Splync Güvenli mi? Neden HTTPS Kullanıyor

Splync MVP sürümüne ulaştığında, bazı arkadaşlarım uygulamayı gerçek hayatta test etti. E-posta ve şifreleriyle kaydolup projeler oluşturdular ve masraflar eklediler. Her şey birkaç küçük hata dışında oldukça iyi çalıştı. Ancak sordukları ilk soru tasarım, özellikler veya hızla ilgili değildi. Güvenlikle ilgiliydi. Günlük harcama kayıtları için Splync'e gerçekten güvenebilirler miydi? Bu adil ve önemli bir soru. Kişisel finans verileri oldukça hassastır ve bu verileri işleyen her uygulama güvenli olmalıdır.

Splync, kullanıcıların verileri bağlayabilmesi, projeleri paylaşabilmesi ve masrafları cihazlar arasında senkronize edebilmesi için internete ihtiyaç duyar. Bu, kaydettiğiniz her sayının ve dokunduğunuz her butonun sunucuya ulaşmadan önce web üzerinden iletildiği anlamına gelir. Koruma olmadan, aynı Wi-Fi ağında oturan herhangi biri bu trafiği sessizce izleyebilir. İşte bu yüzden Splync, HTTP yerine HTTPS kullanır.

HTTP (Hypertext Transfer Protocol) bir zamanlar İnternet üzerinden iletişim kurmanın standart yoluydu. Ancak ciddi bir kusuru vardı: bilgileri düz metin olarak gönderir. Sırlarınızı zarf yerine bir kartpostala yazmak gibi düşünün. Posta ofisi çalışanları, kurye, hatta bir pencereden bakan bir yabancı bile her kelimeyi okuyabilir. Eski “http” bağlantısı, web'in ilk günlerinde böyleydi. Çalışıyordu ama özel değildi. HTTPS, mesajınızı sadece siz ve resmi sunucunun açabileceği şifrelenmiş bir zarfın içine koyarak bunu düzeltir.

Splync'i açtığınızda, akıllı telefonunuz ve sunucumuz konuşmaya başlar—ama hemen güvenmezler. Önce, bir el sıkışma adı verilen küçük bir ritüel uygularlar. Bu, iki yabancının sırlarını paylaşmadan önce kimlik kartlarını değiştirmesine benzer. Bu el sıkışmada, telefonunuz sunucunun dijital sertifikasını kontrol eder, bu da onun gerçekten Splync olduğunu ve bizi taklit eden bir sahtekar olmadığını kanıtlar. Güven sağlandığında, her iki taraf da bu oturum için sadece kullanılan geçici bir gizli anahtar üzerinde anlaşır.

O andan itibaren, gönderdiğiniz her şey—giriş bilgileriniz, proje verileriniz, masraflarınız—bu anahtarla şifrelenir. Biri sinyali kesmeye çalışsa, su altında bağırılan bir konuşmayı okumaya çalışmak gibi rastgele karakterlerden başka bir şey göremezdi. Bu, uygulamayı her açtığınızda milisaniyeler içinde otomatik olarak gerçekleşir. Bunu asla göremezsiniz ama HTTPS sürekli gözetir ve özel verilerinizin özel kalmasını sağlar. Buna görünmez kalkan deriz: sessizce arka planda çalışır ama onsuz, İnternet hala açık bir kartpostal dünyası olurdu.

HTTPS'in neden önemli olduğunu anlamak için basit bir sahne hayal edin. Bir kafedesiniz, kahvenizi yudumlarken halka açık Wi-Fi ağında masraflarınızı kontrol ediyorsunuz. HTTPS olmadan, yaptığınız her dokunuş—e-posta adresiniz, şifreniz, hatta özel proje adları—hava yoluyla düz metin olarak iletilir. Yakındaki biri basit araçlarla bu bağlantıyı kesebilir ve her şeyi satır satır okuyabilir. Buna ortadaki adam saldırısı denir ve İnternet'in ilk günlerinde, çoğu web sitesi trafiğini hiç şifrelemediği için alarm verici derecede yaygındı.

Bugün, tarayıcılar bir site HTTPS ile korunmadığında kullanıcıları aktif olarak uyarıyor. Eğer bir web adresi "http://" ile başlıyorsa, hiçbir hassas bilgi girmemeye dikkat edin—bu, bağlantının şifrelenmediği anlamına gelir. Her zaman URL'nin "https://" ile başladığından ve yanında küçük bir kilit simgesi olduğundan emin olun. HTTPS'deki o küçük "S" Güvenli demektir ve tüm farkı yaratır. Bu, verinizin açık bir kartpostal yerine şifreli bir tünel içinde güvenle seyahat ettiğini söyler.

Genellikle görünmeyen bir uygulamanın URL'sini nasıl kontrol edeceğinizi merak edebilirsiniz. Modern uygulamalar yalnızca güvenli HTTPS istekleri aracılığıyla iletişim kurmak üzere tasarlanmıştır. Geliştiriciler uygulamanın kaynak kodunda tam sunucu adresini belirtir ve sistem, "http://" bağlantılarını otomatik olarak engeller. Örneğin, iPhone'da her uygulama varsayılan olarak HTTPS kullanmak zorundadır. Apple, geliştirici açıkça bir istisna talep etmedikçe, herhangi bir şifrelenmemiş iletişimi reddeden App Transport Security (ATS) adlı bir çerçeve ile bunu zorunlu kılar.

Akıllı telefonunuz, şifrelenmemiş herhangi bir bağlantıyı reddederek koruyucu görevi görür. Dolayısıyla, URL'yi hiç görmeseniz bile, Splync sunucumuza her bağlandığında, zaten aynı görünmez HTTPS kalkanından geçerek seyahat eder. HTTPS, cihazınız ile sunucumuz arasındaki yolu korur. Peki ya sunucunun kendisi? İşte burada bir sonraki konumuz SSH devreye giriyor.