Halka açık Wi-Fi riskleri 2026

Halka açık Wi-Fi riskleri 2026'da neler? Standart halka açık Wi-Fi risk makalesi 2014'ten beri kabaca aynıydı. Kafelerdeki hacker'lar! Paketlerini sniff etmek! Banka şifrelerini çalmak! VPN al! Bunun çoğu artık doğru değil. HTTPS dağıtımı kolay saldırıları öldürdü. Geriye kalan tehditler gerçek ve farklı, ve hazır tavsiye yetişemedi.

Bu, halka açık Wi-Fi risklerinin 2026 görüşü. Gerçekten tehlikeli olan, çoğunlukla hype olan, WPA3'ün nerede yardım ettiği, HTTPS'in neyi korumadığı ve gerçek savunma katmanları. Daha az alarmizm, daha çok doğruluk.

Eski tavsiye nereden geldi

2010-2016'dan halka açık Wi-Fi saldırı rehberleri o sırada doğru olan birkaç şeyi varsayıyordu:

• Çoğu web sitesi varsayılan olarak HTTP'ydi. Ağdaki pasif gözlemci giriş formlarını, çerezleri ve sayfa içeriğini okuyabiliyordu.
• Tarayıcılarda HTTPS sorunları hakkında uyarılar tutarsızdı. Kullanıcılar sertifika hatalarına rutin olarak tıklıyordu.
• Ağ seviyesi saldırılar (ARP poisoning, evil twin) raftan araçlarla (Firesheep, Pineapple) kolaydı. Bir laptop ve ücretsiz yazılımı olan herkes bunları yapabilirdi.

O ortamda "halka açık Wi-Fi'da VPN kullan" tavsiyesi esasen doğruydu. Bağımsız risk, sıradan saldırganlar bile gerçek zarar verecek kadar yüksekti.

Dünya değişti. 2010'ların sonunda açık web'in HTTPS kapsamı %80'i geçti. Tarayıcılar kullanıcıların sertifika uyarılarına açık geçersiz kılma olmadan tıklamasına izin vermeyi bıraktı. Bankalar, sosyal ağlar, e-posta sağlayıcıları hepsi HSTS ile yalnızca-HTTPS'e geçti. Halka açık Wi-Fi sniffing'in kolay versiyonu için saldırı yüzeyi çöktü.

HTTPS şimdi neyi yönetiyor

2026'da web'in %95'inden fazlası HTTPS. Halka açık Wi-Fi'da tipik bir gezinme oturumu için:

• Sayfa içerikleri şifreli. Ağ gözlemcisi görüntülediğin sayfayı, gönderdiğin formu veya gönderdiğin çerezleri okuyamaz.
• Kimlik doğrulama belirteçleri şifreli. Firesheep döneminde kolay çalıntı olacak oturum çerezleri TLS içinde. Onları telden okumak uygulanabilir değil.
• Sunucu kimliği doğrulanır. TLS handshake hedefi kimlik doğrular. Aradaki adam ya hedefe geçerli sertifika almak (zor) ya da seni geçersiz olanı kabul etmeye kandırmak zorunda (tarayıcılar artık buna kasıtsız izin vermiyor).

Eski VPN reklamlarında yaygın "banka şifrenin çalındığını izle" çerçevelemesi çoğunlukla geçersiz. Bankacılık yalnızca-HTTPS. Tarayıcı geçersiz sertifikayla bağlanmayı reddedecek. O spesifik senaryonun saldırı yüzeyi dramatik şekilde küçüldü.

HTTPS'in yönetmediği

Tehditler farklı, gitmedi. Özellikle:

SNI düz metin

TLS handshake hedef hostname'i (Server Name Indication) açıkça içerir. Bir ağ gözlemcisi makaleyi okuyamasa bile nytimes.com görür. Hangi siteleri ne zaman, hangi sırada, ne kadar süre ziyaret ettiğini öğrenir.

Encrypted Client Hello (ECH) bunu düzeltir. Cloudflare, Mozilla ve Google destekliyor. Web'in çoğu henüz desteklemiyor, 2026 itibariyle. Ziyaret ettiğin sitelerin çoğunluğu için SNI düz metin.

