Güvenlik Vibe'ları
Hızlı shippler için bile bilinmesi gereken security temelleri.
▸ 13 TERIM2FA
Two-Factor Authentication. MFA'nın 2 faktörlü hâli; çoğunlukla şifre + TOTP/SMS.
Access Token
API'a erişim için kullanılan kısa-ömürlü (genelde 1 saat) bearer token. JWT veya opaque olabilir.
CSRF
Cross-Site Request Forgery. Kullanıcının login session'ını başka bir site'den kötü niyetli action için kullanma. SameSite cookie + token defense.
CORS
Cross-Origin Resource Sharing. Tarayıcının başka origin'den gelen JS isteklerini kontrol etme mekanizması.
CSP
Content Security Policy header. Hangi script/style/image kaynağına izin verildiğini browser'a söyler. XSS'in en güçlü perdesi.
Clickjacking
Sayfanı şeffaf iframe ile başka site'nin altına gizleme; kullanıcı yanlış yere tıklar. X-Frame-Options + CSP frame-ancestors önler.
CVE
Common Vulnerabilities and Exposures. Bilinen her güvenlik açığına atanan unique ID (`CVE-2025-29927` gibi).
CVSS
Common Vulnerability Scoring System. Bir CVE'nin ciddiyetini 0-10 puanlama. >9 = kritik; mail içeriğin değişir.
Audit Log
Kim, ne zaman, neyi yaptı kayıt. SOC2 compliance + incident investigation için zorunlu.
ABAC
Attribute-Based Access Control. "Bu kullanıcı bu departmandan ve dosya hassasiyeti şu seviyedeyse" tarzı policy. RBAC'tan daha esnek, complexity yüksek.
ACL
Access Control List. Resource'a tek tek user/role yetki listesi. Linux'ta dosya izinleri; AWS S3'te bucket policies.
Bug Bounty
Şirketin güvenlik açığı bulanlara ödeme yaptığı program. HackerOne, Bugcrowd, Immunefi.
Adversarial Attack
Modeli yanıltacak şekilde input'a küçük ama amaçlı bozulma ekleme. Image classifier'lara klasik; LLM'lere de uyarlandı.