Bir zamanlar internette bir sayfanın sonuna gelmek, bir kitabın kapağını kapatmak gibiydi. Şimdi ise Instagram, TikTok veya X (Twitter) gibi platformlarda “son” diye bir kavram kalmadı. Peki, bu dipsiz kuyu nasıl çalışıyor ve bizi nasıl etkiliyor? İşte bu dijital labirentin anatomisi.

1. Algoritmanın Arkasındaki “Dipsiz Çorba” Etkisi

Sonsuz kaydırma, içeriğin kullanıcı aşağı indikçe otomatik olarak yüklendiği bir kullanıcı arayüzü tasarımıdır. Tasarımın yaratıcısı Aza Raskin, bu mekanizmayı geliştirirken amacının kullanıcı deneyimini akıcı hale getirmek olduğunu söylemişti; ancak daha sonra bu buluşun “dijital kokain” gibi çalıştığını itiraf ederek pişmanlığını dile getirdi.

Bu sistem, psikolojideki “Durma İpucu” (Stopping Cue) eksikliğinden yararlanır. Gazete okurken sayfa biter, yemek yerken tabak boşalır. Ancak sonsuz kaydırmada bir bitiş çizgisi yoktur; bu da beynin “dur ve değerlendir” sinyalini devre dışı bırakır.

2. Dopamin ve Değişken Ödül Mekanizması

Sonsuz kaydırma algoritmaları, kumar makineleriyle (slot makineleri) aynı psikolojik temele dayanır: Değişken Oranlı Ödül.

• Ekranı her kaydırdığınızda karşınıza ne çıkacağını bilmezsiniz.
• Bazen sıkıcı bir reklam, bazen de çok komik bir video gelir.
• İşte o “bir sonraki harika içerik” ihtimali, beyninizde sürekli bir dopamin salgısına neden olur.

Bu döngü, beyni bir tür “avcı-toplayıcı” moduna sokar. Sürekli yeni ve ödüllendirici bir bilgi arayışı, mantıklı düşünme yetimizi gölgeler.

3. Sonsuz Kaydırmanın Görünmez Zararları

Bu teknoloji sadece vaktimizi çalmıyor, aynı zamanda bilişsel ve psikolojik sağlığımızı da erozyona uğratıyor:

Bilişsel Aşırı Yükleme ve Dikkat Dağınıklığı

Sürekli yeni bilgiye maruz kalmak, beynin “çalışma belleğini” doldurur. Sonuç? Okuduğumuz hiçbir şeyi derinlemesine kavrayamayan, odaklanma süresi bir Japon balığından daha kısa bir zihin yapısı.

Karar Yorgunluğu

Her kaydırma, beynin “Buna bakmalı mıyım?”, “Beğenmeli miyim?” gibi binlerce mikro karar vermesine neden olur. Bu da gün sonunda zihinsel olarak tükenmiş hissetmemize yol açar.

Yankı Odaları ve Algı Manipülasyonu

Algoritma, sizin neyi sevdiğinizi öğrenir ve size sadece onu gösterir. Bu durum, sizi farklı fikirlerden izole eder (Filter Bubble) ve dünya görüşünüzü daraltarak radikalleşmeye zemin hazırlar.

Uyku ve Fiziksel Sağlık

“Yatmadan önce son bir kez bakayım” cümlesi, genellikle iki saatlik uykusuzlukla sonuçlanır. Mavi ışığın melatonin üzerindeki etkisi bir yana, sürekli dopamin uyarımı beynin uykuya geçişini imkansızlaştırır.

4. Dijital Prangadan Kurtulmak Mümkün mü?

Tamamen çevrimdışı olmak bir çözüm olmayabilir, ancak kontrolü geri almak için şu adımlar atılabilir:

Dijital Anayasa

Belirli bir platformun bağımlısı olmamak, dijital savunma hattını kurmak için en doğru zaman. “Dipsiz kuyu” sadece bir uygulama tasarımı değil, bir dikkat ekonomisi stratejisidir. Bu yüzden bizim stratejimiz de “Bütünsel Dijital Hijyen” üzerine kurulu olmalı.