DNS düz metin

Tarayıcın bir siteye bağlanmadan önce ismi çözmesi gerekir. Düz metin DNS, ağ operatörünün yapılandırdığı her resolver'a gider, genelde operatörün DNS sunucusu. Çözdüğün her domain'i görürler. Bazı captive portallar DNS yanıtlarını kesip değiştirerek seni yönlendirir.

DNS-over-HTTPS (DoH) ve DNS-over-TLS (DoT) bunu düzeltir. Firefox bazı bölgelerde varsayılan olarak DoH yapar. Chrome bilinen DoH-yetenekli resolver'lar için yapar. Çoğu platformdaki çoğu kullanıcı hâlâ ağ operatörüne düz metin DNS gönderiyor.

Trafik şekli

Diğer her şey şifreli olsa bile paket boyutları ve zamanlama paternleri bilgi sızdırır. Belirli bir YouTube videosunun yüklenmesinin segment isteklerinin tanınabilir bir fingerprint'i vardır. Netflix bölümünün yayını farklı bir tane vardır. Trafik analizi araçlarıyla sofistike bir gözlemci trafik şeklinden spesifik siteleri ve hatta spesifik videoları tanımlayabilir, özellikle yüksek-trafikli hedefler için.

Bu kafe Wi-Fi'ındaki bireysel kullanıcılar için nadir. Ulusal-ölçekli ağlardaki devlet-seviyesi düşmanlar için gerçek.

Hedef IP

Şifreli DNS bile hedef IP'yi gizlemez. Yol boyunca yönlendiriciler paketleri iletmek zorunda olduğu için görür. Adanmış altyapıdaki siteler için IP-domain eşlemesi önemsiz olarak türetilebilir.

2026'da halka açık Wi-Fi'da gerçekten tehlikeli olan

Bugün gerçekçi tehditler, olabilirlik sırasına göre:

1. Evil twin erişim noktaları

Sahte erişim noktası meşru olanla aynı ağ adını yayınlar ("Hotel-Guest", "Airport-Free-WiFi", "Starbucks"). Cihazın bağlanır, sıkça otomatik olarak çünkü önceki ziyaretten SSID'yi hatırlar. Saldırgan ağı kontrol eder ve trafiğini kesebilir.

2026'da neden hâlâ çalışıyor: WPA3 bazı saldırıları hafifletir ama SSID taklidini önlemez. Wi-Fi istemcileri hâlâ SSID'lere güvenir. Çoğu halka açık ağ açık veya PSK-tabanlı, hiçbiri taklidi önlemez. Modern kurumsal Wi-Fi sertifika-tabanlı kimlik doğrulama kullanır ve önler, ama tüketici Wi-Fi'ı kullanmaz.

Evil twin'in yapabilecekleri: tüm şifrelenmemiş trafiğini görür (çoğunlukla DNS), içerik enjekte eden captive portal sunar, TLS bağlantılarını MITM'lemeye çalışır (sertifika doğrulaması nedeniyle çoğunlukla başarısız ama kötü-yapılandırılmış istemcilere karşı çalışır) ve aktiviten hakkında tüm metadata'yı loglar.

Yapamayacakları: HTTPS içeriğini okumak, VPN tünel içeriğini okumak veya güvendiğin TLS sertifikalarını değiştirmek.

2. Captive portal MITM

Otel ve havalimanı ağları captive portal kullanır: koşulları kabul ettiğin veya erişim için ödediğin landing page'e HTTP yönlendirmeleri. Captive portal mekanizması doğası gereği en az bir HTTP bağlantısını MITM'ler, çünkü yönlendirme böyle çalışır.

Bazı captive portallar daha ileri gider. HTTP sayfalarına script enjekte ederler. Değiştirilmiş içerik sunarlar. Bağlandığın her domain'i loglayan analytics çalıştırırlar. Gezinme verisi sattıkları ve DNS sorgu verisi yeniden sattıkları belgelendi.

