Güvenlik Vibe'ları.

Two-Factor Authentication. MFA'nın 2 faktörlü hâli; çoğunlukla şifre + TOTP/SMS.

API'a erişim için kullanılan kısa-ömürlü (genelde 1 saat) bearer token. JWT veya opaque olabilir.

Cross-Site Request Forgery. Kullanıcının login session'ını başka bir site'den kötü niyetli action için kullanma. SameSite cookie + token defense.

Cross-Origin Resource Sharing. Tarayıcının başka origin'den gelen JS isteklerini kontrol etme mekanizması.

Content Security Policy header. Hangi script/style/image kaynağına izin verildiğini browser'a söyler. XSS'in en güçlü perdesi.

Sayfanı şeffaf iframe ile başka site'nin altına gizleme; kullanıcı yanlış yere tıklar. X-Frame-Options + CSP frame-ancestors önler.

Common Vulnerabilities and Exposures. Bilinen her güvenlik açığına atanan unique ID (`CVE-2025-29927` gibi).

Common Vulnerability Scoring System. Bir CVE'nin ciddiyetini 0-10 puanlama. >9 = kritik; mail içeriğin değişir.

Kim, ne zaman, neyi yaptı kayıt. SOC2 compliance + incident investigation için zorunlu.

Attribute-Based Access Control. "Bu kullanıcı bu departmandan ve dosya hassasiyeti şu seviyedeyse" tarzı policy. RBAC'tan daha esnek, complexity yüksek.

Access Control List. Resource'a tek tek user/role yetki listesi. Linux'ta dosya izinleri; AWS S3'te bucket policies.

Şirketin güvenlik açığı bulanlara ödeme yaptığı program. HackerOne, Bugcrowd, Immunefi.

Modeli yanıltacak şekilde input'a küçük ama amaçlı bozulma ekleme. Image classifier'lara klasik; LLM'lere de uyarlandı.