Frontend'i Güçlendirme: JavaScript Koruma Altyapısı

Günümüzün dijital ortamında, web uygulamaları işletmeler ve kullanıcılar için birincil arayüzdür. Sunucu tarafı güvenliği uzun zamandır siber güvenliğin temel taşı olsa da, istemci tarafı teknolojilerine, özellikle de JavaScript'e olan artan karmaşıklık ve bağımlılık, frontend güvenliğini ön plana çıkarmıştır. Sağlam bir JavaScript Koruma Altyapısı artık bir lüks değil; kullanıcılarını, verilerini ve itibarını korumayı amaçlayan herhangi bir kuruluş için olmazsa olmaz bir bileşendir.

Bu blog yazısı, etkili bir JavaScript Koruma Altyapısının nasıl oluşturulacağına ve sürdürüleceğine odaklanarak, frontend güvenliğinin karmaşıklıklarını derinlemesine inceliyor. İstemci tarafı kodunda bulunan benzersiz güvenlik açıklarını, yaygın saldırı vektörlerini ve bu riskleri azaltmak için mevcut olan kapsamlı stratejileri ve araçları keşfedeceğiz.

Frontend Güvenliğinin Artan Önemi

Tarihsel olarak, web güvenliğinin odağı büyük ölçüde arka uçtaydı. Varsayım, sunucu güvenliyse, uygulamanın büyük ölçüde güvenli olduğuydu. Ancak, bu bakış açısı, Tek Sayfa Uygulamalarının (SPA'lar), aşamalı web uygulamalarının (PWA'lar) ve üçüncü taraf JavaScript kütüphanelerinin ve çerçevelerinin yaygın kullanımıyla önemli ölçüde gelişti. Bu teknolojiler, geliştiricilerin dinamik ve etkileşimli kullanıcı deneyimleri oluşturmasını sağlar, ancak aynı zamanda istemci tarafında daha büyük bir saldırı yüzeyi oluşturur.

JavaScript, kullanıcının tarayıcısında çalıştığında, oturum çerezleri, kullanıcı girişi ve potansiyel olarak kişisel olarak tanımlanabilir bilgiler (PII) gibi hassas bilgilere doğrudan erişime sahiptir. Bu kodun tehlikeye girmesi durumunda, saldırganlar şunları yapabilir:

• Hassas verileri çalmak: Kullanıcı kimlik bilgilerini, ödeme ayrıntılarını veya gizli iş bilgilerini çıkarmak.
• Kullanıcı oturumlarını ele geçirmek: Kullanıcı hesaplarına yetkisiz erişim elde etmek.
• Web sitelerini tahrif etmek: Yanlış bilgilendirme veya kimlik avı girişimlerini yaymak için meşru bir web sitesinin görünümünü veya içeriğini değiştirmek.
• Kötü amaçlı komut dosyaları enjekte etmek: Çapraz Site Komut Dosyası (XSS) saldırılarına yol açmak, kötü amaçlı yazılım dağıtmak veya kripto hırsızlığı yapmak.
• Hileli işlemler gerçekleştirmek: Yetkisiz satın alımlar veya transferler başlatmak için istemci tarafı mantığını manipüle etmek.

İnternetin küresel erişimi, bir frontend'de istismar edilen bir güvenlik açığının, coğrafi konumlarından veya cihazlarından bağımsız olarak kıtalar genelindeki kullanıcıları etkileyebileceği anlamına gelir. Bu nedenle, proaktif ve kapsamlı bir JavaScript Koruma Altyapısı çok önemlidir.

Yaygın JavaScript Güvenlik Açıkları ve Saldırı Vektörleri

Tehditleri anlamak, etkili savunmalar oluşturmaya yönelik ilk adımdır. İşte JavaScript odaklı web uygulamalarını hedef alan en yaygın güvenlik açıkları ve saldırı vektörlerinden bazıları:

1. Çapraz Site Komut Dosyası (XSS)

XSS, muhtemelen en yaygın ve yaygın olarak bilinen frontend güvenlik açığıdır. Bir saldırganın, diğer kullanıcılar tarafından görüntülenen bir web sayfasına kötü amaçlı JavaScript kodu enjekte etmesiyle ortaya çıkar. Bu enjekte edilen komut dosyası daha sonra kurbanın tarayıcısında çalışır ve meşru uygulama ile aynı güvenlik bağlamında çalışır.