VPN captive portal MITM'i temizce atlar: tünel ayaktayken captive portal sadece şifreli byte'lar görür. Zorluk captive portallar genelde kimlik doğrulamak için çalışan ağ gerektirir ve VPN tüneli kuramadan önce captive portala kimlik doğrulaman gerekir. Standart patern: ağa bağlan, captive portala kimlik doğrula, sonra hemen VPN'i çalıştır.

3. Ağ-operatör veri toplama

Otel ağları, havalimanı ağları ve halka açık Wi-Fi servisleri rutin olarak bağlantı metadata'sı loglar: çözülen her domain, bağlanılan her IP, zaman, süre, byte sayıları. Bazıları bu veriyi veri brokerlarına satar. Bazıları hükümet gözetim programlarına teslim eder. Bazıları sadece politika olmadan süresiz tutar.

Bu varsayımsal değil. Belgelenmiş örnekler şunları içeriyor:

• Büyük otel zincirlerinin misafir trafiğini profilleyen deep packet inspection çalıştırdıkları yakalandı.
• Havalimanı ağlarının pazarlama ve gözetim ortakları için DNS ve TLS SNI logladıkları yakalandı.
• Kafe Wi-Fi sağlayıcıların (franchise yüklenicileri, bireysel mağazalar değil) benzer veri uygulamaları var.

VPN güven sınırını ağ operatöründen VPN sağlayıcına taşır. Bunun bir iyileştirme olup olmadığı her birine ne kadar güvendiğine bağlı. Çoğu kullanıcı için gerçek gizlilik politikası olan ödemeli VPN rastgele otel ağı operatöründen daha güvenilir.

4. Captive portal sertifika-pinning bypass denemeleri

Bazı captive portallar bir sertifikayı kurmana getirerek HTTPS'i MITM'lemeye çalışır. Halka açık ağlarda nadir (açık kırmızı bayrak ve çoğu kullanıcı reddeder) ama yönetilen ağlarda (otel zincirleri, konferans alanları, işveren ağları) ara sıra olur. Sertifikayı kurarsan ağ operatörü tüm TLS bağlantılarını MITM'leyebilir. Kontrol etmediğin ağlardan sertifika kurma.

5. Tehlikeye atılmış tüketici router'ları

Bazı halka açık Wi-Fi malware tarafından tehlikeye atılmış tüketici router'larında çalışır. Malware DNS'i reklam-enjeksiyon sunucularına yönlendirir, spesifik bankacılık domain'lerini phishing sayfalarına yönlendirir veya kalıcı izleme kurar. Bu en yaygın olarak ekipmanın daha eski olduğu ve nadiren güncellendiği oteller ve kiralık dairelerde.

VPN tünel ayaktayken bunu tamamen atlar.

Çoğunlukla hype olan

2026'da daha az gerçek risk olan ama atıfta bulunulan birkaç madde:

Düz metin şifrelerin paket sniffing'i

Klasik Firesheep / aircrack-ng demosu 2010'da korkutucuydu çünkü çoğu site giriş verisini düz metin gönderiyordu. 2026'da önemli olan hedefler (bankalar, e-posta, sosyal ağlar, yayın servisleri) HSTS ile yalnızca-HTTPS. Saldırı modern sitelere karşı çalışmıyor.

Wireshark dinleme

Evet, Wireshark çalışır. Trafiği yakalar. Yakaladığı şey çoğunlukla TLS-şifreli, zaten tartışılan metadata sızıntısıyla (SNI, DNS, IP). "E-postamın halka açık Wi-Fi'da Wireshark ile çalındığını izle" demosu artık modern servislere karşı çalışmıyor. Bunun trafik-analizi versiyonu gerçek ama sıradan saldırganın getirdiğinden daha çok sofistike gerektiriyor.