İşte tüm platformlarda kontrolü elinde tutmanı sağlayacak 3 Katmanlı Savunma Stratejisi:

1. Katman: Cihaz Seviyesinde Engeller (Fiziksel Bariyerler)

Algoritmalar sürtünmesiz bir deneyim ister. Bizim görevimiz, araya bilinçli “sürtünmeler” eklemek.

• Gri Tonlama Modu (Grayscale): Instagram ve TikTok gibi platformlar renk psikolojisini (kırmızı bildirimler, canlı renkler) dopamin tetiklemek için kullanır. Ekranı siyah-beyaz yapmak, içeriğin “lezzetini” alır ve seni uygulamadan soğutur.
• Ana Ekran Temizliği: Sosyal medya uygulamalarını ana ekranından kaldır. Onları bir klasörün içine, en son sayfaya sakla. Uygulamaya ulaşmak için “arama” çubuğunu kullanmak zorunda kalman, beynine “Gerçekten girmek istiyor musun?” sorusunu sorması için zaman tanır.
• Bildirim Diktatörlüğüne Son: Sadece gerçek insanlardan gelen mesajlar için bildirim aç. Beğeniler, “X kişisi şunu paylaştı” gibi dürtüklemeler tamamen kapalı olmalı.

2. Katman: Psikolojik “Durma İpuçları” Oluşturma

Sonsuz kaydırmanın en büyük silahı, zaman algını yok etmesidir. Bunu şu yöntemlerle kırabilirsin:

• “Neden Buradayım?” Testi: Bir uygulamayı açmadan önce kendine şu üç sorudan birini sor:
  1. Belirli bir şeyi mi arıyorum?
  2. Birine cevap mı vereceğim?
  3. Sadece canım mı sıkıldı? (Cevap buysa, 5 dakika süre sınırı koy).
• Fiziksel Çapalar: Sosyal medyada gezinirken ayakta durmak veya tek ayak üzerinde durmaya çalışmak gibi rahatsız edici pozisyonlar dene. Beynin rahatsızlık hissettiğinde, “kaydırma” büyüsü bozulur.
• Bölümlendirilmiş Zaman (Time Boxing): “Günün her anı bakabilirim” yerine, “Sadece akşam 19:00 – 19:30 arası bakacağım” kuralını koy.

3. Katman: Algoritmayı Terbiye Etmek (Aktif Direniş)

Algoritma senin neyi sevdiğini değil, neye uzun süre baktığını ölçer. Onu yanlış besleyerek şaşırtabilirsin:

Altın Kural: Eğer bir platformda “son” (End of Feed) yazısını görmüyorsan, o platform senin için çalışmıyordur; sen o platform için çalışıyorsundur.

Bu stratejileri bir “dijital anayasa” gibi düşünebilirsin. Her hafta birini uygulamaya koymak, birden hepsini denemekten daha kalıcı sonuçlar verir.

Özetle: Sonsuz kaydırma, bizi içeriğin tüketicisi değil, içeriğin kendisinin ürün olduğu bir ekonomi içinde tutmak için tasarlanmıştır. Algoritma sizin ilginizi değil, vaktinizi ister.

The post Sonsuz kaydırma Algoritmaları ve Neden Önlem Alınmalı appeared first on Ali Karahisar.

What is SQL Injection?

SQL injection (SQLi) is like a security breach where malicious users exploit software vulnerabilities. When you input your username and password into a login page, the system may mistakenly check if someone else exists with those details instead of verifying your account directly. This happens because of improper handling of user inputs in database queries.

Why It’s a Problem

SQLi is dangerous because it lets attackers access data they shouldn’t. If a hacker can exploit a vulnerable system, they might gain control over sensitive info, leading to identity theft or financial fraud. It’s like leaving a back door open in your home—uninvited guests could walk right in.