XSS Türleri:

• Depolanmış XSS: Kötü amaçlı komut dosyası, hedef sunucuda kalıcı olarak depolanır (örneğin, bir veritabanında, forum gönderisinde, yorum alanında). Bir kullanıcı etkilenen sayfaya eriştiğinde, komut dosyası sunucudan sunulur.
• Yansıtılmış XSS: Kötü amaçlı komut dosyası, bir URL'ye veya web sunucusu tarafından anında yanıtta yansıtılan başka bir girişe gömülür. Bu genellikle kullanıcının özel olarak hazırlanmış bir bağlantıyı tıklamasını gerektirir.
• DOM tabanlı XSS: Güvenlik açığı, istemci tarafı kodunun kendisinde bulunur. Komut dosyası, Belge Nesne Modeli (DOM) ortamındaki değişiklikler yoluyla enjekte edilir ve yürütülür.

Örnek: Bir blogdaki basit bir yorum bölümünü hayal edin. Uygulama, kullanıcı girişini görüntülemeden önce düzgün bir şekilde temizlemiyorsa, bir saldırgan "Merhaba! <script>alert('XSSed!');</script>" gibi bir yorum yayınlayabilir. Bu komut dosyası etkisiz hale getirilmezse, bu yorumu görüntüleyen herhangi bir kullanıcı "XSSed!" içeren bir uyarı kutusu açılır. Gerçek bir saldırıda, bu komut dosyası çerezleri çalabilir veya kullanıcıyı yeniden yönlendirebilir.

2. Güvensiz Doğrudan Nesne Referansları (IDOR) ve Yetkilendirme Atlatma

Genellikle bir arka uç güvenlik açığı olarak kabul edilse de, IDOR, manipüle edilmiş JavaScript veya işlediği veriler aracılığıyla istismar edilebilir. İstemci tarafı kodu, uygun sunucu tarafı doğrulama olmadan dahili nesneleri (kullanıcı kimlikleri veya dosya yolları gibi) doğrudan açığa çıkaran istekler yaparsa, bir saldırgan erişmemesi veya değiştirmemesi gereken kaynaklara erişebilir veya bunları değiştirebilir.

Örnek: Bir kullanıcının profil sayfası, `/api/users/12345` gibi bir URL kullanarak verileri yükleyebilir. JavaScript bu kimliği basitçe alır ve *şu anda oturum açmış* kullanıcının kullanıcı `12345` verilerini görüntüleme/düzenleme iznine sahip olduğunu sunucu yeniden doğrulamadan sonraki istekler için kullanırsa, bir saldırgan kimliği `67890` olarak değiştirebilir ve potansiyel olarak başka bir kullanıcının profilini görüntüleyebilir veya değiştirebilir.

3. Siteler Arası İstek Sahteciliği (CSRF)

CSRF saldırıları, oturum açmış bir kullanıcıyı, kimliklerinin doğrulandığı bir web uygulamasında istenmeyen eylemleri gerçekleştirmesi için kandırır. Saldırganlar, kullanıcının tarayıcısını sahte bir HTTP isteği göndermeye zorlayarak bunu başarır, genellikle farklı bir web sitesine kötü amaçlı bir bağlantı veya komut dosyası yerleştirerek. Genellikle sunucu tarafında belirteçlerle azaltılırken, frontend JavaScript bu isteklerin nasıl başlatıldığında rol oynayabilir.

Örnek: Bir kullanıcı çevrimiçi bankacılık portalında oturum açmıştır. Daha sonra, bankasına otomatik olarak bir istek gönderen görünmez bir form veya komut dosyası içeren kötü amaçlı bir web sitesini ziyaret eder, belki de tarayıcısında zaten bulunan çerezleri kullanarak para transfer etmek veya şifresini değiştirmek için.

4. Hassas Verilerin Güvensiz İşlenmesi

Tarayıcıda bulunan JavaScript kodu, DOM'a doğrudan erişime sahiptir ve aşırı dikkatle ele alınmazsa hassas verileri potansiyel olarak açığa çıkarabilir. Bu, kimlik bilgilerini yerel depolamada depolamayı, veri iletmek için güvensiz yöntemler kullanmayı veya hassas bilgileri tarayıcının konsolunda günlüğe kaydetmeyi içerir.

