Almanların İkinci Dünya Savaşı'nda geliştirdiği Enigma makinesi, mesajları yalnızca anahtarı bilenin çözebileceği bir sistemle çalışıyordu. O günden bu yana çok şey değişti — ama temelde değişmeyen bir şey var: Güvenli iletişim hâlâ "sadece ikimiz biliyoruz" ilkesine dayanıyor.

Şu an bir haber sitesini açtığında, arka planda tam olarak bu oluyor. Tarayıcın ile sunucu arasında milisaniyeler içinde bir el sıkışma gerçekleşiyor, bir anahtar belirleniyor, veri şifreleniyor. Sen farkında bile olmadan.

Peki F12'ye bassan ne görürsün?

HTTP ve HTTPS: "S" Harfinin Ağırlığı

HTTP, tarayıcının sunucuyla konuştuğu dildir. Ama bu konuşma başlangıçta tamamen açıktı — yani araya giren biri her şeyi okuyabilirdi. Şifreni, kredi kartını, yazdığın mesajı.

HTTPS'deki "S" harfi Secure, yani güvenli anlamına geliyor. Ama bu güvenlik nasıl sağlanıyor?

Şöyle düşün: Bir şifre belirledin, diyelim ki "abcd." Bunu 5 karakter öteleyerek "fghi" yapıyorsun. Bu dönüşümü yalnızca sen ve bilmesini istediğin kişi biliyor. HTTPS de bu mantıkla çalışıyor. Tarayıcın ile sunucu, bağlantı kurulmadan önce bir anahtar üzerinde anlaşıyor. Bu anahtarı yalnızca o ikisi biliyor. Araya giren biri veriyi görebilir ama okuyamaz — anahtarı yoktur.

Bu anlaşma sürecine TLS Handshake deniyor. Ve her HTTPS bağlantısında, siz farkında olmadan gerçekleşiyor.

TLS Handshake şöyle işliyor: Tarayıcın sunucuya bağlandığında önce "ben şu şifreleme yöntemlerini biliyorum" diyor. Sunucu "ben de şunu biliyorum, bunu kullanalım" diyor ve sertifikasını gönderiyor. Tarayıcın bu sertifikayı doğruluyor — tıpkı birinin kimliğine bakman gibi. Sonra ikisi birlikte, o bağlantıya özel tek seferlik bir anahtar üretiyor. Bu anahtar bir daha hiç kullanılmıyor. Yarın aynı siteye girsen, yeni bir anahtar üretiliyor. Bu yüzden biri bugünkü anahtarı ele geçirse bile yarınki konuşmayı okuyamıyor.

Pratik farkı görmek için şunu düşün: Bir siteye kayıt olurken tarayıcı "şifre önereyim mi?" diye soruyor ya — o şifre HTTPS sayesinde sunucuya şifreli gidiyor. HTTP'de ise düz metin olarak giderdi. Araya giren biri her şeyi okuyabilirdi.

Hatta şunu da eklemek gerekiyor: Şifreleme sadece bir tercih değil, yasal bir zorunluluk. KVKK ve GDPR kapsamında hassas veri taşıyan her sistem HTTPS kullanmak zorunda.

Bağlantı Güvenli — Ama Her Zaman Değil

Derste ilginç bir örnek gördük. gazi.edu.tr adresine girince her şey normaldi. Ama www.gazi.edu.tr yazınca tarayıcı şu uyarıyı verdi: "Bağlantı güvenli değil."

Neden? Çünkü HTTPS sertifikası yalnızca gazi.edu.tr için alınmıştı. www ekli versiyon sertifika kapsamı dışında kalmıştı.

Bu küçük bir teknik ayrıntı gibi görünebilir — ama kullanıcı açısından sonuç aynı: Tarayıcı "bu siteye güvenmiyorum" mesajı veriyor. Bir üniversitenin kurumsal sitesi için bu ciddi bir güvenlik açığı.

Request ve Response: Tarayıcı ile Sunucunun Diyaloğu

Şimdi biraz daha derine inelim. Bir web sayfasını açtığında aslında ne oluyor?

Basit bir benzetmeyle açıklayalım: Sen bir kafe garsonuna "bir kahve lütfen" diyorsun — bu bir Request (istek). Garson kahveyi getiriyor — bu bir Response (yanıt). Tarayıcıda da tam olarak bu oluyor.

  • Tarayıcı sunucuya soruyor: "hurriyet.com.tr'nin ana sayfasını ver"
  • Sunucu cevaplıyor ve yanıtın içine bir kod koyuyor:

Kod Anlamı 200 OK Her şey yolunda, veri geldi ✅ 304 Not Modified Değişmedi, önbellekten al ⚡ 404 Not Found Böyle bir şey yok ❌ 500 Server Error Sunucuda bir şeyler ters gitti 🔥

Bu kodlar soyut değil — F12'yi açtığında her satırda görüyorsun.

