracılığıyla bilgisayarınıza veya mobil cihazınıza kaydedilen küçük bir metin dosyasıdır. Bu dosya, kullanıcının siteyi nasıl kullandığını ve belirli bilgileri depolayarak kullanıcı deneyimini geliştirmeyi amaçlar.

Nasıl Çalışır? Cookie’ler, kullanıcının tarayıcısı ile web sunucusu arasında bilgi alışverişi yaparak çalışır. Bir web sitesi ilk kez ziyaret edildiğinde, sunucu tarayıcıya bir cookie gönderir ve bu cookie, kullanıcının cihazına kaydedilir. Gelecekte aynı siteye tekrar ziyaret edildiğinde, tarayıcı bu cookie’yi sunucuya geri gönderir. Bu şekilde, site kullanıcının tercihlerini, oturum bilgilerini ve diğer ilgili verileri hatırlayabilir.

Ne Amaçla Vardır? Cookie’lerin birçok amacı vardır:

  1. Kullanıcı Oturumu Yönetimi: Kullanıcıların oturum açtığında bilgilerini hatırlamak ve oturum açık kaldığı sürece bu bilgileri saklamak.
  2. Kullanıcı Tercihlerini Saklama: Dil tercihleri, tema seçimleri gibi kullanıcı tercihlerinin saklanması.
  3. Kişiselleştirilmiş Reklamlar: Kullanıcının ilgi alanlarına göre hedeflenmiş reklamlar sunmak.
  4. Analitik ve Performans Takibi: Ziyaretçilerin siteyi nasıl kullandığı hakkında bilgi toplayarak site performansını artırmak.

Kaç Çeşit Cookie Vardır?

Cookie’ler genel olarak iki ana kategoriye ayrılır:

  1. Oturum (Session) Cookie’leri: Bu cookie’ler sadece kullanıcının tarayıcıyı kapatana kadar geçerlidir. Kullanıcı oturumu sona erdiğinde otomatik olarak silinirler.
  2. Kalıcı (Persistent) Cookie’ler: Bu cookie’ler belirli bir süre boyunca kullanıcı cihazında kalır. Bu süre, cookie’nin oluşturulduğu tarihten itibaren belirli bir tarihe kadar olabilir.

Bunlar dışında cookie’ler farklı işlevlere göre de sınıflandırılabilir:

  1. Zorunlu Cookie’ler: Web sitesinin temel işlevlerini gerçekleştirmesi için gereklidir.
  2. İşlevsel Cookie’ler: Kullanıcı tercihlerine göre siteyi kişiselleştirir.
  3. Analitik/Performans Cookie’leri: Ziyaretçilerin siteyi nasıl kullandığını anlamak ve site performansını iyileştirmek için kullanılır.
  4. Hedefleme/Reklam Cookie’leri: Kullanıcıya daha kişiselleştirilmiş reklamlar sunmak için kullanılır.

Cookie Hırsızlığı Nasıl Olur?

Cookie hırsızlığı, kötü niyetli bir kişinin kullanıcının cookie’lerini ele geçirerek bu bilgileri kötü amaçlar için kullanmasıdır. Bu genellikle “Cross-Site Scripting (XSS)” saldırıları veya “Man-in-the-Middle (MitM)” saldırıları ile gerçekleştirilir.

Cross-Site Scripting (XSS) Saldırıları XSS saldırılarında, saldırgan bir web sitesine zararlı bir kod enjekte eder. Kullanıcı bu siteyi ziyaret ettiğinde, zararlı kod çalışarak kullanıcının cookie bilgilerini saldırganın sunucusuna gönderir.

Man-in-the-Middle (MitM) Saldırıları MitM saldırılarında, saldırgan ve kullanıcı arasında iletişimi engeller ve bu iletişim üzerinden cookie bilgilerini çalar. Bu tür saldırılar genellikle şifrelenmemiş (HTTP yerine HTTPS) bağlantılar üzerinden gerçekleştirilir.

Cookie Üzerinden Hangi Siber Saldırılar Yapılabilir?

