Güvenlik — teknik detaylar
CV'niz nasıl korunuyor?
Verilerinizi koruyan sistemleri sade dille anlatalım. Teknik isimleri parantez içinde bırakıyoruz; merak ederseniz arama yapabilirsiniz.
Argon2id (RFC 9106)HMAC-SHA256 link imzasıAB veri merkezi — FrankfurtIP hash'lenir, saklanmazKVKK & GDPR uyumlu
Nasıl koruyoruz
Her şey kendi yöntemiyle güvende
Şifreniz, oturumunuz, CV linkleriniz — her birinin ayrı bir koruma yöntemi var.
Şifreniz
Argon2id
- Şifrenizi düz metin olarak saklamayız; bugün dünyada en güvenli kabul edilen yöntemle (Argon2id) karıştırıp saklarız.
- Veritabanına biri sızsa bile şifrenizi geri çözmesi pratikte mümkün değildir.
- Eski sisteme göre kayıt olan kullanıcılar giriş yaptığında, şifreleri otomatik yeni yönteme yükseltilir.
Oturumunuz
JWT (imzalı çerez)
- Giriş yaptıktan sonra tarayıcınıza özel bir kimlik kartı (token) verilir; 30 gün sonra otomatik biter.
- Bu kart sadece sunucumuzun kabul ettiği imzayı taşır — taklit edilemez.
- Şifrenizi değiştirirseniz tüm eski oturumlar anında geçersiz olur.
CV paylaşım linkleri
HMAC-SHA256 imza
- Her paylaşım linkinin içinde değiştirilemeyen bir imza vardır.
- Linki düzenleyip başka bir CV'ye ulaşmak imkansızdır; imza tutmazsa açılmaz.
- Linki istediğiniz zaman kapatabilir veya süresini sınırlayabilirsiniz.
Bildirim entegrasyonları
İmzalı ve zaman damgalı
- Dış sistemlere gönderdiğimiz olay bildirimleri sunucu imzası taşır.
- Eski bir bildirim tekrar gönderilirse kabul edilmez — kopyalama yoluyla sahte mesaj atılamaz.
- Karşı taraf, bildirimin gerçekten bizden geldiğini kolayca doğrulayabilir.
Google ile giriş
İmzalı oturum bilgisi
- Google ile giriş akışı boyunca gidip gelen veri sunucumuzca imzalanır.
- Araya giren biri bu bilgiyi değiştirip sizin yerinize giriş yapamaz.
- Tarayıcı çerezi engellense bile giriş güvenli şekilde çalışır.
Ziyaretçi gizliliği
IP adresi hash'lenir
- CV'nizi görüntüleyenlerin IP adresini olduğu gibi saklamayız.
- IP'yi gizli bir anahtarla karıştırıp kısa bir koda çeviririz; bu koddan IP geri çıkarılamaz.
- Aynı ziyaretçinin tekrar geldiğini görürsünüz, ama kim olduğu açığa çıkmaz.
Şifre sıfırlama
Tek kullanımlık link
- Sıfırlama linki tahmin edilemeyecek kadar rastgele üretilir.
- Sadece 1 saat geçerlidir ve bir kez kullanılınca otomatik geçersiz olur.
- Linkin tam hali bile veritabanımızda yer almaz — sadece e-postanızda.
Sunucu ve veri
AB bölgesi + HTTPS
- Tüm verileriniz Frankfurt'taki Avrupa sunucularında tutulur.
- ABD'ye veya AB dışına veri aktarımı yoktur (KVKK ve GDPR uyumlu).
- Tarayıcı ile sunucu arasında giden her veri şifrelidir (HTTPS).
Kötüye kullanım koruması
Hız sınırı + kayıtlar
- Giriş, kayıt ve şifre sıfırlama gibi kritik adımlarda hız sınırı vardır; kaba kuvvet denemeleri otomatik bloklanır.
- Hesap silme gibi önemli işlemler iz bırakacak şekilde kayıt altına alınır.
- Şüpheli davranışlar fark edilip engellenir; siz haberdar bile olmadan saldırı durdurulur.