Oturumları nasıl güvenli bir şekilde yönetirsiniz?

Question

Accepted Answer

**Oturum yönetimi**, kullanıcıları istekler arasında oturum açık tutmayı işler — ve bunu güvenli bir şekilde yapmak önemlidir, çünkü oturum açıklarından yararlanarak (ele geçirme, sabitleme) saldırganlar kullanıcıların kimliğine bürünebilir. Güvenli oturumlar doğru token işleme, çerez güvenliği ve yaşam döngüsü yönetimi içerir.

## Oturumlar nasıl çalışır

```text
After login, the server keeps a SESSION identifying the user across requests:
  → a SESSION ID (or token) is stored client-side (usually a cookie) and sent each request
  → the server uses it to know who the user is (without re-authenticating each time)
→ the session ID/token is effectively a key to the user's account → must be PROTECTED.
```

## Oturumları güvenli hale getirme

```text
✓ SECURE COOKIE flags for session cookies:
  → HttpOnly → JavaScript can't read it (protects against theft via XSS)
  → Secure → sent only over HTTPS (not plaintext)
  → SameSite → not sent on cross-site requests (mitigates CSRF)
✓ Strong, RANDOM, unpredictable session IDs (can't be guessed)
✓ Store session data server-side (or sign/encrypt tokens); transmit over HTTPS only
```

## Oturum yaşam döngüsü ve saldırılar

```text
✗ SESSION HIJACKING → stealing a session ID to impersonate the user (via XSS, network
  sniffing) → prevent with HttpOnly, HTTPS, secure handling
✗ SESSION FIXATION → attacker sets a known session ID, then the victim logs in with it →
  prevent by REGENERATING the session ID on login (privilege change)
✓ EXPIRE sessions → timeouts (idle + absolute); INVALIDATE on logout (server-side)
✓ Regenerate IDs on login/privilege change; allow users to revoke sessions
```

## Neden önemli

Güvenli oturum yönetimini anlamak önemlidir çünkü **oturumlar kullanıcıları kimlik doğrulamış durumda tutar ve oturum açıklarından yararlanarak saldırganlar kullanıcıların kimliğine bürünebilir**, bu nedenle bunları güvenli bir şekilde işlemek gereklidir ve bu değerli bir güvenlik bilgisidir.

Giriş sonrasında, sunucu bir oturum (genellikle bir çerezde bulunan oturum kimliği veya token aracılığıyla) tutar; bu kimlik kullanıcıyı istekler arasında tanımlamaya yarar ve yeniden kimlik doğrulaması yapmaz — ve bu oturum kimliği etkili bir şekilde **kullanıcının hesabının anahtarı** olduğundan, bunu korumak çok önemlidir.

Oturumları **güvenli hale getirmeyi** anlamak önemlidir: oturum çerezleri için **güvenli çerez bayraklarını** kullanmak — **HttpOnly** (JavaScript'in çerezleri okumasını önler, XSS aracılığıyla hırsızlığa karşı koruma), **Secure** (yalnızca HTTPS üzerinden gönderir), ve **SameSite** (siteler arası isteklerde göndermeyi önler, CSRF'yi hafifletir) — **güçlü, rastgele, tahmin edilemeyen oturum kimliklerini** kullanmak ve oturum verilerini güvenli bir şekilde depolamak.

Bu korumalar doğrudan oturum tokenini savunur.

**Oturum yaşam döngüsü ve saldırılarını** anlamak önemlidir: **oturum hijacking**'i (bir kullanıcının kimliğine bürünmek için oturum kimliğini çalmak, HttpOnly, HTTPS ve güvenli işleme ile önlenir), **oturum sabitleme**'yi (saldırganın kurban giriş yapmadan önce bilinen bir oturum kimliği ayarlaması, **giriş sırasında oturum kimliğini yeniden oluşturarak** önlenir) ve uygun yaşam döngüsü yönetimini (zaman aşımlarıyla oturumları sona erdirmek, oturum kapatma sırasında sunucu tarafında geçersiz kılmak, ayrıcalık değişiklikleri sırasında kimlikler yeniden oluşturmak ve oturum iptali yapabilmek).

Bu saldırıları ve bunların savunmalarını anlamak, saldırganların kullanıcı oturumlarını ele geçirmesini önlemek için gereklidir.

Oturumlar kullanıcıları kimlik doğrulamış durumda tuttuğu ve oturum açıklarından yararlanarak (hijacking, sabitleme) hesap kimliğine bürünülebildiği için, ve güvenli oturum yönetimi (güvenli çerez bayrakları, güçlü kimlikler, uygun yaşam döngüsü, giriş sırasında yeniden oluşturma) bunları önlediği için, ve bunu anlamak kimlik doğrulamış kullanıcıları korumak için gerekli olduğu için, güvenli oturum yönetimini anlamak — kullanıcıları oturum açık tutan oturumları korumak için pratik açıdan ilgili değerli güvenlik bilgisidir, saldırganların kullanıcıların kimliğine bürünmesine izin veren hijacking ve sabitleme saldırılarına karşı savunmak ve kimlik doğrulaması olan herhangi bir uygulamaya yönelik önemli bir konudur.