Cookie’ler, web sitelerinin kullanıcı deneyimini geliştirmek ve çeşitli işlevleri yerine getirmek için kullandığı yaygın araçlardır. Ancak, bu küçük veri dosyaları kötü niyetli aktörler tarafından siber saldırılar için de kullanılabilir. İşte cookie’ler üzerinden gerçekleştirilebilecek bazı yaygın siber saldırı türleri:

1. Oturum Çalma (Session Hijacking)

Tanımı: Oturum çalma, saldırganın kullanıcının oturum cookie’sini ele geçirerek kullanıcının oturumunu taklit etmesi sürecidir. Bu, saldırganın kullanıcı gibi davranarak sisteme erişim sağlamasına olanak tanır.

Nasıl Gerçekleşir?

  • XSS (Cross-Site Scripting): Saldırgan, bir web sitesine zararlı bir JavaScript kodu enjekte eder. Kullanıcı bu siteyi ziyaret ettiğinde, kod çalışarak oturum cookie’sini saldırganın sunucusuna gönderir.
  • MitM (Man-in-the-Middle): Saldırgan, kullanıcı ile sunucu arasındaki trafiği engelleyerek oturum cookie’sini çalar. Bu tür saldırılar genellikle şifrelenmemiş HTTP bağlantılarında gerçekleşir.

Sonuçları: Saldırgan, kullanıcının oturumunu ele geçirerek kişisel verilere, finansal bilgilere veya diğer hassas bilgilere erişebilir.

2. Kimlik Hırsızlığı (Identity Theft)

Tanımı: Kimlik hırsızlığı, saldırganın kullanıcının kimlik bilgilerini çalarak bu bilgileri kötü amaçlar için kullanmasıdır. Cookie’ler, kullanıcı kimliği ve diğer kişisel bilgileri içerebilir.

Nasıl Gerçekleşir?

  • Cookie Poisoning: Saldırgan, kullanıcının cookie’sini değiştirerek veya manipüle ederek bu cookie’nin sunucuya göndermesini sağlar. Sunucu, değiştirilmiş cookie’yi kabul eder ve saldırgan, kullanıcının kimliğiyle işlem yapabilir.

Sonuçları: Saldırgan, kullanıcının kimliğiyle sahte işlemler gerçekleştirebilir, finansal dolandırıcılık yapabilir veya kullanıcının kişisel bilgilerini çalabilir.

3. Yetki Yükseltme (Privilege Escalation)

Tanımı: Yetki yükseltme, saldırganın düşük seviyeli bir hesaptan yüksek yetkili bir hesaba geçiş yapmasını sağlayan bir saldırıdır.

Nasıl Gerçekleşir?

  • Cookie Manipülasyonu: Saldırgan, kullanıcıya ait cookie’leri analiz eder ve bu cookie’lerdeki değerleri değiştirir. Örneğin, bir kullanıcı rolü bilgisi içeren cookie, saldırgan tarafından yönetici rolüyle değiştirilebilir.

Sonuçları: Saldırgan, daha yüksek yetkilerle işlem yaparak sisteme zarar verebilir, veri çalabilir veya sistem yapılandırmalarını değiştirebilir.

4. CSRF (Cross-Site Request Forgery)

Tanımı: CSRF, kullanıcının bilgisi dışında yetkili olduğu bir web sitesinde zararlı eylemler gerçekleştirmesine neden olan bir saldırıdır.

Nasıl Gerçekleşir?

  • Sahte İstekler: Saldırgan, kullanıcının oturum açtığı bir siteye yönelik zararlı bir istek oluşturur ve bu isteği kullanıcıdan gerçekleştirmesini sağlar. Kullanıcı, farkında olmadan saldırganın oluşturduğu zararlı işlemi gerçekleştirir.

Sonuçları: Kullanıcının oturum bilgileri kullanılarak yetkisiz para transferleri, veri değişiklikleri veya diğer zararlı işlemler yapılabilir.

5. Cookie Forcing

Tanımı: Cookie forcing, saldırganın kullanıcının tarayıcısına önceden belirlenmiş zararlı cookie’leri yerleştirmesidir.

Nasıl Gerçekleşir?