Sıradan anlamda "hacker'lar"

Kafedeki kapüşonlu birinin laptop ile verini çalma görüntüsü çoğunlukla geçersiz. Sıradan saldırgan saldırı yüzeyinin çoğunu kaybetti. Geriye kalan tehditler:

• Ağ-operatörü-seviyesi gözetim (veri toplama, operatörlerin kendileri tarafından MITM).
• Sofistike saldırganlar (evil twin, trafik analizi), var ama nadir.
• Bazı kullanıcılar için var olan ama halka açık Wi-Fi kafe senaryosu olmayan devlet-seviyesi düşmanlar.

WPA3 ve neyin değiştiği

2026 itibariyle WPA3 dağıtım durumu:

• Enterprise WPA3 modern kurumsal ağlarda (kurumsal, üniversite, hükümet) yaygın olarak dağıtıldı. Sertifika-tabanlı kimlik doğrulama kullanır ve WPA2'den anlamlı şekilde daha güvenli.
• Ev ve küçük işletme için WPA3-Personal evrensel olarak daha az dağıtılmış. Yeni router'lar destekler. Eski istemciler (tipik olarak 2019 öncesi) desteklemez, böylece çoğu ağ WPA2 karışık moduna geri düşer.
• Halka açık hotspot'lar 2026'da büyük ölçüde hâlâ açık veya WPA2-PSK. Geçiş yavaş çünkü hem router hem istemci yükseltmeleri gerektirir ve tüketici pazarı yavaş yükseltir.

WPA3'ün halka açık Wi-Fi'ı etkileyen düzeltmesi: Simultaneous Authentication of Equals (SAE) ekler, ağ şifresine karşı çevrimdışı saldırıları çok daha zor yapar. Gerçekten açık ağlar (şifre yok) için WPA3'te paylaşılan anahtarı olmayan ağlarda bile Wi-Fi linkini şifreleyen Opportunistic Wireless Encryption (OWE) var.

WPA3'ün düzeltmediği: SSID taklidi (evil twin saldırıları), captive portal MITM, ağ-operatör veri toplama. WPA3 erişim noktasına radyo linkini güvenli kılar. O erişim noktasının operatörüne karşı seni güvenli kılmaz.

Önemli olan savunma katmanları

2026'da halka açık Wi-Fi için kabaca önem sırasına göre:

1. Varsayılan olarak HTTPS-Everywhere

Modern tarayıcılar (Firefox, Chrome, Safari, Edge) varsayılan olarak HTTPS. Bazılarının HTTP'yi tamamen reddettiği bir modu var. Etkinleştir. Firefox'ta "HTTPS-Only Mode" var. Chrome'da "Always Use Secure Connections" var. Safari'de yerleşik.

Bu kolay halka açık Wi-Fi saldırı yüzeyinin %95'ini ücretsiz yönetir.

2. DNS-over-HTTPS

DNS sorgularını şifreler, böylece ağ operatörü onları okuyamaz veya yönlendiremez. Firefox bazı bölgelerde varsayılan olarak yapar. Chrome yapılandırılan resolver'ın DoH desteklediğinde yapar. Sistem genelinde koruma için OS DNS'ini DoH-yetenekli resolver'a (Cloudflare 1.1.1.1, Google 8.8.8.8, NextDNS, Quad9) yapılandır.

Bu DNS sızıntı vektörünü ve DNS-yönlendirme saldırılarını yönetir.

3. VPN

Geriye kalan vektörler (düz metin SNI, IP-seviyesi trafik loglama, evil twin saldırıları, ağ-operatör gözetimi, trafik şekli analizi) en iyi VPN tüneli ile hafifletilir. Tünel ayaktayken ağ operatörü VPN sunucusuna sadece şifreli byte'lar akışı görür.

VPN 2026'da halka açık Wi-Fi için tek en etkili savunma katmanı çünkü HTTPS'in yapmadığı her şeyi kapsıyor. Spesifik kullanım durumuna giren otel ve uçak Wi-Fi'ı için VPN hakkında bir parçamız var.

Kill switch burada önemli. VPN düşerse trafiğin sızmamalı. Daha derin kill switch açıklaması hakkında parçamız var.

4. Ağlar hakkında sağduyu

Tanımadığın ağlara bağlanma. SSID'nin daha önce gittiğin yere uyduğu için bir ağa otomatik güvenme (evil twin saldırıları buna güvenir). Önemliyse ağ adını mekanla doğrula. Kontrol etmediğin ağlardan sertifika kurma.