F12: Tarayıcının Gizli Penceresi

Teoride anlatılanları pratikte görmek için hurriyet.com.tr'yi açtım ve F12 tuşuna bastım. Network sekmesine geçtim ve sayfayı yeniledim.

İlk ekran görüntüsü — 123 istek:

Sayfayı açar açmaz 123 ayrı istek atılmıştı. Her biri bir şey istiyordu: Ana sayfa içeriği, görseller, reklamlar, yazı tipleri, analitik scriptler… Hepsi ayrı ayrı. Hepsi milisaniyeler içinde.

None

İkinci ekran görüntüsü — Headers detayı:

Listeden "anasayfa" satırına tıkladım. Sağda şunlar açıldı:

  • Request URL: https://api.bigpara.hurriyet.com.tr/doviz/headerlist/anasayfa — Hürriyet, döviz kurlarını ayrı bir API'dan çekiyordu. Haberleri okurken arka planda borsa verisi de geliyordu.
  • Request Method: GET — "Bana veri ver" isteği
  • Status Code: 304 Not Modified — "Bu veri değişmedi, önbellekten kullan"
  • Remote Address: 77.92.138.126:443–443 numaralı port, HTTPS'in adresi. HTTP olsaydı 80 olurdu.
None

Üçüncü gözlem — istek sayısı büyüyor:

İlk açtığımda 123 istek vardı. Birkaç dakika sonra tekrar baktım: 293 isteğe çıkmıştı. Sayfa görünürde duruyordu — ama arka planda hiç durmamıştı.

Listede dikkatimi çeken iki satır daha vardı: auction ve bid. Bunlar reklam alanlarının milisaniyeler içinde açık artırmayla satıldığı anlık sistemler. Sen bir haberi okurken, ekranın köşesindeki reklam alanı için onlarca reklam sunucusu arasında anlık bir ihale yapılıyor.

Dördüncü ekran görüntüsü — "Bağlantı güvenli":

Adres çubuğunun yanındaki simgeye tıkladım. Şu mesaj çıktı:

"Bilgileriniz, örneğin şifreler ve kredi kartı numaraları, bu siteye gönderilirken gizli olur."

None

Enigma'nın modern hali. Anahtarı yalnızca tarayıcın ve sunucu biliyor.

Çerezler: Seni Hatırlayan Küçük Notlar

Bir siteye girdiğinde tarayıcın küçük bir not alır: "Bu kullanıcı buraya geldi, şunu yaptı." Buna cookie yani çerez deniyor.

Faydalı tarafı: Her seferinde şifre girmek zorunda kalmazsın, sepetindeki ürünler kaybolmaz, tercihlerini hatırlıyor.

Ama bir de şu var: Milli maçta gol atılınca Instagram ve X'te yemek siparişi reklamlarının çıkması tesadüf değil. Çerezler ve takip pikselleri sayesinde platformlar ruh halini bile tahmin etmeye çalışıyor — keyiflisin, harcarsın.

Güvenlik açısından ise şunu bilmek gerekiyor: Çerezler çalınabilir. Birisi oturum çerezini ele geçirirse, şifreni bilmeden hesabına girebilir. Buna session hijacking deniyor. Bu yüzden güvenilmeyen ağlarda (örneğin halka açık WiFi) önemli hesaplara giriş yapmak riskli.

Şöyle düşün: Bir siteye giriş yaptığında sunucu sana "sen kimsin" diye sormayı bırakıyor — çünkü tarayıcında bir oturum çerezi var. Sunucu bu çerezi görünce "ah, bu kişiyi tanıyorum" diyor. Ama bu çerezi ele geçiren biri, aynı tanıma sistemini kendi lehine kullanabiliyor. Şifren çalınmıyor — ama hesabına giriliyor. Bu yüzden bankacılık işlemlerinden sonra "çıkış yap" butonu sadece bir kibarlık değil, o oturum çerezini geçersiz kılmanın yolu.

Sonuç: Artık Tarayıcıma Farklı Bakıyorum

Bu lab'dan önce bir web sayfası açmak benim için tek bir eylemdi: tıkla, yüklensin.

Şimdi biliyorum ki o "yüklenme" anında onlarca sistem birbiriyle konuşuyor. Şifreler, anahtarlar, statü kodları, reklam ihaleleri, çerez notları… Hepsi milisaniyeler içinde, sessizce.

Enigma'yı 1940'larda yalnızca savaşanlar kullanıyordu. Şimdi her gün, her cihazda, arka planda çalışıyor. Ve F12'ye basarak onu izleyebiliyorsun.

Bu yazı, Web Güvenliği ve Tarayıcı Dedektifliği konusunu keşfetmek amacıyla hazırlanmıştır. Lab çalışması hurriyet.com.tr üzerinde gerçek zamanlı olarak gerçekleştirilmiştir.