How to Protect Against SQL Injection

Preventing SQLi requires careful handling of user data. Always use parameters when writing database queries. For example, instead of inserting user data directly into the database without validation, use prepared statements. In PHP, this might look like using mysqli Prepare Statements to safely input values.

Here’s an example in PHP:

// Bad practice: vulnerable to SQL injection
$user = $_GET['user'];
$password = $_GET['pass'];
$sql = "SELECT * FROM users WHERE username='$user' AND password='$password'";
$result = mysqli_query($db, $sql);

In this code, user inputs are directly inserted into the query. Attackers can manipulate these inputs to gain access.

// Safer practice: using parameters
$user = $_GET['user'];
$password = $_GET['pass'];
$stmt = mysqli_prepare($db, "SELECT * FROM users WHERE username=? AND password= ?");
mysqli_stmt_bind_param($stmt, 'ss', $user, $password);
$result = mysqli_execute($db, $stmt);

Here, inputs are enclosed in ? placeholders and bound securely. Attackers can’t easily inject malicious code.

Avoid Dynamic SQL

Dynamic SQL, where queries are built at runtime using user input, is risky. Instead of hardcoding all possible queries, use parameterized statements to limit what users can influence.

Use ORMs (Object-Relational Mapping)

Frameworks like Laravel or Symfony come with ORM tools that help build safe queries by abstracting database interactions. These tools can reduce the risk of SQLi by handling parameterization automatically.

Additional Tips

• Encrypt Communication: Use SSL/TLS to encrypt data in transit, making it harder for attackers to intercept.
• Security Headers: Implement headers like Content Security Policy to restrict what can be executed on the server side.

Stay Updated and Test

Regularly update your software and test for vulnerabilities. Tools like Burp Suite or SQLMap can help find weaknesses without needing technical expertise.

Conclusion

Preventing SQL injection is crucial for protecting sensitive data. By using parameters, avoiding dynamic SQL, and employing ORMs, you can safeguard your applications. Remember, staying informed and proactive is the best defense against these threats. Keep it safe online!

The post SQL Injection: A Friendly Guide to Understanding the Threat appeared first on Ali Karahisar.

Daha önce de SOLID Prensiplerini anlatmıştım. O konu hakkında da SOLID Prensipleri ile Daha İyi Yazılım Tasarımı adlı yazımdan bilgi alabilirsin.

ACID Nedir?

ACID, veritabanı işlemlerinin güvenilir olmasını sağlayan dört temel özelliği ifade eder:

• Atomicity (Atomiklik) – İşlemler ya tamamen gerçekleşir ya da hiç gerçekleşmez.
• Consistency (Tutarlılık) – Veriler her zaman geçerli ve doğru kalır.
• Isolation (İzolasyon) – Aynı anda çalışan işlemler birbirini etkilemez.
• Durability (Kalıcılık) – Tamamlanan işlemler, sistem çökse bile kaybolmaz.

Şimdi her bir prensibi tek tek inceleyelim.

1. Atomiklik (Atomicity)

Atomiklik, bir işlemin ya tamamen gerçekleşmesini ya da hiç gerçekleşmemesini garanti eder. Eğer bir işlem tamamlanmadan hata oluşursa, tüm değişiklikler geri alınır.

Örnek: Banka Transferi

Bir hesaptan diğerine para transfer ettiğinde, para gönderici hesaptan düşer ve alıcı hesaba eklenir. Eğer sistem, parayı gönderen hesaptan düşüp alıcıya ekleyemezse, hesaplar arasında dengesizlik oluşur. İşte bu yüzden atomiklik ilkesi gereklidir.

Örnek Uygulama

Connection conn = DriverManager.getConnection(url, user, password);
try {
    conn.setAutoCommit(false);
    
    Statement stmt = conn.createStatement();
    stmt.executeUpdate("UPDATE hesaplar SET bakiye = bakiye - 100 WHERE id = 1");
    stmt.executeUpdate("UPDATE hesaplar SET bakiye = bakiye + 100 WHERE id = 2");
    
    conn.commit();
} catch (Exception e) {
    conn.rollback();
    e.printStackTrace();
} finally {
    conn.close();
}

Bu kod, işlemi atomik hale getirir. Eğer bir hata oluşursa rollback() fonksiyonu tüm değişiklikleri geri alır.

