Giriş

Bu makale Radisson güvenlik mimarisi başlığı altında, genel olarak bir otel zinciri veya benzeri büyük kurumsal web uygulamaları için kritik web güvenliği bileşenlerini —TLS, CORS ve İçerik Güvenlik Politikası (CSP)— nasıl değerlendirebileceğinizi ve hangi pratik önlemleri önceliklendireceğinizi anlatır. Önemli: Makale, Radisson markasının güncel altyapı konfigürasyonuna dair doğrudan bilgi iddia etmez; burada yer alan içerik genel rehber niteliğindedir.

Temel kavramlar ve neden önemli oldukları

Web uygulamalarında güvenlik katmanları birbirini tamamlar. TLS, ağ katmanında iletilen verinin şifrelenmesini sağlar; CORS, tarayıcıların farklı kaynaklardan gelen istekleri nasıl ele alacağını belirler; CSP ise istemci tarafında hangi kaynakların yüklenebileceğini sınırlar. Birlikte doğru yapılandırıldıklarında, uygulama kabul edilebilir risk seviyelerine yaklaşır ve istemci tarafı saldırı yüzeyi küçülür.

TLS incelemesi — neye bakılır?

TLS (Transport Layer Security) denetiminde genel beklentiler şunlardır:

• Protokol sürümü: Sunucunun TLS 1.2 veya tercihen TLS 1.3 destekleyip desteklemediği kontrol edilir; eski sürümlerin (ör. SSLv3/TLS 1.0/1.1) devre dışı bırakılması istenir.
• Perfect Forward Secrecy (PFS): ECDHE gibi anahtar değişim mekanizmalarının kullanılması istenir; bu, uzun vadeli anahtarların ele geçirilmesine rağmen geçmiş oturumların korunmasına yardımcı olur.
• Şifre takımları (cipher suites): Güçlü, modern şifre takımları tercih edilir; zayıf RSA-only veya RC4 içeren takımlar reddedilmelidir.
• Sertifika zinciri ve doğrulama: Sertifikanın geçerli süresi, Subject Alternative Name (SAN) kullanımı ve ara sertifikaların tam zincirinin sunulması incelenir. OCSP stapling gibi yanıt hızlandırma/şeffaflık mekanizmaları faydalıdır.
• HSTS: HTTP Strict Transport Security başlığının (HSTS) kullanımı, siteyi yalnızca HTTPS üzerinden erişilir kılar. En azından test ortamı dışındaki ana alanlarda HSTS uygulanması tavsiye edilir.

Denetim araçları: Tarayıcı geliştirici araçları (Security sekmesi), çevrimiçi TLS test servisleri ve komut satırı araçları (ör. openssl s_client, curl -I) kullanılarak hızlı bir ön değerlendirme yapılabilir.

CORS politikası — doğru yapılandırma nasıl olmalı?

CORS (Cross-Origin Resource Sharing) tarayıcı bazlı bir erişim kontrolüdür; sunucuların hangi kaynakların başka alan adlarından tarayıcı aracılığıyla çağrılabileceğini belirtmesine izin verir. Denetimde dikkat edilmesi gerekenler:

• Access-Control-Allow-Origin: Kaynağı açıkça sınırlamak en güvenli yaklaşımdır. Access-Control-Allow-Origin: * genel kaynaklar için uygun olabilir; fakat kimlik bilgisi (cookies/authorization) ile kullanılan uç noktalarda kesinlikle kullanılmamalıdır.
• Access-Control-Allow-Credentials: Eğer true ise, Access-Control-Allow-Origin başlığı * olamaz; bunun yerine güvenli bir beyaz liste veya istekte bulunan origin değerinin dinamik olarak yansıtılması tercih edilir.
• Ön uç talepleri (preflight): OPTIONS isteklerinin doğru karşılanması, gerekli Access-Control-Allow-Methods ve Access-Control-Allow-Headers değerlerinin dönülmesi gerekir.
• Vary başlığı: CORS yapılandırmasında, sunucu isteğe göre farklı Access-Control-Allow-Origin döndürebiliyorsa, Vary: Origin başlığının eklenmesi önbellek davranışını düzeltir.

Örnek güvenli model: Sunucu istekteki Origin değerini kontrol eder; izinli listede ise o origin'i Access-Control-Allow-Origin olarak döndürür; aksi takdirde header gönderilmez.

