Fexyn
Fexyn
All posts

VPN mitleri çürütüldü

Fexyn Team··11 min read

VPN pazarlaması on beş yıldır konuşmayı kirletiyor. Anonim tarama. Askeri-derece şifreleme. Hacker koruması. Rakipten daha çok sunucu. Bu iddiaların çoğu en iyi ihtimalle yarı-doğru, en kötüsü tamamen yanlış ve abonelik sattıkları için tekrar edilmeye devam ediyorlar.

Biz de abonelik satıyoruz. Gürültüden de bıktık. Aşağıda 2026'da insanların hala inandığı on beş VPN miti — gerçeğin ne olduğu, mit nereden geldi ve bilgiyle ne yapmalısın.

1. "VPN seni anonim yapar"

Yanlış. VPN ziyaret ettiğin sitelerden IP adresini gizler. Faydalı, dar bir şey. Seni anonim yapmaz.

Gmail'e VPN üzerinden giriş yaparsan Google hala senin sen olduğunu biliyor. VPN için kredi kartınla ödediysen VPN sağlayıcı kim olduğunu biliyor. Tarayıcın benzersiz parmak izi gönderiyorsa (gönderiyor), takipçiler taze IP ile bile seni oturumlar arası yeniden tanımlayabilir. Her forumda aynı şekilde yazıyorsan stilometri seni yakalar.

Gerçek anonimlik Tor, tehdit modellemesi, ayrı kimlikler ve kazara hiç kimsenin ulaşamadığı operasyonel güvenlik gerektiriyor. Ticari VPN gizlilik altyapısı, anonimlik aracı değil. Onu ikincisi olarak satan herkes yalan söylüyor.

2. "VPN seni hacker'lardan korur"

Çoğunlukla yanlış. VPN seninle VPN sunucusu arasındaki ağ yolunu şifreler. Bu spesifik bir saldırı sınıfını engeller: yerel Wi-Fi'deki bir ağ operatörü, saldırgan veya trafiğini okuyan ISP.

Şunlara karşı hiçbir şey yapmaz:

  • Phishing email'ler. Hangi IP'den bağlandığından bağımsız link saldırgana gider.
  • Malware. VPN dosya taramaz veya Trojan çalıştırmanı durdurmaz.
  • Sızdırılmış parolayla hesap ele geçirme. Saldırgan senin olarak giriş yapar.
  • Tarayıcı exploit'leri. Exploit tarayıcında çalışır, şifreli olsun olmasın.
  • Sosyal mühendislik. Telefon hala geçer.

VPN savunma yığınının bir katmanı. Ona "hacker koruması" demek güvenlik insanlarının dişlerini gıcırdatmasına yol açan pazarlama kopyası.

3. "Bedava VPN'ler aynı kadar iyi"

Çoğunlukla yanlış, dar bir istisnayla. Bedava internet hizmetlerinin söylenmemiş kuralı: ödemiyorsan ürün sensin. Bedava VPN'lerin uzun bir geçmişi var:

  • Reklamcılara ve veri brokerlarına kullanıcı tarama verisi satmak.
  • Şifrelenmemiş trafiği keserek web sayfalarına reklam injection.
  • Bedava kullanıcıların IP'lerinin başka taraflara kiralandığı yerleşim proxy ağları olarak çalışmak (2018 Hola olayı kanonik vaka).
  • "No-logs" iddiasına rağmen bağlantı verisi loglamak.
  • Sessizce iflas edip temizlik sırasında kullanıcı verisini açığa çıkarmak.

İstisna: ücretli ürünü bedavayı sübvanse eden şirketlerin meşru bedava tier'ları. Windscribe gerçek bir üründe ayda 10 GB veriyor. ProtonVPN'in bedava tier'ı düşürülmüş hızlarla üç lokasyonda sınırsız bandwidth'e sahip. Bunlar dürüst loss-leader'lar. Ücretli tier'lar kadar hızlı veya özellik-tam değiller ama aktif olarak zararlı değiller.

VPN bedavaysa ve sitede hiçbir yerde ücretli versiyon yoksa, en kötüsünü varsay.

4. "Daha fazla sunucu daha iyi VPN demek"

Yaygın söylendiği şekliyle yanlış. VPN pazarlamasındaki "5,400+ sunucu" veya "10,000+ sunucu" rakamları çoğunlukla kibir metrikleri. Birkaç sebep:

  • Çoğu "sunucu" paylaşımlı donanımdaki sanal makine. Tek bir fiziksel kutu farklı ülkelerde elli reklamlanmış "sunucuya" ev sahipliği yapabilir.
  • Çoğu kayıt aynı fiziksel kutu birden fazla IP adresiyle. NordVPN'in 60 ülkede 5,400+ sunucu reklamı 5,400 fiziksel makine anlamına gelmiyor.
  • Gerçekten kullandığın bölgelerde bir avuç iyi-tedarik edilmiş çıkış, başka her yerde bin tıkanmış çıkışa karşı kazanır.

Önemli olan: bağlandığın veya bağlandığın ülkelerdeki çıkış sunucuları, o sunucularda kullanıcı başına mevcut bandwidth ve seninle çıkış arasındaki yönlendirme yolu. Fexyn bugün dört çıkış işletiyor (Frankfurt, Helsinki, Kıbrıs, Ashburn). Bu küçük. Bunda dürüstüz. Düşük-latency Singapur çıkışı lazımsa biz doğru seçim değiliz. Rakibin ana sayfasında basılan numara onların Singapur çıkışını bizimkinden iyi yapmıyor: Singapur'daki gerçek donanımları yapıyor.

