Güvenlik & Veri Koruma

• • Kimlik yönetimi Supabase Auth ile sağlanmaktadır; şifreler asla düz metin olarak saklanmaz (bcrypt hash).
• • E-posta doğrulaması zorunludur; doğrulanmamış hesaplar sisteme giriş yapamaz.
• • Oturum tokenleri JWT tabanlıdır ve kısa ömürlüdür (1 saat); otomatik yenileme mekanizması mevcuttur.
• • Google OAuth entegrasyonu için Google Cloud'un güvenli OAuth 2.0 akışı kullanılmaktadır.

• • Tüm veriler TLS 1.2+ (HTTPS) üzerinden iletilir; aktarım sırasında şifrelidir.
• • Veritabanı, Supabase'in PostgreSQL altyapısında AES-256 şifrelemeyle saklanmaktadır.
• • Row Level Security (RLS): Her kullanıcı yalnızca kendi verilerine erişebilir; sunucu tarafında zorlanır.
• • API anahtarları ve servis kimlik bilgileri ortam değişkeni olarak tutulur; kaynak kodda yer almaz.

• • Tüm API endpoint'leri kimlik doğrulama token'ı doğrular; yetkisiz istekler 401 ile reddedilir.
• • Kullanıcı ID'leri UUID formatında tutulur; tahmin edilemez ve çakışmaz.
• • IDOR koruması: Silme, düzenleme ve okuma işlemleri daima aktif kullanıcının kimliğiyle çapraz kontrol edilir.
• • Content-Security-Policy, X-Frame-Options, X-Content-Type-Options başlıkları tüm sayfalarda aktiftir.

Misafir Modu Güvenliği

• • Misafir modunda tüm veriler yalnızca tarayıcının localStorage'ında tutulur.
• • Sunucularımıza hiçbir veri gönderilmez; herhangi bir sunucu logu oluşmaz.
• • Tarayıcı önbelleği temizlendiğinde tüm misafir verileri kalıcı olarak silinir.