Spesifik senaryolar

Otel Wi-Fi'ı

En kötü kategori. Otel ağlarının uzun, belgelenmiş geçmişi var: gözetim, veri satışı, captive portal enjeksiyonu, deep packet inspection ve misafirler arası zayıf ağ izolasyonu. VPN kullan. Özellikle otel Wi-Fi'ı hakkında daha derin parçamız var.

Havalimanı ve uçak Wi-Fi'ı

Havalimanı: otele benzer sorunlar. VPN kullan. Uçak: aynısı artı uydu bağlantılarının yavaş olabilmesi ve captive portal'ın genelde standart portlarda HTTP ve HTTPS dışında her şeyi bloklaması kısıtlaması. UDP üzerinde WireGuard genelde çalışır. TCP 443 üzerinde OpenVPN fallback'i. TCP 443 üzerinde VLESS Reality de çalışır ve agresif captive portallarda en güvenilir.

Kafe Wi-Fi'ı

Otelden daha düşük risk çünkü ağ operatörü (kafenin franchise sahibi) genelde veri toplama konusunda daha az profesyonel. Yine de: SNI görünür, DNS kesilebilir ve yoğun bölgelerde evil twin saldırıları mümkün. VPN makul. HTTPS artı DoH minimum.

Konferans Wi-Fi'ı

Sıkça iyi-yönetilmiş (gerçek WPA3-Enterprise ile gerçek kurumsal Wi-Fi) veya korkunç-yönetilmiş (tüketici erişim noktasına ethernet çeken her kim). Dışarıdan söylemek zor. Varsayılan olarak VPN.

Kütüphane ve üniversite Wi-Fi'ı

Sıkça VPN bağlantılarını işaretleyebilen saldırı tespiti çalıştırır. VPN çoğu durumda hâlâ çalışır. Kütüphanen veya üniversiten VPN-bloklama politikası varsa ve uyguluyorsa, bu kendi sorunu, gez.

Pratik kurulum

Çoğu kullanıcı için makul halka açık Wi-Fi savunma kurulumu şuna benzer:

1. HTTPS-yalnızca tarayıcı modu etkin.
2. OS seviyesinde DNS-over-HTTPS yapılandırılmış (veya sadece gezinirsen Firefox'ta).
3. Kill switch'li VPN, güvenilmeyen ağlarda otomatik bağlanmak için yapılandırılmış.
4. WPA3 istemci desteği etkin (OS bunu yönetir; modern cihazlar zaten yapar).
5. Aktif olarak kullanmadığın halka açık SSID'ler için ağ seçimi kapalı (cihazın sokakta yürürken "Starbucks"un evil twin'lerine otomatik bağlanmaması için).

Bu yığın 2026'nın gerçekçi halka açık Wi-Fi tehditlerinin esasen tümünü yönetir. Hiçbiri egzotik değil.

Pratik çıkarımlar

• 2014'ün kolay halka açık Wi-Fi saldırıları çoğunlukla öldü. HTTPS onları öldürdü.
• Geriye kalan tehditler gerçek ama farklı: evil twin AP'ler, captive portal MITM, ağ-operatör gözetimi, trafik analizi.
• WPA3 yardım eder ama halka açık Wi-Fi tehdit resmini çok değiştirmez, çünkü çoğu halka açık ağ hâlâ WPA2 veya açık.
• HTTPS, DoH ve VPN 2026'nın gerçek tehditlerini yöneten üç katman.
• Kill switch önemli çünkü tüneller düşer ve düşüş sırasındaki sızıntı penceresi VPN'i yener.

Özellikle halka açık Wi-Fi kullanımı için VPN seçiyorsan, VPN'e gerçekten ihtiyacım var mı parçamız bunu en güçlü bağımsız durum olarak ele alır. 7-günlük ücretsiz deneme gerçekten kullandığın ağlarda çalışıp çalışmadığını görmek için zaman verir.