2. Tutarlılık (Consistency)

Tutarlılık, verilerin her zaman doğru ve kurallara uygun olmasını sağlar. Eğer bir işlem veritabanının bütünlüğünü bozuyorsa, işlem başarısız olur.

Örnek: Stok Yönetimi

Bir müşteri sipariş verdiğinde, sistem stoğu otomatik olarak günceller. Eğer sipariş edilen ürün stokta yoksa, işlem gerçekleştirilmez. Böylece tutarsız bir durum oluşmaz.

3. İzolasyon (Isolation)

İzolasyon, aynı anda çalışan işlemlerin birbirini etkilemesini engeller. Bu sayede her işlem, diğer işlemler tamamlanana kadar kendi başına çalışır.

Örnek: Banka Bakiye Güncelleme

Bir müşteri hesabını kontrol ederken, başka bir müşteri aynı hesaba para yatırıyorsa, bakiye bilgisi doğru görünmelidir. Eğer izolasyon sağlanmazsa, müşteri yanlış bakiye bilgisi görebilir.

İzolasyon Seviyesi Ayarlama

conn.setTransactionIsolation(Connection.TRANSACTION_SERIALIZABLE);

Bu kod, işlemlerin birbirinden tamamen bağımsız çalışmasını sağlar.

4. Kalıcılık (Durability)

Kalıcılık, başarılı bir işlemin sistem çökse bile kaybolmamasını garanti eder. İşlem tamamlandıktan sonra veriler güvenli bir şekilde saklanır.

Örnek: E-Ticaret Siparişleri

Bir müşteri sipariş verdiğinde, elektrik kesintisi olsa bile sipariş bilgileri kaybolmaz. Sipariş tamamlandıktan sonra veritabanına yazılır ve güvence altına alınır.

Kalıcılığı Sağlama

conn.commit();

Bu işlem, verinin veritabanında kalıcı hale gelmesini sağlar.

Sonuç

ACID prensipleri, veritabanı işlemlerinin güvenli, tutarlı ve hatasız olmasını sağlar. Eğer sağlam bir sistem geliştirmek istiyorsan, bu prensipleri mutlaka uygulamalısın.

Bu konu hakkında düşüncelerin neler? Aşağıya yorum bırakabilir veya sorularını paylaşabilirsin!

The post ACID Programlama Prensipleri: Veritabanlarında Güvenilirlik ve Tutarlılık appeared first on Ali Karahisar.

Smishing Nasıl Çalışır?

Dolandırıcılar, smishing saldırılarıyla genellikle bir banka, kargo şirketi ya da resmi bir kurumdan geliyormuş gibi görünen SMS mesajları gönderir. Bu mesajlar, kullanıcılara acil bir işlem yapmaları gerektiğini ya da ödül kazandıklarını bildirir. Mesajda yer alan bir linke tıklamanız istenir. Tıkladığınızda, sahte bir web sitesine yönlendirilirsiniz. Bu sahte site, sizden kredi kartı bilgilerinizi, şifrenizi ya da diğer hassas verilerinizi girmenizi talep eder. Bu bilgileri girdiğinizde, dolandırıcılar bu verilere anında erişim sağlar.

Bir kargo firmasının adını kullanan smishing örneği

Smishing Saldırılarının Özellikleri

Gerçekçi Görünen Mesajlar

Smishing mesajları, genellikle bankalar, kargo şirketleri, resmi kurumlar gibi güvenilir görünen kaynaklardan geliyormuş gibi görünür. Bu mesajlar, acil bir işlem yapılması gerektiğini, hesap bilgilerinizin güncellenmesi gerektiğini veya bir ödül kazandığınızı belirtebilir.

