WebTrustEngine R50
TREN
KURUMSAL

Güvenlik

security.txt, sorumlu bildirim, statik sitenin duruşu ve pentest sınırı — garanti dili olmadan.

security.txt

Bu sitede /.well-known/security.txt şu anda YAYINLANMAZ. Nedeni dürüsttür: RFC 9116 dosyada zorunlu bir Contact alanı ister; doğrulanmış bir doğrudan kanal henüz yayınlanmadığı için standarda uyuyormuş gibi görünen sahte bir kayıt üretmiyoruz. Kanal yayınlandığı gün dosya eklenir ve bu bölüm güncellenir.

Dosyanın Expires alanı bilinçli olarak uzak bir tarihe kurulur ve süresi dolmadan yenilenir; süresi geçmiş bir security.txt, hiç olmamasından daha kötü sinyal verir. Canonical satırı, dosyanın tek resmî adresini sabitler — kopyaları değil, o adresi esas alın.

Sorumlu bildirim

İyi niyetli araştırmacıların bildirimleri memnuniyetle karşılanır: bulguyu, etkiyi ve yeniden üretim adımlarını yazın; kamuya açıklamadan önce makul bir düzeltme süresi tanıyın. Ödül programı taahhüdü verilmez; katkılar dürüstçe teşekkürle karşılanır.

Bildirimin yazgısı da şeffaftır: alındığında kısa bir teyit gider; incelendiğinde sınıfı söylenir — doğrulandı, yeniden üretilemedi ya da kapsam dışı; doğrulanan bulgu düzeltme penceresine bağlanır ve kapanışta size haber verilir. Sessizliğe düşen bildirim olmaz: en geç makul süre içinde bir durum cümlesi alırsınız. Bu döngü, sitenin kendi Dağıt-Doğrula ritminin güvenlik kanalındaki karşılığıdır. Döngünün amacı hız yarışı değil, öngörülebilirliktir: bildiren, sürecin neresinde olduğunu her an bilir. Aynı öngörülebilirlik site tarafında da geçerlidir: güvenlikle ilgili her sayfa değişikliği sürüm kaydına işlenir, böylece bu metnin hangi hâlini okuduğunuz hiçbir zaman belirsiz kalmaz. Güvenlik iletişiminde belirsizlik, açığın kendisi kadar maliyetlidir.

İyi bir bildirim üç şeyi içerir: etkilenen adres ya da dosya, gözlenen davranış ve mümkünse yeniden üretim adımları. Kamuya açık istismar kodu paylaşmadan, veri sızdırmadan ve hizmeti bozmadan yapılan her bildirim iyi niyetli sayılır ve öyle karşılanır. Şifreli iletişim tercihinizi, kanal yayınlandığında ilk mesajınızda belirtin; uygun yöntem birlikte kurulur.

İyi bir bildirim üç şey içerir: etkilenen adres, gözlenen davranış ve mümkünse yeniden üretim adımları. Karşılığında taahhüdümüz şudur: alındı teyidi, makul sürede değerlendirme ve düzeltme sonrası dilerseniz adınızla, dilerseniz anonim teşekkür. Bulguyu kamuya açmadan önce düzeltme penceresi tanımanız, ekosistemin ortak görgü kuralıdır.

Sitenin güvenlik duruşu

Site statiktir: sunucu tarafı kod, veritabanı, oturum ve form yoktur; bu, saldırı yüzeyini yapısal olarak küçültür. Dağıtım notları HTTPS yönlendirme, HSTS ve güvenlik başlıklarının barındırma katmanında uygulanmasını ister; canlı başlık notunu SecurityHeaders gibi bağımsız araçlar verir.

Statik duruş bakım gerektirmez anlamına gelmez: barındırma katmanındaki başlık reçetesi, sertifika yenilemesi ve alan adı kayıtları periyodik olarak canlıdan doğrulanır. Sitenin kendi Dağıt-Doğrula pratiği burada da uygulanır — üretici, kendi ilacını içer. Üçüncü taraf betik bulunmadığı için tedarik zinciri saldırı yüzeyi de yapısal olarak kapalıdır; eklenmeyen bağımlılık, güncellenmesi unutulacak bağımlılık değildir.

Pentest ve aktif tarama sınırı

WebTrustEngine bir sızma testi aracı değildir ve bu site için de pentest yapılmış iddiası taşınmaz. Bu alan adına yönelik aktif güvenlik testi yalnız yazılı yetkiyle yapılmalıdır; yetkisiz tarama ve yük testleri kötüye kullanım sayılır.

