IP adreslerinin gizli izleme için potansiyel kötüye kullanımının farkında olan Google, kullanıcıların gizliliğini sağlamak ile internetin temel işlevleri arasında bir denge kurmaya çalışıyor. IP adresleri, web sitelerinin ve çevrimiçi hizmetlerin web sitelerindeki etkinlikleri izlemesine olanak tanıyarak kalıcı kullanıcı profillerinin oluşturulmasını kolaylaştırıyor. Ancak bu durum Chrome kullanıcıları için üçüncü taraf çerezlerin aksine, kullanıcıların şu anda bu tür gizli izlemeden kaçınmak için doğrudan bir yolu olmadığı için önemli gizlilik endişeleri doğuruyor. Bu konuda bir adım atmak isteyen Google, IP Koruması özelliğini test etmeye hazırlandığını duyurdu.
Aslında arama devinin bu adımı atmasının ardında pek çok neden var. Bunlardan ilki, firma aleyhine açılan soruşturma ve davaların son dönemde hızla artmış olması. Örneğin kısa süre önce ABD California Eyalet Savcılığı Android üzerinden konum takibi yaptığı gerekçesiyle Google’a 93 milyon dolar ceza kesmişti. Ayrıca arama devi ABD’de dev bir antitröst davasının sanığı durumunda. Firmanın kullanıcı gizliliği konusunda adımlar atmaya başlamasının bir diğer nedeni ise tüm kullanıcılarına ücretsiz VPN sağlayan Opera gibi tarayıcıların gerisinde kalıyor olması.
Google’ın kullanıma sunmayı planladığı IP Koruması özelliği nedir?
IP adresleri aslında bir yandan gözetim için potansiyel vektörler olsa da trafiği yönlendirme, dolandırıcılığı önleme ve diğer hayati ağ görevleri gibi kritik web işlevleri için de vazgeçilmezdir. “IP Koruması” çözümü ise belirli etki alanlarından gelen üçüncü taraf trafiğini proxy’ler aracılığıyla yönlendirerek kullanıcıların IP adreslerini bu etki alanları için görünmez hale getirmeyi temel alıyor. Ekosistem geliştikçe IP Koruması da uyum sağlayarak kullanıcıları siteler arası izlemeye karşı korumaya ve proxy trafiğine ek etki alanları eklemeye devam edecek.
Google’dan yapılan açıklamada “Chrome, kullanıcıları IP adresleri aracılığıyla siteler arası izlemeye karşı korumak için bir öneri geliştiriyor. Bu öneri, nitelikli trafik için IP adreslerini anonimleştiren bir gizlilik Proxy kullanımı,” ifadelerine yer veriliyor. Başlangıçta IP Koruması, kullanıcıların gizlilikleri üzerinde kontrol sahibi olmalarını sağlayan ve Google’ın davranış eğilimlerini izlemesine izin veren bir özellik olacak. Özelliğin tanıtımı ve yaygınlaştırılması ise bölgesel hususlara uyum sağlamak ve bir öğrenme eğrisi sağlamak için aşamalı olarak yapılacak.
“Aşama 0” olarak adlandırılan ilk aşamada Google, özel bir proxy kullanarak yalnızca kendi alan adlarına gelen istekleri proxy’leyecek. Bu, Google’ın sistemin altyapısını test etmesine ve alan adı listesinde ince ayar yapmak için daha fazla zaman kazanmasına yardımcı olacak. Başlangıç olarak, yalnızca Google Chrome’da oturum açmış ve ABD merkezli IP’lere sahip kullanıcılar bu proxy’lere erişebilecek.
Arama devinden yapılan açıklamaya göre belirli bir grup istemci bu ön teste otomatik olarak dahil edilecek, ancak testler ilerledikçe mimari ve tasarımda değişiklikler yapılacak. Olası kötüye kullanımı önlemek için, Google tarafından işletilen bir kimlik doğrulama sunucusu, her kullanıcı için bir kota belirleyerek proxy’ye erişim belirteçleri dağıtacak. İlerleyen aşamalarda Google, gizliliği daha da artırmak için 2 sıçrama içeren bir proxy sistemini benimsemeyi planlıyor. Firmadan yapılan açıklamada “Gelişmiş gizlilik için 2 sıçrama kullanmayı düşünüyoruz. Google ilk sıçramayı çalıştırırken ikinci bir proxy harici bir CDN tarafından çalıştırılacak. Böylece hiçbir proxy’nin hem istemci IP adresini hem de hedefi görememesi sağlanacak,” deniliyor.
Birçok çevrimiçi hizmet, hizmet sunmak amacıyla kullanıcıların konumunu belirlemek için GeoIP’yi kullandığından, Google proxy bağlantılarına kullanıcının belirli konumundan ziyade “kaba” konumunu temsil eden IP adresleri atamayı planlıyor. Google’ın bu özelliği test etmeyi planladığı alanlar arasında Gmail ve AdServices gibi kendi platformları da yer alıyor.
Potansiyel güvenlik endişeleri
Bu yeni Google IP Koruması özelliği bazı siber güvenlik endişelerini de beraberinde getiriyor. Trafik Google’ın sunucuları üzerinden aktarılacağından, güvenlik ve dolandırıcılık koruma hizmetlerinin DDoS saldırılarını engellemesi veya geçersiz trafiği tespit etmesi daha zor hale gelebilir. Ayrıca, Google’ın proxy sunucularından biri ele geçirilirse, tehdit aktörü buradan geçen trafiği görebilir ve manipüle edebilir.
Bu durumun önüne geçebilmek için Google, bu özelliği kullananların proxy ile kimlik doğrulaması yapmasını zorunlu kılmayı, proxy’lerin web isteklerini belirli hesaplara bağlamasını engellemeyi ve DDoS saldırılarını önlemek için hız sınırlaması getirmeyi düşünüyor.