Örnek: Bir geliştirici, bir API anahtarını doğrudan tarayıcıda yüklenen bir JavaScript dosyasına depolayabilir. Bir saldırgan, sayfanın kaynak kodunu kolayca görüntüleyebilir, bu API anahtarını bulabilir ve ardından arka uç hizmetine yetkisiz istekler yapmak için kullanabilir, potansiyel olarak maliyetlere neden olabilir veya ayrıcalıklı verilere erişebilir.

5. Üçüncü Taraf Komut Dosyası Güvenlik Açıkları

Modern web uygulamaları, üçüncü taraf JavaScript kütüphanelerine ve hizmetlerine (örneğin, analiz komut dosyaları, reklam ağları, sohbet widget'ları, ödeme ağ geçitleri) büyük ölçüde güvenir. Bunlar işlevselliği geliştirirken, aynı zamanda riskler de oluştururlar. Bir üçüncü taraf komut dosyası tehlikeye girerse, web sitenizde kötü amaçlı kod yürütebilir ve tüm kullanıcılarınızı etkileyebilir.

Örnek: Birçok web sitesi tarafından kullanılan popüler bir analiz komut dosyasının tehlikeye girdiği ve saldırganların kullanıcıları kimlik avı sitelerine yönlendiren kötü amaçlı kod enjekte etmesine izin verdiği bulundu. Bu tek güvenlik açığı dünya çapında binlerce web sitesini etkiledi.

6. İstemci Tarafı Enjeksiyon Saldırıları

XSS'nin ötesinde, saldırganlar istemci tarafı bağlamında diğer enjeksiyon biçimlerini de istismar edebilirler. Bu, API'lere iletilen verileri manipüle etmeyi, Web İşçilerine enjekte etmeyi veya istemci tarafı çerçevelerindeki güvenlik açıklarını istismar etmeyi içerebilir.

Bir JavaScript Koruma Altyapısı Oluşturma

Kapsamlı bir JavaScript Koruma Altyapısı, güvenli kodlama uygulamalarını, sağlam yapılandırmayı ve sürekli izlemeyi kapsayan çok katmanlı bir yaklaşım içerir. Tek bir araç değil, bir felsefe ve bir dizi entegre süreçtir.

1. JavaScript için Güvenli Kodlama Uygulamaları

İlk savunma hattı, güvenli kod yazmaktır. Geliştiriciler yaygın güvenlik açıkları konusunda eğitilmeli ve güvenli kodlama yönergelerine uymalıdır.

• Giriş Doğrulama ve Temizleme: Her zaman tüm kullanıcı girişini güvenilmez olarak kabul edin. Verileri hem istemci hem de sunucu tarafında temizleyin ve doğrulayın. İstemci tarafı temizleme için, XSS'yi önlemek için DOMPurify gibi kütüphaneler kullanın.
• Çıktı Kodlama: Kullanıcı girişinden veya harici kaynaklardan gelen verileri görüntülerken, görüntülendiği bağlama uygun şekilde kodlayın (örneğin, HTML kodlama, JavaScript kodlama).
• Güvenli API Kullanımı: JavaScript'ten yapılan API çağrılarının güvenli olduğundan emin olun. HTTPS kullanın, tüm isteklerin sunucu tarafında kimliğini doğrulayın ve yetkilendirin ve istemci tarafı kodunda hassas parametreleri açığa çıkarmaktan kaçının.
• DOM Manipülasyonunu En Aza İndirin: DOM'u dinamik olarak manipüle ederken, özellikle kullanıcı tarafından sağlanan verilerle dikkatli olun.
• `eval()` ve `new Function()`'dan Kaçının: Bu fonksiyonlar rastgele kod yürütebilir ve enjeksiyon saldırılarına karşı oldukça hassastır. Dinamik kod yürütmeniz gerekiyorsa, daha güvenli alternatifler kullanın veya girişin kesinlikle kontrol edildiğinden emin olun.
• Hassas Verileri Güvenli Bir Şekilde Depolayın: Uygun şifreleme ve sağlam güvenlik önlemleri olmadan hassas verileri (API anahtarları, belirteçler veya PII gibi) istemci tarafı depolamada (localStorage, sessionStorage, çerezler) depolamaktan kaçının. Kesinlikle gerekliyse, oturum belirteçleri için güvenli, HttpOnly çerezleri kullanın.

