DEV Community

Cover image for Postman API Anahtarlarınızı Toplar ve Saklar mı? Bilmeniz Gerekenler
Tobias Hoffmann
Tobias Hoffmann

Posted on • Originally published at apidog.com

Postman API Anahtarlarınızı Toplar ve Saklar mı? Bilmeniz Gerekenler

ÖZET

Evet, Postman, bulut senkronizasyonu etkin (varsayılan ayar) ortam değişkenlerinde API anahtarlarını ve diğer kimlik bilgilerini depolar. Bu, Postman'ın anahtarlarınızı kötüye kullandığı anlamına gelmez, ancak kimlik bilgilerinizin üçüncü parti bir sunucuda tutulduğu anlamına gelir. Güvenlik gereksinimlerinize uygunluğunu değerlendirmek ve Apidog gibi yerel öncelikli bir araca ne zaman geçmeniz gerektiğini anlamak için bu davranışı bilmeniz gerekir.

Apidog'u bugün deneyin

💡 Apidog, ücretsiz, hepsi bir arada API geliştirme platformudur. Apidog, ortam değişkenlerini ve API anahtarlarını varsayılan olarak yerel olarak depolar, yani ekip senkronizasyonu açıkça etkinleştirilmedikçe kimlik bilgileriniz cihazınızda kalır. Ücretsiz deneyin, kredi kartı gerekmez.

Giriş

“Postman API anahtarlarımı depoluyor mu?” sorusu geliştirici topluluklarında sıkça gündeme gelir. Özellikle Reddit’in r/webdev veya r/programming bölümlerinde, genellikle güvenlik denetimleri veya ekip içi güvenlik tartışmaları sonrasında bu sorunun tekrar tekrar sorulduğunu görebilirsiniz.

Endişe haklıdır: API anahtarları, uygulamalarınızda ve hizmetlerinizde parola yerine geçer. Bir ödeme işlemcisi API anahtarının sızması, sahte işlemlere yol açabilir. Bir bulut sağlayıcı anahtarının sızması, yetkisiz kaynak oluşturma veya veri sızıntısına sebep olabilir. Bu nedenle, API anahtarlarını geliştirme araçlarında depolayan herkes, o araca güvenmek zorundadır.

Çoğu geliştirici, API anahtarlarını GitHub gibi açık depolara göndermemesi gerektiğini bilir, ancak API istemci araçlarında risk daha az konuşulur. Postman’ın 30 milyondan fazla kullanıcısı var, yani milyonlarca kimlik bilgisinin nasıl işlendiğini tam olarak bilmeden bir araca emanet edilmesi oldukça olasıdır.

Bu yazıda, API anahtarı depolama konusuna doğrudan teknik bir yanıt veriyor ve pratik olarak neler yapabileceğinizi gösteriyoruz.

Doğrudan Yanıt: Evet, Ama Detaylarıyla

Postman, API anahtarlarını şu durumlarda bulutunda depolar:

  • Ortam değişkenlerini kullandığınızda: Bir ortam değişkeni oluşturup (ör. API_KEY) içine anahtarınızı yazdığınızda ve bulut senkronizasyonu açıksa, bu değer Postman’ın sunucularında saklanır (varsayılan ayar budur).
  • Koleksiyon değişkenlerinde: Koleksiyon düzeyinde kaydedilen değişkenler de aynı şekilde buluta senkronize edilir.
  • Genel değişkenler: Bunlar da Postman hesabınızla beraber buluta gider.
  • İstek gövdesi veya başlıklarında doğrudan yazılan kimlik bilgileri: Örneğin Authorization: Bearer sk-abc123... şeklinde başlık olarak kaydederseniz, koleksiyon buluta senkronize olduğunda anahtar da gider.
  • Senkronda olmayanlar: Sadece Postman Vault’ta saklanan değerler buluta gitmez. Vault, yerel bir kimlik bilgisi deposudur ve manuel olarak kullanılması gerekir.

Bulut Senkronizasyonunun Anlamı

Postman’daki bulut senkronizasyonu, çalışma alanı verilerinizin bir kopyasının sürekli olarak Postman sunucularında tutulduğu anlamına gelir. Her değişiklik otomatik olarak buluta aktarılır, ekstra bir butona basmanıza gerek yoktur.

Avantajları: İşbirliği ve veri kaybına karşı koruma sağlar. Farklı cihazlarda çalışmak kolaylaşır.

Güvenlik açısından: API anahtarlarınız hem bilgisayarınızda hem de Postman’ın bulutunda tutulur. Postman bu verileri AES-256 ile şifreler ve TLS ile iletir. Yine de, şifreleme veriye erişilemez olduğu anlamına gelmez: Postman hizmetin çalışması için bu verilere ulaşabilir.

Bir Postman hesabı ele geçirilirse veya Postman sistemlerinde bir açık oluşursa, bulutta depolanan anahtarlarınız risk altındadır.

Postman’ın Gizlilik Politikası Kimlik Bilgileriniz İçin Ne Diyor?

Postman'ın gizlilik politikası, çalışma alanı verilerinizi bir veri işleyici olarak ele alır ve üçüncü taraflara satmaz. Amaç; hizmeti sağlamak ve geliştirmektir. Öne çıkan noktalar:

  • Amacın Sınırlılığı: Verileriniz pazarlama için değil, hizmet sunmak için kullanılır.
  • Alt İşlemciler: Altyapı ve destek için üçüncü taraflar kullanılabilir.
  • Devlet Talepleri: ABD'de depolanan veriler yasal süreçle talep edilebilir.
  • İhlal Bildirimi: Bir ihlal olursa size bildirim yapılır.
  • Veri Silme: Hesabınızı sildiğinizde verileriniz de silinir.