Kısa ve Öz İletiler

Mesajlar genellikle kısa ve acil bir eylem gerektirdiği izlenimini verir. Bu, kullanıcının paniğe kapılarak hızlı bir şekilde hareket etmesine neden olacaktır.

Linkler ve Telefon Numaraları

Smishing mesajları, genellikle sizi bir web sitesine yönlendiren bir link veya bir telefon numarası içerir. Bu linkler, zararlı web sitelerine yönlendirebilir veya kişisel bilgilerinizi çalmaya yönelik formlar içerebilir.

Smishing’in Tehlikeleri Nelerdir?

Smishing saldırıları, kullanıcıların kişisel ve finansal bilgilerini ele geçirme amacı güder. Bu tür saldırılar sonucunda, kimlik hırsızlığı, banka hesaplarının boşaltılması ya da kredi kartı bilgilerinizin kötüye kullanılması gibi ciddi sorunlarla karşılaşabilirsiniz. Ayrıca, dolandırıcılar sizin adınıza başka dolandırıcılıklar da gerçekleştirebilir. Bu durum, sadece maddi kayıplara değil, aynı zamanda itibar kaybına da yol açabilir. Aklınızda “belgelerim ya da resimlerim saldırganın eline geçer mi?” gibi bir soru varsa eğer; Cevabı da siz yüklemediğiniz sürece HAYIR.

Belgeler ve Resimler

Şimdi; öncelikle sakin. Belgeleriniz ve resimleriniz güvende, içiniz rahat olsun. Peki neden? Çünkü; belgeleriniz ya da resimlerini siz özellikle yüklemezseniz tarayıcı üzerinden alamazlar. Buna işletim sistemleri de tarayıcılar da izin vermeyecek. Çok küçük ama güvenlik için büyük nimet. Bu gibi bir durumun gerçekleşme ihtimali var mı derseniz; Evet. Ama henüz böyle bir uygulama açığı, mobil ya da kişisel bilgisayar işletim sistemi açığı bilmiyoruz. Zaten böyle bir açık olsa bile, yine mobil yani telefon işletim sistemlerinde yine bir nebze zor olacaktır. Çünkü dediğim gibi uygulama kurulması gerekecektir.

Smishing Saldırılarından Nasıl Korunursunuz?

Smishing saldırılarından korunmak için dikkat etmeniz gereken bazı önemli noktalar var. Öncelikle, tanımadığınız ya da beklemediğiniz bir numaradan gelen mesajlara şüpheyle yaklaşmalısınız. Bankalar ya da resmi kurumlar, SMS yoluyla kişisel bilgilerinizi talep etmez. Böyle bir talep aldığınızda, mesajdaki linke tıklamak yerine doğrudan ilgili kurumun resmi web sitesini ziyaret edin ya da telefonla ulaşarak durumu doğrulayın.

Ayrıca, güvenlik yazılımlarını kullanmak da smishing saldırılarına karşı koruma sağlar. Akıllı telefonunuza yükleyeceğiniz bir güvenlik yazılımı, zararlı linkleri tespit edebilir ve sizi uyarabilir. Son olarak, farkındalık sahibi olmak, smishing gibi siber tehditlerle başa çıkmanın en etkili yoludur. Siber güvenlik konusunda güncel kalın ve sevdiklerinizi de bu konuda bilinçlendirin.

Başlıklar halinde incelemek gerekirse;

Bilinmeyen Mesajlara Dikkat

Tanımadığınız veya beklemediğiniz bir numaradan gelen mesajlardaki linklere tıklamaktan kaçının.

Resmi Kanalları Kullanın

Banka veya resmi bir kurumdan geldiğini iddia eden bir mesaj alırsanız, doğrudan bu kurumun resmi web sitesi veya telefon numarası üzerinden iletişime geçin.

Kişisel Bilgilerinizi Paylaşmayın

Hiçbir güvenilir kurum SMS yoluyla şifre veya kimlik bilgisi talep etmez. Böyle bir talep alırsanız, bu büyük olasılıkla bir dolandırıcılık girişimidir.