  • Zararlı Cookie Yerleştirme: Saldırgan, çeşitli yöntemlerle (örneğin, sosyal mühendislik, zararlı web siteleri) kullanıcının tarayıcısına zararlı cookie’ler ekler. Bu cookie’ler, kullanıcının ziyaret ettiği web siteleri üzerinde zararlı işlemler gerçekleştirebilir.

Sonuçları: Kullanıcının tarayıcısına yerleştirilen zararlı cookie’ler, oturum açma bilgilerini çalabilir, kullanıcı hareketlerini izleyebilir veya kullanıcıyı zararlı web sitelerine yönlendirebilir.

6. Brute Force Attack on Cookies

Tanımı: Brute force saldırıları, saldırganın olası tüm kombinasyonları deneyerek doğru cookie değerine ulaşmaya çalışmasıdır.

Nasıl Gerçekleşir?

  • Kombinasyon Deneme: Saldırgan, cookie’nin belirli bir değerini tahmin etmeye çalışarak olası tüm kombinasyonları dener. Bu, genellikle zayıf veya tahmin edilebilir cookie değerlerine sahip sitelerde başarılı olabilir.

Sonuçları: Saldırgan, doğru cookie değerine ulaştığında kullanıcının oturumunu taklit edebilir ve kullanıcının yetkileriyle sisteme erişebilir.

Çerezler Üzerinden Veri Toplama Nasıl Olur?

Web siteleri, kullanıcıların davranışlarını izlemek ve analiz etmek için cookie’leri kullanır. Bu veri toplama işlemi şu şekilde gerçekleşir:

  1. Kullanıcı Davranışlarının İzlenmesi: Kullanıcının ziyaret ettiği sayfalar, tıkladığı bağlantılar, yaptığı aramalar gibi davranışlar cookie’ler aracılığıyla izlenir.
  2. Tercihlerin Saklanması: Kullanıcının dil tercihleri, giriş bilgileri gibi bilgiler cookie’ler aracılığıyla saklanır.
  3. Kişiselleştirme: Toplanan veriler, kullanıcının ilgi alanlarına göre içerik ve reklamlar sunmak için kullanılır.
  4. Analitik ve Performans: Site trafiği, ziyaretçi davranışları ve performans metrikleri gibi veriler analitik cookie’ler ile toplanır ve analiz edilir.

Çerezler ve KVKK Bağlantısı Nedir?

Türkiye’deki Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin işlenmesi, saklanması ve korunması ile ilgili kuralları belirler. Çerezler de kullanıcıların kişisel verilerini topladığı için KVKK kapsamında değerlendirilir.

KVKK Uyumlu Çerez Kullanımı

  1. Açık Rıza: Kullanıcıların, çerezlerin kullanımı ve kişisel verilerinin işlenmesi konusunda açık rızalarının alınması gereklidir.
  2. Aydınlatma Yükümlülüğü: Kullanıcılara çerezlerin ne amaçla kullanıldığı, hangi verilerin toplandığı ve bu verilerin nasıl işleneceği konusunda bilgilendirme yapılmalıdır.
  3. Veri Güvenliği: Toplanan verilerin güvenliğinin sağlanması ve yetkisiz erişimlere karşı korunması gereklidir.
  4. Veri Minimizasyonu: Sadece gerekli olan verilerin toplanması ve işlenmesi gereklidir.
  5. Veri İmha: Gereksiz hale gelen verilerin uygun yöntemlerle imha edilmesi gereklidir.

Secure Fors olarak, çerezler ve veri güvenliği konularında uzmanız. Web sitenizin çerez yönetimi ve veri güvenliği politikalarını KVKK ve diğer uluslararası standartlara uygun hale getirmek için profesyonel danışmanlık hizmetleri sunuyoruz.  Secure Fors olarak, çerezler ve veri güvenliği konularında sunduğumuz kapsamlı çözümlerle web sitenizin güvenliğini ve yasal uyumluluğunu sağlıyoruz. Daha fazla bilgi ve danışmanlık hizmetleri için bizimle iletişime geçebilirsiniz.

Sosyal medyada paylaş
Facebook
Twitter
LinkedIn
Telegram