WebRTC Sızıntısı: Gerçek IP Adresinizi Nasıl Açığa Çıkarıyor?
VPN'iniz açık. Çıkış düğümü Zürih'te olduğunuzu söylüyor. Cüzdanınız anonimmiş gibi hissediyor. Ve sonra tarayıcınıza yerleşik tek bir özellik, sessizce bir web sitesine gerçek IP adresinizi -ev adresiniz ve adınızla bağlantılı olanı- bildiriyor. Bu özellik WebRTC'dir ve açtığı güvenlik açığına WebRTC sızıntısı denir.
Çoğu insan için bu, gizlilik ihlali anlamına gelir. Kripto para sahibi olan herkes için ise, bir yabancının hangi cüzdanın hangi şirkete ait olduğunu öğrenmesiyle sonuçlanan zincirin ilk halkasıdır. Bu kılavuz, zincirin geri kalanını ele alıyor: WebRTC sızıntısının ne olduğu, VPN'den nasıl sızdığı, nasıl test edileceği ve her tarayıcıda nasıl kapatılacağı. Ve tarayıcınız bir cüzdana dokunduğu anda bunun neden çok daha önemli hale geldiği.
WebRTC Sızıntısı Nedir ve Neden Olur?
WebRTC, Web Gerçek Zamanlı İletişim anlamına gelir. Basitçe söylemek gerekirse, tarayıcıların eklentiye ihtiyaç duymadan görüntülü görüşme, sesli sohbet ve dosya transferi yapmasını sağlayan altyapıdır ve 2011 yılından beri tüm büyük tarayıcılarda mevcuttur. İşte sizi zorlayan kısım: İki kişiyi doğrudan bağlamak için, her iki tarafın da diğerinin IP adresini öğrenmesi gerekir. Bu bir hata değil. Bu, tüm işlemin kendisidir.
Sorun şu ki, herhangi bir web sitesi bunu tetikleyebilir. Bir sayfa arka planda bir WebRTC bağlantısı açar. Tarayıcınızın sunduğu IP adreslerini okur. İzin istemi yok. Görünür bir işaret yok. Bunu bir VPN'in arkasında yaparsanız, gerçek adresinizin yine de göründüğünü görürsünüz ve bir WebRTC sızıntısı elde etmiş olursunuz. Bunların hiçbiri yeni değil. Geliştirici Daniel Roesler, Ocak 2015'te VPN kullanıcılarının tarayıcılarından gerçek IP adreslerini doğrudan çeken çalışan bir prototip yayınlamıştı . On yıl sonra, mekanizma neredeyse hiç değişmedi.
Bu sızıntıyı tehlikeli kılan şey, ne kadar sessiz olduğudur. Açılır pencere yok. İzin istemi yok. Adres çubuğunda hiçbir şey yok. Normal bir insanın kontrol etmeyi düşünebileceği ağ günlüklerinde istek asla görünmez ve reklam engelleyiciler bunu görmezden gelir, çünkü tarayıcıya sıradan bir WebRTC kurulumu gibi görünür, bir izleyici gibi değil. Yani aynı anda ücretli bir VPN, temiz bir tarayıcı ve bir reklam engelleyici çalıştırabilir ve yine de gerçek adresinizi isteyen ilk sayfaya verebilirsiniz. Görünmez ve rutin: sızıntının on yıldır hayatta kalmasının nedeni tam olarak budur.
Veri Sızıntısı Nasıl Çalışır: STUN, NAT ve IP Adresiniz
Bir VPN'in sizi WebRTC sızıntısından otomatik olarak neden koruyamadığını anlamak için, tarayıcının arka planda neler yaptığını görmek faydalı olacaktır.
STUN ve ICE, mekanizma
Çoğu cihaz, NAT (Ağ Adresi Çevirisi) yapan bir yönlendiricinin arkasında bulunur, bu nedenle bilgisayarınız kendi genel adresini bilmez. Bunu bulmak için WebRTC, STUN sunucusu adı verilen bir yardımcı kullanır. Tarayıcı, STUN sunucusuna basit bir soru sorar: "Bulunduğunuz yerden, beni hangi adresten görüyorsunuz?" Sunucu, genel IP adresinizle yanıt verir. WebRTC, ICE adayları olarak adlandırılan bu yanıtlardan birkaçını toplar ve bir eşin bir rota seçebilmesi için bunları listeler. Bir casusluk sitesi sadece bu listeyi okur. Oyun bitti.
Bunun önemi ne? Çünkü tüm STUN alışverişi, herhangi bir sayfanın çalıştırabileceği JavaScript kodunda gerçekleşiyor. Kamera veya konumunuz için olduğu gibi bir diyalog kutusu yok. Komut dosyası bir eş bağlantısı açıyor. Tarayıcının ürettiği ICE adaylarını topluyor. Listedeki adresleri okuyor. Tüm bunlar saniyeler içinde gerçekleşiyor ve tarayıcıya hiçbir şey yanlış görünmüyor. WebRTC'nin yapması için tasarlandığı işi yapıyor.
