Yasal

Şeffaflık politikalarımız

Türkiye Cumhuriyeti yasaları çerçevesinde, KVKK ve 6502 sayılı Tüketicinin Korunması Kanunu uyumludur. Sorularınız için [email protected].

Son güncelleme: 1 Mayıs 2026 · Versiyon 1.0

Sunucu güvenliği bir kontrol kutusu değil, sürekli bir süreç. Eksiklerimizi şeffaf bildiririz — bulguları [email protected] veya bug bounty programı üzerinden iletebilirsiniz.

1. Güvenlik Mimarimiz

Yüksek seviye güvenlik mimarisi — operasyonel detayları (saldırgana yardım edebilecek bilgi) paylaşmayız, ama çatıyı şeffaf tutarız.

Authentication

  • HTTP prelogin endpoint + persistent UUID whitelist
  • AsyncPreLogin race-fix — eşzamanlı bağlantı yarışlarına karşı sertleştirilmiş
  • Premium-style auth akışı: kullanıcı UUID'i sunucuya bağlanmadan önce doğrulanır

Trafik & ağ

  • HTTPS everywhere: tüm trafik TLS 1.3, HSTS aktif
  • CDN protection: Cloudflare DDoS shield + WAF
  • Sunucu IP doğrudan açık değil — Cloudflare arkasında

Secrets management

  • Cloudflare Workers secret store — ortam değişkeni olarak inject edilir
  • Hiçbir secret git'e commit edilmez (pre-commit hook ile zorlanır)
  • Secret rotation: olası sızıntıda 1 saat içinde rotate

Veritabanı

  • Şu an: KV storage (Cloudflare KV) — minimum kişisel veri
  • Lansman sonrası: D1 / Postgres (henüz canlıda değil)
  • Ham veritabanı erişimi yalnızca prod owner'a sınırlı, denetim logu tutulur

Loglar

  • Cloudflare logs — 7 gün retention, sonra otomatik silinir
  • Launcher crash report — opt-in OFF varsayılan, gönderilirse anonimize

Plugin güvenliği

  • Server-side cosmetic doğrulama — istemci sahteciliği geçersiz
  • Plugin-message channel signed — istemci-sunucu mesajları HMAC ile imzalı
  • Komut yetkilendirmesi LuckPerms üzerinden, role bazlı

Dependency scanning

  • GitHub Dependabot aktif (yakında public)
  • Kritik CVE'lerde 7 gün, yüksek 30 gün içinde patch hedefi

2. Veri Saklama

Sakladığımız veriler

MezarMC tarafından saklanan veri kategorileri ve kapsamları.
KategoriİçerikSüre
Hesap verisikullanıcı adı, UUID, oluşturma tarihiHesap aktif olduğu sürece
Oyun verisiML, achievements, playtime, world preferencesHesap aktif olduğu sürece
Cookiesession cookie + analytics opt-in (varsayılan OFF)Oturum + 30 gün
Crash reportopt-in açıkken: anonim hash + truncated UUID prefix (8 char)30 gün

Asla saklamadığımız veriler

  • Gerçek isim, adres, telefon
  • Kart bilgisi — Stripe doğrudan işler, MezarMC'ye ulaşmaz
  • Konum verisi (GPS / IP geolokasyon dahil)
  • Sosyal medya cross-tracker'ları

IP adresi

IP adresleri yalnızca Cloudflare meta'sında tutulur (DDoS koruma için); bizim DB'mize gitmez. 7 gün sonra Cloudflare tarafında otomatik silinir.

3. Şifreleme

MezarMC şifreleme katmanları — transit, at-rest, parolalar ve token'lar.
KatmanYöntemHedef
TransitTLS 1.3SSLLabs A+ (mezarmc.com)
At restAES-256 — Cloudflare R2 server-side encryptionTüm asset / yedek dosyalar
Şifrelerbcrypt + salt (12 round)Plaintext asla saklanmaz
Token'larcryptographically random 256-bit, sha256 hash storeVeritabanı sızıntısında token kullanılamaz

Şifre minimum 8 karakter zorlanır; yaygın parola listesi reddedilir (haveibeenpwned k-anonymity API ile kontrollü).

4. Açık Disclosure Süreci

Bir güvenlik açığı bildirildiğinde standart sürecimiz aşağıdaki gibidir:

  1. Araştırmacı [email protected] ile iletişime geçer.
  2. 7 gün içinde alındı yanıtı + ön severity değerlendirmesi.
  3. Severity'e göre 30 gün içinde patch deploy.
  4. 90 gün sonra public disclosure (responsible disclosure).
  5. Acknowledgement Hall of Fame'de + bug bounty ödülü.

Detaylı kurallar ve ödül skalası için bug bounty programı sayfasını inceleyebilirsin.

5. Sorumlu Kullanım

Hesabını ve sunucu kaynaklarını korumak için aşağıdaki güvenlik alışkanlıklarını edin:

  • 2FA aktif tutun (lansman sonrası TOTP/WebAuthn desteği)
  • Şifrenizi paylaşmayın, kimseye token vermeyin — MezarMC ekibi asla şifre istemez
  • Discord oturumunu paylaşmayın — token clipping yaygın bir saldırı vektörü
  • Şüpheli link'lere tıklamayın — özellikle "ücretsiz rütbe" tarzı oltalama yaygın
  • Launcher / mod'u sadece resmi kaynaklardan indirin: /indir

6. İletişim

  • [email protected] — sadece güvenlik konuları (açık raporu, sertifika, ihlal)
  • [email protected] — genel destek (hesap, ödeme, oyun)
  • PGP fingerprint (placeholder, gerçek key sonra): 0123 4567 89AB CDEF 0123 4567 89AB CDEF 0123 4567
  • Discord #security kanalı (yalnızca yetkili-only)

Bir veri ihlali şüphesi varsa veya yetkilendirilmemiş erişim tespit ettiyseniz, lütfen 30 dakika içinde [email protected] adresine yazın.