Sınırın ziyaretçiye bakan yüzü de nettir: bu sayfayı okuyor olmanız, siteye karşı test yetkiniz olduğu anlamına gelmez. Merakla yapılan küçük denemeler bile günlüklerde iz bırakır ve iyi niyet karinesini zayıflatır; doğru yol her zaman önce yazmaktır. Yetkili bir test planlıyorsanız kapsam belgesinin bir kopyasının bu kanala da iletilmesi, iki tarafı da korur: siz test sırasında engellenmezsiniz, site sahibi de trafiği doğru okur.

Bütünlük doğrulaması

İndirilen her belgenin SHA-256 değeri Kanıt Merkezi’nde yayınlanır; sitenin kendi dosya envanteri de manifest ve sağlama kayıtlarıyla paketlenir. Dosyanızın değiştirilmediğini bu değerlerle bağımsız doğrulayabilirsiniz.

Doğrulamanın adımları Kanıt Merkezi'nde üç platform için tek tek yazılıdır; komut satırına yabancıysanız bile bir dakikada uygulanabilir. Yayın anındaki değerlerle uyuşmayan bir dosyayla karşılaşırsanız — ki bu genellikle bozuk indirme demektir — dosyayı yeniden indirin; fark sürerse bildirin.

Doğrulama alışkanlığı yalnız belgeler için değildir: sitenin tamamı, dağıtım paketinde dosya-dosya sağlama listesiyle gelir. Aynayı ya da arşiv kopyasını kullanan biri, kökten tek komutla 'bu kopya resmî sürümle bit-bit aynı mı?' sorusunu yanıtlayabilir.

Ne garanti edilmez?

Bu sayfa bir güvenlik garantisi değildir: hiçbir sistem “tam güvenli” ilan edilemez. Buradaki taahhüt şeffaflıktır — ne yapıldığı, ne yapılmadığı ve bulguların hangi kanaldan ilerlediği açıktır.

Kapsam dışı örnekler

Liste sınırlayıcıdan çok örnekleyicidir; tereddütte kalan araştırmacı için kural basittir: emin değilseniz yine yazın — kapsam dışıysa nazikçe söylenir, kapsam içiyse süreç başlar. Yanlış sınıflandırılmış bir bildirim aleyhinize kayıt oluşturmaz; tek gerçek kapsam-dışı davranış, sormadan denemektir.

Şunlar güvenlik bulgusu sayılmaz ve bildirim gerektirmez: statik sitede zaten var olamayacak oturum/CSRF senaryoları, sosyal mühendislik denemeleri, üçüncü taraf e-posta sağlayıcısının kendi yapılandırması, salt hacimle servis dışı bırakma. Bunların dışında kalan her gerçek zayıflık için kanal açıktır.

Olay iletişimi

Doğrulanmış bir olay hâlinde etkilenen yüzey, alınan aksiyon ve düzeltme durumu bu sayfada güncellenir; abartısız, kanıta bağlı dille.

İletişimin ritmi de tanımlıdır: doğrulama sürerken "inceleniyor" denir ve tahmin paylaşılmaz; doğrulandığında etki ve aksiyon yazılır; kapandığında kök neden ve alınan kalıcı önlem eklenir. Üç aşamanın üçünde de dil aynıdır — kanıta bağlı, abartısız, tarih damgalı. Olay yoksa sayfa sessiz kalır; suni güncelleme güven üretmez.

'Abartısız dil' taahhüdünün ölçüsü de bellidir: etkilenen yüzey adıyla söylenir, etkilenmeyenler için güvence verilmez, kök neden bulunana kadar tahmin yazılmaz. Güvenlik iletişiminde en pahalı hata panik değil, sonradan düzeltilmek zorunda kalınan erken kesinliktir.

Kapsam: bu sayfa neyi kapsar, neyi kapsamaz?

Bu sayfa webtrustengine.com alan adını ve bu paketle dağıtılan statik dosyaları kapsar. Barındırma sağlayıcısının altyapısı, ağ katmanı ve alan adı kayıt sistemi kendi operatörlerinin sorumluluğundadır; oradaki bulgular için doğru adres ilgili sağlayıcının güvenlik kanalıdır — yine de bize yazarsanız yönlendirmeyi biz yaparız.

Kapsam dışı bir konu daha: bu sayfa, WebTrustEngine ürününün müşteri ortamlarındaki güvenlik taahhütlerini anlatmaz; o çerçeve hizmet sözleşmelerinde ve Teknik Güven Notu'nda yaşar.

Bağımlılık ve tedarik zinciri

Sitenin çalışma zamanında dış bağımlılığı yoktur: harici betik, font ya da API çağrısı bulunmaz. Bu, tedarik zinciri saldırı yüzeyini — üçüncü taraf betiğinin ele geçirilmesi gibi senaryoları — yapısal olarak dışarıda bırakır. Üretim araçları yalnız derleme anında kullanılır ve çıktı, dağıtımdan önce sağlama listesiyle sabitlenir.