Güvenlik Yazılımları Kullanın

Akıllı telefonunuza güvenlik yazılımları kurarak bu tür saldırılara karşı koruma sağlayabilirsiniz.

Sonuç

Sonuç olarak, smishing dolandırıcılığı, siber suçluların en yaygın kullandığı yöntemlerden biridir. Dikkatli olmanız, şüpheli mesajları ciddiye almamanız ve gerekli önlemleri almanız, bu tür saldırılardan korunmanıza yardımcı olacaktır. Unutmayın, siber güvenlik bireysel sorumluluklarla başlar.

The post Smishing ile Dolandırıcılık: SMS ile Gelen Tehlike appeared first on Ali Karahisar.

Yaşanan hack girişimleri ile beraber ister istemez bizlerin de bazı bilgileri sızdırılan bilgiler (leaked data) arasında yer alıyor. Bunların en başında ise mail adresi, şifre gibi kombinasyonlar var. Ancak yemeksepeti örneğinde olduğu gibi adres vb. Bilgiler de ne yazık ki sızdırılmış veriler arasında yer alıyor. Hatta deepweb üzerinde ücretsiz bir şekilde 40+ milyon Türkiye Cumhuriyeti vatandaşının bilgilerinin olduğu bir postgreSQL dump (yani bu kadar kişinin verisine sahipsiniz demek aslında) mevcut. Bu arada bu veriler içerisinde TCKN, Adres, Aile Bilgileri gibi Mernis üzerinden sağlanan bilgiler var. Mernis nedir? diye soracak olursanız, Merkezi Nüfus İdare Sistemi demek. Mernis hakkında bilgiye ise, Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü’nün internet sitesi üzerinde yer alan Mernis sayfasından ulaşabilirsiniz.

Veri sızıntısı hangi verilerimi içeriyor?

Yapılan saldırılarda mail adresim yer alıyor mu? Peki, bu sorunun cevabını nasıl öğreneceğim?

Aslında bu sorunun yani veri sızıntısı neticesinde hangi verilerim sızdırıldı sorusunun çok cevabı basit. Have I Been Pwned üzerinden bu bilgileri kontrol edebiliyorsunuz. Ya da aynı veritabanını kullanan, Mozilla Vakfının yaptığı, Firefox Monitor’ü de kullanabilirsiniz. Firefox Monitor henüz doğrulanmamış sızıntıları göstermiyor. Have I Been Pwned üzerinde ise onaylanmamış ihlalleri de görebiliyorsunuz.

Şimdi bu alan adı üzerinde deneme için bir mail adresi açalım. Aynı zamanda daha önce veri sızıntısı yaşamış başka bir mail adresi ile deneme yapalım. Ne gibi sonuçlara ulaşacağız, bir inceleyelim.

Not: Denemeler için Have I Been Pwned kullanılmıştır.

Daha önce veri sızıntısı mağduru olmuş anonim bir mail adresi ile deneme yaptım. Şimdi çıkan sonuçlara bir bakalım.

Yukarıda örnek olarak verilen mail hesabında görüldüğü gibi, birden fazla veri sızıntısına maruz kalmış. Sadace Mail adresi ve parolası değil, IP bilgisi gibi verilerde sızdırılmış. Şimdi yeni açtığımız mail hesabının durumuna bir bakalım.

Mail hesabı daha önce bir yerde kullanılmadı ve yeni açılmış bir hesap. Bu yüzden herhangi bir mağduriyete sahip değil.

Günümüzün en önemli madeni olan veri’nin, korunması da en büyük problemlerden birisi. Aslına bakarsanız, ülkemizde de uygulanması için karar alabileceğiniz bir hak ile bu yazıyı sonlandıralım. “Unutulma Hakkı”.

Veri gizliliğinizin sağlandığı ve sızıntı mağduru olmadığının sağlıklı günler dileklerimle.

The post Veri Sızıntısı Kurbanı Oldum mu? appeared first on Ali Karahisar.