2. İçerik Güvenlik Politikası (CSP)

CSP, web sayfanızda hangi kaynakların (komut dosyaları, stiller, resimler vb.) yüklenmesine ve yürütülmesine izin verildiğini tanımlamanıza olanak tanıyan güçlü bir tarayıcı güvenlik özelliğidir. Bir beyaz liste görevi görür ve XSS ve diğer enjeksiyon saldırıları riskini önemli ölçüde azaltır.

Nasıl çalışır: CSP, sunucunuzun yanıtına bir HTTP başlığı eklenerek uygulanır. Bu başlık, kaynak yüklemeyi kontrol eden yönergeler belirtir. Örneğin:

            Content-Security-Policy: default-src 'self'; script-src 'self' https://apis.google.com; object-src 'none';

            

              
                Copy
              
            
          

Bu politika:

• Aynı kaynaktan ('self') kaynaklara izin verir.
• Özellikle 'self' ve 'https://apis.google.com'dan komut dosyalarına izin verir.
• Tüm eklentileri ve gömülü nesneleri ('none') yasaklar.

CSP'yi uygulamak, meşru site işlevselliğini bozmaktan kaçınmak için dikkatli yapılandırma gerektirir. Uygulamadan önce neyin izin verilmesi gerektiğini belirlemek için 'yalnızca raporlama' modunda başlamak en iyisidir.

3. Kod Karartma ve Küçültme

Birincil bir güvenlik önlemi olmasa da, karartma saldırganların JavaScript kodunuzu okumasını ve anlamasını zorlaştırabilir, tersine mühendislik ve güvenlik açığı keşfini geciktirebilir veya caydırabilir. Küçültme, dosya boyutunu azaltır, performansı artırır ve tesadüfen kodun okunmasını zorlaştırabilir.

Araçlar: Birçok derleme aracı ve özel kütüphane karartma gerçekleştirebilir (örneğin, UglifyJS, Terser, JavaScript Obfuscator). Ancak, karartmanın kesin bir güvenlik çözümü değil, bir caydırıcı olduğunu hatırlamak çok önemlidir.

4. Alt Kaynak Bütünlüğü (SRI)

SRI, harici JavaScript dosyalarının (örneğin, CDN'lerden) kurcalanmadığından emin olmanızı sağlar. Komut dosyasının beklenen içeriğinin kriptografik bir özetini belirtirsiniz. Tarayıcı tarafından getirilen gerçek içerik, sağlanan özetten farklıysa, tarayıcı komut dosyasını yürütmeyi reddeder.

Örnek:

            <script src="https://code.jquery.com/jquery-3.6.0.min.js"
        integrity="sha256-/xUj+3OJU5yExlq6GSYGSHk7tPXrNHly-oRJU4c60g="
        crossorigin="anonymous"></script>

            

              
                Copy
              
            
          

Bu yönerge, tarayıcıya jQuery'yi indirmesini, özetini hesaplamasını ve yalnızca özet sağlanan `sha256` değeriyle eşleşirse çalıştırmasını söyler. Bu, tehlikeye atılmış CDN'ler aracılığıyla tedarik zinciri saldırılarını önlemek için hayati önem taşır.

5. Üçüncü Taraf Komut Dosyası Yönetimi

Belirtildiği gibi, üçüncü taraf komut dosyaları önemli bir risktir. Sağlam bir altyapı, bu komut dosyalarını incelemek ve yönetmek için titiz süreçler içermelidir.

• İnceleme: Herhangi bir üçüncü taraf komut dosyasını entegre etmeden önce, sağlayıcısını, güvenlik uygulamalarını ve itibarını iyice araştırın.
• En Az Ayrıcalık: Yalnızca üçüncü taraf komut dosyalarına kesinlikle ihtiyaç duydukları izinleri verin.
• İçerik Güvenlik Politikası (CSP): Üçüncü taraf komut dosyalarının yüklenebileceği etki alanlarını kısıtlamak için CSP kullanın.
• SRI: Mümkün olduğunca, kritik üçüncü taraf komut dosyaları için SRI kullanın.
• Düzenli Denetimler: Kullanımda olan tüm üçüncü taraf komut dosyalarını periyodik olarak gözden geçirin ve artık gerekli olmayan veya şüpheli bir güvenlik duruşuna sahip olanları kaldırın.
• Etiket Yöneticileri: Üçüncü taraf etiketleri için güvenlik kontrolleri ve denetim yetenekleri sunan kurumsal sınıf etiket yönetim sistemleri kullanın.