Kendi güvenlik politikanıza uygunluğunu değerlendirmek sizin sorumluluğunuzdadır.

Çalışma Alanı Görünürlüğü

Bulut dışında, çalışma alanı görünürlüğü de ciddi bir risktir:

  • Çalışma alanları genel, ekip veya özel olabilir.
  • Genel çalışma alanlarına tüm internet erişebilir.
  • 2023’te CloudSEK, 30.000’den fazla genel Postman çalışma alanında gerçek API anahtarları buldu. Bu, yanlış yapılandırmanın yaygın olduğunu gösteriyor.

Yanlışlıkla genel yapılan bir çalışma alanı, tüm kimlik bilgilerinizi internete açabilir. Özellikle hassas veriler için her zaman çalışma alanı görünürlüğünü kontrol edin.

Kimler En Çok Risk Altında?

Aşağıdaki durumlarda risk yüksektir:

  • Üretim anahtarları Postman’da tutuluyorsa: Üretim verilerini buluta taşımış olursunuz.
  • Ekip erişimi genişse: Çok sayıda kişinin erişebildiği bir ortamda, tek bir ele geçirilmiş hesap tüm kimlik bilgilerini açığa çıkarabilir.
  • Regüle sektörlerde çalışıyorsanız: Sağlık, finans gibi alanlarda bulut üzerinde API anahtarı tutmak kurallara aykırı olabilir.
  • Yüksek ayrıcalıklı anahtarlar: Yönetici veya tam yetkili anahtarlar sızarsa büyük zarar doğar.
  • Müşteri anahtarları: Danışmanlar ve müteahhitler, müşteri anahtarlarını kendi hesaplarında tutmamalıdır.

Postman Vault Neyi Değiştiriyor?

Postman Vault, kimlik bilgilerini yalnızca makinenizde, yerel olarak depolar. Buluta gönderilmez. Kullanmak için isteklerde {{vault:variable_name}} şeklinde başvurmalısınız.

Avantaj: Vault’taki anahtarlar bulutta saklanmaz.

Kısıtlar:

  • Vault kullanmak için manuel olarak değişiklik yapmanız gerekir.
  • Ekipte herkes kendi Vault’una sahip olmalı; merkezi paylaşım yoktur.
  • Başlık veya gövdede doğrudan yazılmış anahtarlar Vault dışında kalır.

Yerel Öncelikli Araçlar ve Alternatif Model

Yerel öncelikli araçlarda (ör. Apidog) varsayılan olarak hiçbir veri buluta gitmez. Senkronizasyonu manuel açmadıkça, API anahtarlarınız sadece cihazınızda kalır.

Vault’u bilmek veya yapılandırmak gerekmez; güvenli davranış varsayılandır. Bruno gibi araçlar ise tamamen dosya sisteminde çalışır ve hiçbir bulut seçeneği sunmaz. İşbirliği istenirse, Apidog gibi araçlar kendi kendine barındırma seçeneği sunar.

Pratik Tavsiyeler

  • Mevcut ortamlarınızı denetleyin: Postman ortamlarınızı açın ve tüm değişkenleri kontrol edin. Anahtar, şifre veya token içeriyorsa bilin.
  • Kimlik bilgilerini Vault’a taşıyın: Postman’da kalacak anahtarları Vault’a alın, ekibinizi bilgilendirin.
  • Test için kısıtlı anahtar kullanın: Geliştirme/test ortamları için ayrı, yetkisi sınırlı anahtarlar oluşturun. Hiçbir zaman yönetici/üretim anahtarlarını kullanmayın.
  • Çalışma alanı görünürlüğünü kontrol edin: Kimlik bilgisi içeren alanlar hiçbir zaman “Genel” olmamalı. Varsayılanı “Özel” yapın.
  • Tehdit modelinizi belirleyin: Hassas olmayan projeler için mevcut kurulum yeterli olabilir. Üretim veya regüle veri varsa, ek adımlar atın veya yerel bir araç tercih edin.

Sıkça Sorulan Sorular

Postman API anahtarlarımı veya çalışma alanı verilerimi satıyor mu?

Hayır. Postman, kullanıcı çalışma alanı içeriğini satmıyor, hizmet sunumu için işliyor.

Postman hesabım ele geçirilirse saldırgan API anahtarlarımı alabilir mi?

Evet, anahtarlar bulutla senkronizeyse alınabilir. Vault kullanılması ve MFA zorunludur.

Postman çok faktörlü kimlik doğrulamayı destekliyor mu?

Evet, kimlik doğrulayıcı uygulamalarla MFA desteği vardır.

Postman Vault’taki API anahtarları güvenli mi?

Yerel makineniz kadar güvenlidir. Makineniz ele geçirilirse erişilebilir. Postman hesabınıza giriş yapılmadan erişilemezler.

API anahtarlarımı bulut aracı kullanmadan nasıl saklarım?

Bruno tamamen yerel çalışır. Apidog yerel modda veya kendi kendine barındırmada kullanılır. Hoppscotch da kendi kendine barındırılabilir.

API anahtarlarımı Postman’ın bulutundan nasıl kaldırırım?

Postman ortamlarındaki anahtarları silin, Vault referanslarıyla değiştirin. Tüm geçmiş senkronizasyonu silmek için çalışma alanını ve verileri hesap ayarlarından kaldırın.

Sonuç olarak, “Postman API anahtarlarımı topluyor mu?” sorusunun cevabı, varsayılan ayarlarda ve yaygın kullanımda evettir. Bu, Postman’ın kötü niyetli olduğu anlamına gelmez; sadece hassas verileri depolamadan önce veri modelini ve güvenlik gereksinimlerinizi anlamanız gerektiği anlamına gelir. Gerekirse Vault’u veya alternatif, yerel öncelikli bir aracı tercih edin.

Top comments (0)