Genel IP adresi ile yerel IP adresi arasındaki fark
WebRTC iki farklı adres verebilir ve bu adresler farklı şeyler sunar. Genel IP adresiniz yaklaşık konumunuzu ve internet sağlayıcınızı gösterir. Yerel IP adresiniz (örneğin 192.168.1.7) ise evinizin veya ofisinizin içindeki ağı haritalandırır. İkisinin de rastgele bir web sitesinin elinde yeri yoktur. Ancak asıl endişelenmeniz gereken genel IP adresidir, çünkü bu adres gerçek dünyaya, bir şehre, bir sağlayıcıya ve nihayetinde bir kapıya geri götürür.
VPN'in bunu neden engellemediği
VPN, normal trafiğinizi yeniden yönlendirir. Sorun şu ki, bir STUN isteği bu tünelin dışına çıkabilir, doğrudan STUN sunucusuna ulaşabilir ve gerçek genel IP adresinizi taşıyarak geri dönebilir. Tarayıcılar 2019 ve 2020 yıllarında bunun bir kısmını yamalayarak yerel IP adresini şifrelenmiş bir mDNS ana bilgisayar adıyla değiştirdi. Faydalı, ancak yalnızca yerel adayı gizliyor. STUN'dan gelen genel IP adresi hala dışarı çıkabilir. Daha da kötüsü, maskeleme genellikle bir site mikrofon veya kamera izni aldığı anda ortadan kalkar. Bu nedenle, sızıntı, çoğu insanın güvende olduğunu varsaydığı yerde devam eder.
WebRTC Sızıntı Testi Nasıl Doğru Şekilde Yapılır?
Kontrol işlemi yaklaşık bir dakika sürer ve kimsenin sözüne güvenmek zorunda değilsiniz.
VPN'i kapatarak başlayın ve bağlantınızın gösterdiği genel IP adresini not edin. Şimdi VPN'i açın ve bir WebRTC sızıntı testi sayfası açın, örneğin browserleaks.com/webrtc veya ipleak.net. Karşılaştırın. VPN görevini yapıyorsa ve IP sızıntısı yoksa, yalnızca VPN'in adresini görmelisiniz. Birinci adımda aldığınız numara sayfanın herhangi bir yerinde görünüyorsa, sızıntıyı bulmuşsunuz demektir. Tarayıcınızın ortaya çıkardığı her şeyin daha kapsamlı bir resmini elde etmek için, aynı mantık BrowserLeaks kılavuzumuzda ele alınan daha geniş kontrol setine de uygulanır.
WebRTC sızıntılarını kontrol ederken insanları yanıltan birkaç şey var. .local ile biten, karışık bir dize gibi görünen yerel bir IP adresi görebilirsiniz. Panik yapmayın; bu, mDNS maskelemesinin işini yapmasıdır, bir sızıntı değildir. Önemli olan adres, herkese açık olan adrestir. Hassas bilgiler için kullandığınız tarayıcı ve profilde test edin. Ayarlar ve eklentiler bunlar arasında aktarılmaz. Ayrıca, bir yama bu ayarları sessizce eski haline getirebileceğinden, her tarayıcı güncellemesinden sonra tekrar çalıştırın.
Hangi tarayıcılar IP adresinizi sızdırıyor, hangileri sızdırmıyor?
Tüm tarayıcılar WebRTC sızıntısını aynı şekilde ele almaz ve bu farklılıklar, pazarın nasıl bölündüğü nedeniyle önemlidir.
| Tarayıcı | WebRTC sızıntı riski | Dahili koruma |
|---|---|---|
| Krom | Yüksek | Yerel bir eklenti değil; bir eklentiye ihtiyaç duyuyor. |
| Firefox | Orta-yüksek | Varsayılan olarak herkese açık IP adresini sızdırır, ancak devre dışı bırakmak kolaydır. |
| Cesur | Düşük | Parmak izi ve WebRTC koruması varsayılan olarak açık. |
| Tor Tarayıcısı | Hiçbiri | RTCPeerConnection tamamen devre dışı bırakıldı |
Sorunun merkezinde Chrome yer alıyor, tamamen erişim alanı nedeniyle. Mayıs 2026 itibarıyla küresel tarayıcı pazarının yaklaşık %70'ini elinde tutuyordu ve WebRTC'nin IP adresinizi vermesini engelleyecek yerleşik bir ayar sunmuyor. Yaklaşık %2'lik paya sahip Firefox da varsayılan olarak genel IP adresini sızdırıyor, ancak en azından bu özelliği tek bir ayarla devre dışı bırakmanıza izin veriyor. Brave ise parlak nokta. Eylül 2025'te 101 milyon aylık aktif kullanıcıyı aştı ve WebRTC korumasını varsayılan olarak etkinleştiren tek ana akım Chromium tarayıcısı. Peki ya Tor? Tor, eş bağlantısını tamamen devre dışı bırakarak tüm bu sorundan kaçınıyor; bu da gizlilik araştırmacılarının yeni gelenleri ona yönlendirmesinin tam olarak nedeni.