6. Frontend için Çalışma Zamanı Uygulama Kendi Kendini Koruma (RASP)

Frontend RASP gibi gelişmekte olan teknolojiler, tarayıcı içinde gerçek zamanlı olarak saldırıları tespit etmeyi ve engellemeyi amaçlar. Bu çözümler, JavaScript yürütmesini izleyebilir, şüpheli davranışları belirleyebilir ve kötü amaçlı kodun çalışmasını veya hassas verilerin sızdırılmasını önlemek için müdahale edebilir.

Nasıl çalışır: RASP çözümleri genellikle uygulamanıza özel JavaScript aracıları enjekte etmeyi içerir. Bu aracılar, DOM olaylarını, ağ isteklerini ve API çağrılarını izler ve bunları bilinen saldırı kalıplarına veya davranışsal temellere karşı karşılaştırır.

7. Güvenli İletişim Protokolleri

Tarayıcı ve sunucu arasındaki tüm iletişimi şifrelemek için her zaman HTTPS kullanın. Bu, saldırganların ağ üzerinden iletilen verileri engelleyebileceği ve kurcalayabileceği man-in-the-middle saldırılarını önler.

Ek olarak, tarayıcıları her zaman alanınızla HTTPS üzerinden iletişim kurmaya zorlamak için HTTP Katı Aktarım Güvenliği (HSTS) uygulayın.

8. Düzenli Güvenlik Denetimleri ve Sızma Testi

Güvenlik açıklarının proaktif olarak tanımlanması önemlidir. Özellikle frontend JavaScript kodunuzu hedefleyen düzenli güvenlik denetimleri ve sızma testleri yapın. Bu alıştırmalar, saldırganlar yapmadan önce zayıflıkları ortaya çıkarmak için gerçek dünya saldırı senaryolarını simüle etmelidir.

• Otomatik Tarama: Frontend kodunuzu bilinen güvenlik açıkları için tarayan araçlar kullanın.
• Manuel Kod İncelemesi: Geliştiriciler ve güvenlik uzmanları kritik JavaScript bileşenlerini manuel olarak incelemelidir.
• Sızma Testi: İstemci tarafı istismarlarına odaklanarak, derinlemesine sızma testleri yapmak için güvenlik uzmanlarını görevlendirin.

9. Frontend Korumalı Web Uygulama Güvenlik Duvarları (WAF'ler)

Öncelikle sunucu tarafı olmasına rağmen, modern WAF'ler HTTP trafiğini XSS gibi JavaScript güvenlik açıklarını hedefleyenler de dahil olmak üzere kötü amaçlı yükler için inceleyebilir ve filtreleyebilir. Bazı WAF'ler ayrıca, verilere tarayıcıya ulaşmadan önce bakarak ve temizleyerek veya şüpheli kalıplar için istekleri analiz ederek istemci tarafı saldırılarına karşı koruma özellikleri sunar.

10. Tarayıcı Güvenlik Özellikleri ve En İyi Uygulamalar

Kullanıcılarınızı tarayıcı güvenliği hakkında eğitin. Uygulamanızın güvenliğini kontrol ederken, kullanıcı tarafı uygulamaları genel güvenliğe katkıda bulunur.

• Tarayıcıları Güncel Tutun: Modern tarayıcılar, düzenli olarak yamalanan yerleşik güvenlik özelliklerine sahiptir.
• Uzantılara Dikkat Edin: Kötü amaçlı tarayıcı uzantıları frontend güvenliğini tehlikeye atabilir.
• Şüpheli Bağlantılardan Kaçının: Kullanıcılar, bilinmeyen veya güvenilmeyen kaynaklardan gelen bağlantıları tıklamak konusunda dikkatli olmalıdır.

