E-Devlette Yandex Skandalı ünvanlı yazım sosyal medyada büyük bir yankı uyandırdı. Yazıdan iki gün sonra da turkiye.gov.tr sitemizdeki o meşum kod kaldırıldı. Destek veren ve hassasiyet gösteren herkese teşekkür ediyorum.Yine de bazı söylediklerim bazılarına abartılı geldi. Yazıda daha ziyade "potansiyel" den bahsettim. Olabilecek şeyleri anlattım. Olan şeyi bilemem. Belki de Yandex Metrica turkiye.gov.tr sitemizdeki kullanıcı bilgilerini çalmıyordur. Ancak güvenlik olabilecek şeylere göre yapılır. Olan şeye göre değil. Kapını kilitlersin, çünkü (potansiyel olarak) hırsız gelebilir. Ama kapını kilitsiz bırakırsan da illa hırsız gelecek demek değildir.
Şimdi yapılan eleştirilerden bazılarına istatiksel bir cevap vermek istiyorum. Benim "Bankalar kullanmaz" sözüme bazıları itiraz etti. Ben de bankaları tek tek inceledim. İşte durum.
| Banka Adı | Sitede | İnternet Bankacılık Panelinde |
| A&T Bank | yok | yok |
| Abank | var (analytics) | var (globalsign) |
| Adabank | var (jquery) | panelsiz |
| Akbank | var (analytics) | var (analytics) |
| Aktifbank | var (linkedIn) | yok |
| Albaraka | var (analytics, facebook) | yok |
| Anadolubank | yok | yok |
| Bankasya | var (muhtelif) | panelsiz |
| Burganbank | var (analytics, facebook) | yok |
| Citibank | sayfası göçmüş | |
| Denizbank | var (analytics) | yok |
| Deutsche Bank Türkiye | yok | yok |
| Dilerbank | yok | yok |
| Eximbank | yok | yok |
| Fibabanka | var (analytics) | var (globalsign) |
| Fonbank | yok | yok |
| Garanti | var (facebook) | yok |
| Habibbank | yok | yok |
| Halkbank | var (analytics) | yok |
| HSBC | var (cloudfront) | var (verisign) |
| ICBC Turkey | yok | yok |
| ING Bank | var (analytics, facebook) | var (analytics, demdex, omtrdc) |
| İşbankası | var (analytics, facebook) | yok |
| J.P. Morgan (Türkiye) | var (analytics) | yok |
| Kuveytturk | var (analytics, facebook) | var (analytics) |
| Nurolbank | yok | yok |
| Odeabank | var (analytics, facebook) | yok |
| Pasha Bank | var (analytics) | panel arızalı |
| PTT | var (analytics, facebook) | var (rackcdn) |
| Radobank | var (jquery) | panelsiz |
| QNB Finansbank | var (analytics) | yok |
| Şekerbank | var (analytics, facebook) | (var globalsign) |
| T-Bank | yok | yok |
| Takasbank | var (analytics) | yok (ancak panel hata veriyor) |
| TEB | var (analytics, facebook) | yok |
| Turkish Bank | var (muhtelif) | yok |
| Türkiye Finans | var (analytics) | yok |
| Türkiye Kalkınma Bankası | var (analytics) | panelsiz |
| Vakıfbank | var (analytics, muhtelif) | yok |
| Yapı Kredi | var (analytics, muhtelif) | yok |
| Ziraat Bankası | yok | yok |
%2,44 1 tanesinin tüm sayfası göçmüş (citibank)
%9,76 4 tanesinin internet bankacılık paneli yok
%4,88 2 tanesinin internet bankacılık paneli var ama biri açılmıyor öteki hata veriyor.
%7,33 3 tanesinde internet bankacılık panelinde Google analytics vardır.
%53,66 22 tanesinde normal sitede google analytics vardır, ancak internet bankacılık paneline geçince 19 tanesi analytics'i ve diğer tüm harici scripleri kaldırıyor.
%26,83 11 tanesinde hiçbir şekilde harici dosya yoktur
%17,07 7 tanesinde muhtelif CDN vardır ama Analytics hiç yoktur
%9,76 4 tanesinde internet bankacılığı kısmında verisign ve globalsign vardır. Güvenliği sağlaması için kullanılıyor.
%41,46 17 tanesinde normal sitede analytics, sosyal medya kodları ve diğer cdn frameworkleri mevcut iken panel kısmında bunlar kaldırılmaktadır.
%0 Yandex Metrica kullanan hiç yok.
Şimdi bunların ne anlama geldiğini biraz daha açayım.