CSP incelemesi ve içerik koruma

Content Security Policy (CSP) istemci tarafında hangi kaynakların çalıştırılabileceğini veya yüklenebileceğini sınırlar. Denetimde bakılacak anahtar noktalar:

• Temel direktifler: default-src, script-src, style-src, img-src, connect-src, frame-ancestors gibi direktiflerin temel politikayı nasıl oluşturduğunu kontrol edin.
• 'unsafe-inline' ve 'unsafe-eval': Bu değerlerin kullanımı potansiyel risk taşır; mümkünse nonce veya hash tabanlı yaklaşımlar tercih edilmelidir.
• nonce/hash mekanizmaları: Sunucu tarafı ile üretilecek rastgele noncelar veya script/style hash'leri, betiklerin doğrulanmasını sağlar ve inline içeriğin güvenli kullanımına izin verir.
• Raporlama: report-uri veya modern report-to mekanizmaları ile ihlal raporlarının toplanması, politika hatalarının tespiti için yararlıdır.
• Frame-ancestors: Clickjacking'e karşı çerçeveleme kontrolü yapar; eğer sayfanın başka sitelerde embed edilmesi istenmiyorsa buna 'none' veya yalnızca belirli origin'ler izin verilmelidir.

Üçüncü parti scriptlerin kullanıldığı durumlarda Subresource Integrity (SRI) ile kaynakların bütünlüğü doğrulanabilir.

Diğer başlıklar ve çerez ayarları

• X-Content-Type-Options: nosniff — Tarayıcının MIME type tahminini engelleyerek içerik türü karışıklıklarını azaltır.
• Referrer-Policy — Hangi referer bilgisinin gönderileceğini kontrol eder; gereksiz bilgi sızmasını önlemek için politika sıkılaştırılabilir.
• Permissions-Policy (eski adıyla Feature-Policy) — Tarayıcı özelliklerinin hangi origin’ler tarafından kullanılabileceğini sınırlar.
• Set-Cookie — Secure, HttpOnly ve uygun SameSite ayarları oturum güvenliği için önemlidir. Oturum çerezi kapsamı ve yaşam süresi gözden geçirilmelidir.

Radisson benzeri bir siteyi denetleme: pratik adımlar

Aşağıdaki adımlar hızlı bir ön inceleme için uygundur. Bu adımlar canlı üretim ortamında uygulanacaksa önceden izin alınması ve etkilerinin değerlendirilmesi gerekir.

• 1. TLS incelemesi
  • Tarayıcı -> Geliştirici Araçları -> Security bölümünden sertifika zincirini ve bağlantı ayrıntılarını kontrol edin.
  • Komut satırı örneği: curl -I -sS https://www.radisson.com ile cevap başlıklarını alın ve Strict-Transport-Security başlığını arayın.
  • Daha derin analiz için güvenlik test servisleri veya openssl s_client -connect host:443 -servername host komutu kullanılabilir.
• 2. Başlık denetimi (headers)
  • curl -sS -D - https://www.radisson.com -o /dev/null ile tüm HTTP başlıklarını alın ve HSTS, CSP, X-Content-Type-Options, Referrer-Policy, Permissions-Policy gibi başlıkların varlığını değerlendirin.
• 3. CORS testi
  • Tarayıcı konsolunda farklı origin’lerden istek atarak Access-Control-* başlıklarının nasıl döndüğünü gözleyin.
  • Özellikle kimlik bilgilerinin (cookie/authorization) kullanıldığı uç noktalarda Allow-Origin olarak * değerinin olup olmadığını kontrol edin.
• 4. CSP doğrulaması
  • Sayfanın Content-Security-Policy başlığını inceleyin. Inline script/style kullanımı var mı, noncelar/hashler kullanılmış mı kontrol edin.
  • Varsa ihlal raporlarının nereye gönderildiğini (report-uri/report-to) not edin.

Uygulama rehberi: öncelikler ve kısa yol haritası

Bir güvenlik iyileştirme çalışmasına başlanırken takip edilebilecek öncelik sırası:

1. TLS: Eski protokolleri devre dışı bırakın, modern cipher takımlarını tercih edin, HSTS uygulayın.
2. Temel güvenlik başlıkları: X-Content-Type-Options, Referrer-Policy, Permissions-Policy, X-Frame-Options/CSP frame-ancestors eklenmeli.
3. CORS: Kimlik bilgisi içeren API uç noktaları için origin kontrolü ve Vary: Origin uygulayın.
4. CSP ve SRI: Kaynakların kontrolü için CSP oluşturun; üçüncü parti scriptlerde SRI kullanın ve ihlal raporlaması açın.
5. Operasyonel süreçler: Sertifika yenileme, otomatik testler, üçüncü parti içeriklerin periyodik gözden geçirilmesi ve izleme/alerting kurun.

Kapanış ve sınırlamalar

Bu rehber, Radisson güvenlik mimarisi adı altında genel öneriler, denetim adımları ve yapılandırma örnekleri sunar. Ancak buradaki bilgiler, doğrudan markanın uygulama içi konfigürasyonunu göstermemekte; gerçek sistem incelemesi için ilgili ekiplerle koordinasyon, erişim izinleri ve ayrıntılı penetrasyon testi gereklidir. Her önerinin uygulanması, sistem mimarisi ve iş gereksinimleri doğrultusunda değerlendirilmelidir.

İleri okumak için MDN ve OWASP gibi kaynaklar pratik referans sağlar: MDN — CORS, MDN — CSP, OWASP — Web Security.