JavaScript Koruması için Küresel Hususlar

Küresel bir kitle için bir JavaScript Koruma Altyapısı oluştururken, birkaç faktör özel dikkat gerektirir:

• Yasal Uyumluluk: Farklı bölgelerin değişen veri gizliliği düzenlemeleri vardır (örneğin, Avrupa'da GDPR, California'da CCPA, Kanada'da PIPEDA, Brezilya'da LGPD). Frontend güvenlik önlemleriniz, özellikle JavaScript tarafından kullanıcı verilerinin nasıl işlendiği ve korunduğu konusunda bu gereksinimlerle uyumlu olmalıdır.
• Kullanıcıların Coğrafi Dağılımı: Kullanıcılarınız dünyaya yayılmışsa, güvenlik önlemlerinin gecikme etkilerini göz önünde bulundurun. Örneğin, karmaşık istemci tarafı güvenlik aracıları, daha yavaş internet bağlantılarına sahip bölgelerdeki kullanıcılar için performansı etkileyebilir.
• Çeşitli Teknolojik Ortamlar: Kullanıcılar uygulamanıza çok çeşitli cihazlardan, işletim sistemlerinden ve tarayıcı sürümlerinden erişecektir. JavaScript güvenlik önlemlerinizin bu çeşitli ekosistemde uyumlu ve etkili olduğundan emin olun. Eski tarayıcılar, CSP veya SRI gibi gelişmiş güvenlik özelliklerini desteklemeyebilir ve geri dönüş stratejileri veya zarif düşüş gerektirebilir.
• İçerik Dağıtım Ağları (CDN'ler): Küresel erişim ve performans için CDN'ler önemlidir. Ancak, üçüncü taraf komut dosyalarıyla ilgili saldırı yüzeyini de artırırlar. SRI'yi uygulamak ve CDN'de barındırılan kütüphanelerin titiz bir şekilde incelenmesi çok önemlidir.
• Yerelleştirme ve Uluslararasılaştırma: Doğrudan bir güvenlik önlemi olmasa da, kullanıcılara sunulan güvenlik ile ilgili herhangi bir mesajın veya uyarının, farklı dillerde ve kültürlerde kafa karışıklığını önlemek ve güveni korumak için düzgün bir şekilde yerelleştirildiğinden emin olun.

Frontend Güvenliğinin Geleceği

Web güvenliği ortamı sürekli gelişiyor. Saldırganlar daha karmaşık hale geldikçe, savunmalarımız da öyle olmalıdır.

• Yapay Zeka ve Makine Öğrenimi: Anormal JavaScript davranışını tespit etmek ve potansiyel güvenlik açıklarını tahmin etmek için daha fazla yapay zeka destekli araç görmeyi bekleyin.
• WebAssembly (Wasm): WebAssembly ivme kazandıkça, Wasm koruma alanında çalışan kod için özel koruma stratejileri gerektiren yeni güvenlik hususları ortaya çıkacaktır.
• Sıfır Güven Mimarisi: Sıfır güven ilkeleri, istemci içinde bile her etkileşimin ve kaynak erişiminin sürekli olarak doğrulanmasını talep ederek frontend güvenliğini giderek daha fazla etkileyecektir.
• DevSecOps Entegrasyonu: Güvenlik uygulamalarını geliştirme yaşam döngüsüne daha erken ve daha derin bir şekilde yerleştirmek (DevSecOps) norm haline gelecek ve güvenliğin paylaşılan bir sorumluluk olduğu bir kültürü teşvik edecektir.

Sonuç

Sağlam bir JavaScript Koruma Altyapısı, modern web uygulamaları için vazgeçilmez bir varlıktır. Güvenli kodlama uygulamalarını, CSP ve SRI gibi gelişmiş güvenlik yapılandırmalarını, üçüncü taraf komut dosyalarının özenli yönetimini ve denetimler ve test yoluyla sürekli tetikte olmayı birleştiren bütünsel bir yaklaşım gerektirir.

Tehditleri anlayarak, kapsamlı savunma stratejileri uygulayarak ve proaktif bir güvenlik zihniyeti benimseyerek, kuruluşlar frontend'lerini önemli ölçüde güçlendirebilir, kullanıcılarını koruyabilir ve giderek karmaşıklaşan dijital bir dünyada çevrimiçi varlıklarının bütünlüğünü ve güvenini koruyabilir.

JavaScript Koruma Altyapınıza yatırım yapmak sadece ihlalleri önlemekle ilgili değil; küresel kullanıcı tabanınız için bir güven ve güvenilirlik temeli oluşturmakla ilgilidir.