Bankaların yarısı normal sitelerinde Analytics kodu kullanırken İnternet Bankacılığı düğmesine tıkladığınızda bunları kaldırmaktadırlar. Sadece üç sitede (Akbank, Kuveytturk ve ING Bank) panelde de Analytics devam etmektedir. Burada Analytics'e güven duyulduğu kesin. Yandex'i ve ürünlerini hiçbir yerde kullanan banka bulunmamaktadır. Ancak bu gerekli mi? Buna biraz sonra geleceğim.
Şimdi sitesi bile çalışmayan, İnternet Bankacılığı paneli açılmayan bankalar bile olduğuna göre 41 banka içinden 3 bankanın panelde de Google Analytics kullanmasına şaşırmıyorum. Yine de bunu kullananların oranı bazı arkadaşların iddia ettiği gibi %90'lar filan değil, %7,3'dir.
Açıkçası bankanın bunu kullanma sebeplerini bilemem. Belki de yabancı ortakları bu sayede yapılan işlem ve hareketleri bir tür Google Analytics ile onaylatma durumdadırlar. Analytics'in en önemli gerekçesi şeffaflıktır. Lakin bunun yerine BDDK Analytics gibi bir sistem oluştursun ve bütün bankalar bunu dahil etsin. Böylece bankanın içinden bir raporlama hatasını BDDK izlesin.
4 tane bankanın panelinde verisign ve globalsign JS'leri koşmaktadır. %9,76. Efendim şimdi bu Verisign ve Globalsign güvenlik sertifikaları üreticileridir. Müşteri ile mağaza arasında SSL sertifikası kullanılırken Mağaza ile banka arasında da SET kullanılmaktadır. SSL i sağlayan mazağa, SET'i sağlayan ise bankadır.
Normal şartlarda sertifikayı alıp sunucuya yüklersiniz. Sertifikanın sağlayıcısının kodunu panele eklemek gerekmez. Ancak panele bunları dahil etmek müşteriye "bakın sizi bununla koruyoruz" demek anlamına gelmektedir. Bunun banka açısından bir güvenlik zaafiyeti teşkil edeceğini sanmıyorum. Yine de ben olsam kullanmazdım. Dikkat ederseniz bankaların çoğu da bunu kullanmamaktadır. Her fazlalık bir yüktür.
Bir banka Analytics kullanmalı mı?
Tabi ki hayır. Hatta bırakın paneli, bir bankanın sitesinde bile bunu kullanması gereksizdir. Açıkçası bir bankanın Analytics kullanması son derece mantıksız ve gereksiz.Analytics'in yada Metrica'nın bir özelliği yok. Onun sağladığı tüm bilgiler zaten sizin sunucunuzda var. Günümüzün yeni yetme Seocuları ve programcıları Analytics'in hangi kelimelerle aranarak gelindiğini söylemesini büyük bir matahmış gibi anlatabilir. Bu basitçe tarayıcının (browser) çevre değişkenlerinin REFERER parametresinde zaten mevcuttur. Ancak dikkat edin Analytics size hangi kelime ile hangi kişilerin geldiğini, geldikten sonra üye olup olmadığını, sisteme giriş yapıp yapmadığını o müşterinin giriş yaptıktan sonra hangi işlemlerle ilgilendiğini, hangi yorumları yaptığını hangi ürünleri sepete attığını, satın aldığını, favorilerine eklediğini ve daha yüzlerce şeyi Google Analytics size söyleyemez. Ama siz bunları kendi sunucunuzda yapacağınız programlar ile takip edip detaylandırabilirsiniz.
Ayrıca Google Analytics dahil edilmediği sayfaları izleyemez. Bu durumda vereceği rapor eksik ve sağlıksız olabilir.
Daha önce yazdığımı tekrar ediyorum. Google Analytics'in en önemli kullanım alanı şeffaflıktır. Eğer sitenizde reklam yayınlamak istiyorsanız reklamverenler sitenizin hitleri konusunda sizden Analytics gibi üçüncü tarafın sağlayacağı raporları isteyeceklerdir. Bir de kendi yazılımınızı yapmak istemiyorsanız, yapamıyorsanız buna benzer programlar kullanabilirsiniz.
E-Ticaret sitesinde kullanılabilir mi?
Bir okurum eticaret sitesinde kullanıldığında kredi kartı bilgilerinin çalınabileceğini söyledi. Teknik olarak doğrudur. Size tavsiyem tüm frameworkleri indirip kendi sitenizde yükleyerek kullanın. Sitenizde indexlenecek ve indexlenmeyecek bölümleri ayırın. Sitedeki tüm katalog ve ürün bilgilerinin olduğu sayfalar indexlenmeli. Ancak admin, login, sepet, checkout ve ödeme gibi bölümler indexlenmemeli ve yalıtılmalıdır. İndexlettiğiniz sayfalarda istediğinizi kullanılabilirsiniz. İndexletilmeyen sayfalarda bunu kullanmak gereksiz ve hatta tehlikelidir.