WebRTC'yi Devre Dışı Bırakma ve Güvenlik Açıklarını Önleme Yöntemleri
Bunu kapatmanın iki yolu var. WebRTC'yi tamamen devre dışı bırakmak veya yalnızca seçtiğiniz adresi görmesini sağlayacak şekilde sınırlandırmak. Hangisini istediğiniz, tarayıcınızda gerçekten görüntülü görüşme yapıp yapmadığınıza bağlıdır. İşte tarayıcıya göre pratik çözümler.
| Tarayıcı | Devre dışı bırakma veya sınırlama nasıl yapılır? | Etki |
|---|---|---|
| Firefox | about:config'te media.peerconnection.enabled'ı false olarak ayarlayın. | Tamamen devre dışı |
| Krom | WebRTC Network Limiter veya WebRTC Control'ü yükleyin. | Maruz kalmayı sınırlar |
| Kenar | edge://flags, enable "Anonymize local IPs" | Kısmi |
| Safari | Menü geliştirme, Deneysel Özellikler, WebRTC'yi sınırlandırma | Kısmi |
Chrome ve Edge
Chrome biraz garip. Menülerde gizli bir kapatma düğmesi yok, bu yüzden WebRTC'yi engellemek için bir uzantıya ihtiyacınız var. Google kendi uzantısı olan WebRTC Network Limiter'ı yayınlıyor. Bu uzantı, aramalarınızı kesmeden riskli adresleri engelliyor. Daha kaba bir çözüm mü istiyorsunuz? WebRTC Control tek tıklamayla kapatıyor. Microsoft Edge de aynı Chromium motorunda çalışıyor, bu nedenle bu uzantılar orada da işe yarıyor, ancak aynı zamanda yerel IP adresinizi anonimleştiren kullanışlı bir bayrak da (edge://flags adresinde) gizliyor.
Firefox
Firefox bunu kolaylaştırıyor. Adres çubuğuna about:config yazın, korkutucu uyarıyı geçin, media.peerconnection.enabled'ı arayın ve değerini false olarak değiştirin. İşte bu kadar. WebRTC kapalı. Ancak bir dezavantajı var: tarayıcı içi video ve sesli aramalar, siz tekrar açana kadar çalışmaz.
Safari ve Opera
Safari varsayılan olarak daha güvenli bir yaklaşım benimser ve Geliştirme menüsündeki Deneysel Özellikler bölümünden WebRTC ayarlarını daha da sıkılaştırabilirsiniz. Opera, Chromium tabanlı olduğu için Chrome'da çalışan aynı uzantıları kullanır.
VPN kullanmanın ve bunun getirdiği avantaj ve dezavantajlar
Bir de VPN yolu var. Gerçek sızıntı korumasına sahip bir VPN kullanıyorsanız, WebRTC trafiğini kendi tüneli üzerinden yönlendirir, böylece STUN sunucusu yalnızca VPN'in adresini görür. En temiz seçenek bu, çünkü aramalarınız çalışmaya devam eder ve güvenilir bir proxy sunucusu da IP sızıntılarını aynı şekilde önleyebilir. Buradaki püf nokta güven. Her VPN bunu gerçekten yapmaz. VoidSec 2018'de 70 VPN sağlayıcısını test ettiğinde, bunların 16'sı hala gerçek IP adresini WebRTC üzerinden sızdırıyordu. Yaklaşık %23. İyi olanlar bunu o zamandan beri düzeltti, ancak ders geçerliliğini koruyor: test edin, varsaymayın. Kapsamlı bir yol mu istiyorsunuz? WebRTC'yi tamamen devre dışı bırakın. Sadece ona bağlı her şeyi bozduğunu unutmayın.
WebRTC Veri Sızıntısı Kripto Para Sahiplerini Neden Tehdit Ediyor?
Kripto para kullanıcıları için, açıkta kalan bir IP adresi gizlilikle ilgili önemsiz bir ayrıntı değildir. Bu, sanal dünyadaki yaşamınız ile fiziksel yaşamınız arasındaki sınır çizgisidir. Ve son zamanlarda bu sınır çizgisi tehlikeli bir hal aldı.
IP'den cüzdana giden ölüm zinciri
Blockchain adresleri anonim değil, takma adla kullanılır. Yaptığınız her işlem herkesin gözü önündedir. Sizi işaret etmesini engelleyen tek şey eksik etikettir: bir isim, bir konum. IP adresi bu etikettir. Ve araştırmacılar bu bağlantının pratik olduğunu on yıldan fazla bir süre önce kanıtladılar. 2014 yılında yapılan bir çalışmada , Alexandre Biryukov ve meslektaşları, Bitcoin takma adlarını, işlemlerini ilk yayınlayan IP adreslerine bağlamak için iyi konumlandırılmış birkaç düğüm kullandılar. Bir WebRTC sızıntısı, saldırgana aynı bağlantıyı ücretsiz olarak sağlar. Gerçek IP adresiniz açıkta iken bir blok gezgini veya DEX açın ve tek bir sayfa, izlediğiniz cüzdanı ev adresinize ve sağlayıcınıza bağlayabilir.
Ve tehlike daha da artıyor, çünkü sızıntının sizi işlem sırasında yakalamasına gerek yok. Sadece bir kez, düşmanca bir komut dosyası çalıştıran herhangi bir sayfada, bakiyenizi kontrol ederken veya bir pazar yerinde gezinirken tetiklenmesi yeterli. Ondan sonra? IP adresi, internet servis sağlayıcısı kayıtları, veri aracı profilleri ve eski bir ihlal ile karşılaştırılıyor. Er ya da geç bir isim ortaya çıkıyor. Cüzdan zaten başından beri herkese açıktı. Sızıntı sadece etiketi ortaya çıkardı.
Kimliğin ifşa edilmesinden kapıya yapılan bir vuruşa kadar
Bu eskiden soyut bir endişeydi. Artık değil. Sektör takibine göre, sahiplerinin anahtarları için soyulduğu veya kaçırıldığı "anahtar saldırıları" olarak adlandırılan saldırılar, 2025 yılında yaklaşık %75 artış gösterdi ve 72 doğrulanmış olayda en az 41 milyon dolar çalındı. Desen neredeyse hiç değişmiyor: Saldırganlar, gerçek bir kişiyi gerçek bir adrese yerleştirmek için görünür zincir içi serveti zincir dışı bir kimlikle eşleştiriyor. IP adresiniz, bu ikinci kısmı kesin olarak belirlemenin en temiz yollarından biridir.
Tersine çevirelim ve saldırgan gibi düşünelim. Hangi cüzdanlarda gerçek para olduğunu zaten görebiliyorlar; bu kısım herkese açık. Eksik olan şey, büyük bir adresten kapıya giden yol haritası. Bir IP adresi, aramayı tüm internetten bir şehre, bir internet servis sağlayıcısına, genellikle tek bir mahalleye kadar daraltıyor. Gerisi sıradan bir araştırma. Ortalama bir tarayıcı için böyle bir sızıntı önemsiz bir olay. Ancak zincir üzerinde yedi haneli bir meblağ tutan biri için bu, takma ad ile hedef haline gelme arasındaki çizgidir. Bu boşluk, kripto kullanıcılarının WebRTC sızıntısını çevrimiçi gizlilik tercihi değil, güvenlik gerekçesiyle ele almaları gerektiğinin nedenidir.
IP adresiniz kişisel veridir.
Bir de hukuki boyutu var. 2016 yılında Avrupa Adalet Divanı, Breyer davasında, birinin sizi yeniden tanımlamak için makul bir şekilde kullanabileceği sürece, dinamik bir IP adresinin bile kişisel veri sayıldığına karar verdi. Bu mantığa göre, WebRTC aracılığıyla IP adresinizi sessizce tarayan bir site, rızanız olmadan kişisel verileri işliyor demektir. Bu, veri sızıntısını tamamen ortadan kaldırmıyor. Ancak, düzenleyicilerin tarayıcınızın ücretsiz olarak verdiği şeye ne kadar ciddiyetle yaklaştığını gösteriyor.
Sızıntı Açılmadan Önce Kapatın
WebRTC sızıntısı sessizdir, izin istemez ve tek başına bir VPN sizi bundan kurtaramaz. Bu yüzden savunmanızı güçlendirin. Varsayılan olarak sizi koruyan bir tarayıcı seçin veya koruma sağlamayan yerlerde WebRTC'yi kapatın. IP adresinizi gizlemek için sızıntı testinden geçen bir VPN kullanın. Her güncellemeden sonra tekrar kontrol edin. Para transferi yapan herkes için hedef dar ve açıkça söylenmeye değer: cüzdanınız ve IP adresiniz arasındaki bağlantının asla kurulmasını engelleyin, çünkü bir kez kurulduktan sonra geri alınamaz. Peki, tarayıcınızın gerçekten ne sızdırdığını en son ne zaman test ettiniz?