5. "Askeri-derece şifreleme"

Anlamsız pazarlama. "Askeri-derece" AES diye bir şey yok. AES-256, AES-256'dır. Aynı algoritma VPN tünelini, iMessage sohbetlerini ve Pentagon laptop'undaki şifreli volume'ları koruyor.

AES-256'ya "askeri-derece" demek, musluk suyuna "astronot-derece hidrojen-oksijen bileşiği" demek gibi. Teknik olarak yanlış değil, tamamen bilgilendirmeyen, bir şey ifade ediyormuş gibi satılan.

VPN'ler arasında gerçekten değişen şey: şifre etrafındaki kriptografik protokol (WireGuard'ın Noise framework'ü vs OpenVPN'in TLS handshake'i), anahtar değişim mekanizması, kimlik doğrulama şeması ve implementasyonun anahtar rotasyonu ve replay koruması gibi edge case'leri nasıl ele aldığı. Bunlar gerçek mühendislik seçimleri. Hiçbiri "askeri-derece" deyimiyle özetlenmiyor.

6. "VPN'ler internet'i çok yavaşlatıyor"

Güncel değil. Bu büyük ölçüde 2014'ün kötü-ayarlanmış-donanımda-OpenVPN döneminde doğruydu. İyi-tedarik edilmiş sunucularda modern protokollerle çok daha az doğru.

2026'da gerçek rakamlar: WireGuard sağlıklı bağlantıyla yakın bir çıkışta tipik olarak %5'in altında throughput kaybediyor. VLESS Reality (bizim Stealth protokolümüz) sansür direnci için kullandığı TLS overhead yüzünden %5-10 kaybediyor. OpenVPN şifreye ve tünel MTU'ya göre %10-25 kaybediyor.

Yavaşlama çıkış uzakken (fizik: ışık internet ölçeğinde yavaş), çıkış tıkanıkken (sağlayıcı sorunu) veya ISP'in VPN-şekilli trafiği throttle ettiğinde (bazıları yapıyor) oluyor. Çoğu kullanıcı için çoğu çıkışta hız etkisi tarama, video aramaları ve 4K streaming için fark edilmez. VPN internet'i yavaşlatır mı ölçümlerden geçen daha uzun bir yazımız var.

7. "VPN'ler sadece yasadışı aktivite için"

Yanlış ve eski. 2026'da modal VPN kullanıcısı ülkesinde geo-blok'lu bir dizi izleyen kişi, otel Wi-Fi'sındaki uzaktan çalışan, sansür-ağırlıklı bölgedeki gazeteci veya aktivist, ISP throttling'den kaçan oyuncu veya veri broker'ları hakkında bir belgesel fazla izlemiş biri.

VPN endüstri organlarının anketleri meşru-kullanım payını %90'ın çok üzerine koyuyor. "VPN piracy demek" çerçevelemesi çoğunlukla 2010'ların torrent kullanıcılarına yönelik VPN pazarlamasından artakalan, artı kullanıcıların trafiklerini gizlemesini sevmeyen ağ operatörlerinden tahmin edilebilir bakış açısı.

Değer için, yaşadığın yerde VPN'lerin yasal olup olmadığı konusundaki bakışımız: çoğu ülkede evet, bir avuç otoriter devlette kısıtlı ve birini suç işlemek için kullanmak hala suç.

8. "ISP'im beni takip etmiyor"

Çoğu yargı yetkisinde yanlış. ABD'deki ISP'ler reklamcılara tarama verisi satıyor (federal seviyede 2017 FCC gizlilik kurallarının iptalinden beri yasal). İngiltere ISP'leri Investigatory Powers Act altında bağlantı metaverisini 12 ay tutmak zorunda. Avustralya ISP'leri iki yıl tutuyor. Rus ISP'ler ölçekte derin paket inceleme uyguluyor. Çoğu AB ISP'si üye-devlet veri tutma kuralları implementasyonları altında en azından bağlantı kayıtlarını tutuyor.

ISP'in DNS'leri üzerinden çözdüğün her domain'i, gönderdiğin her TLS SNI'yı, bağlandığın her IP'yi, ne zaman bağlandığını, ne kadar kaldığını ve ne kadar veri aktardığını biliyor. Satıp satmadığı, tutup tutmadığı, kolluk kuvvetlerine teslim edip etmediği veya sadece kapasite planlaması için analiz ettiği ISP'ye ve ülkeye bağlı. Yapmadığını varsaymak hayalcilik.

9. "Tüm VPN protokolleri temelde aynı"

Yanlış. WireGuard, OpenVPN ve VLESS Reality temel olarak farklı sorunlar çözüyor.

  • WireGuard minimal, hızlı, modern UDP protokolü. Yaklaşık 4,000 satır kernel kodu. Hızlı handshake, düşük overhead, kolay denetim. Önemsiz şekilde parmak izi alınabilir ve sansürlü ağlarda bloklanır. Hız önemliyken ve ağ dostken en iyisi.
  • OpenVPN UDP veya TCP üzerinde çalışan, handshake için TLS kullanan ve modern standartlara göre ağır 20-yıllık protokol. Daha geniş uyumluluk, daha fazla konfigürasyon karmaşıklığı. TLS-Crypt ile port 443'te TCP modunda çalıştığında parmak izi almak makul ölçüde zor ama DPI sistemleri çoğu zaman yine yakalıyor.
  • VLESS Reality büyük bir siteye (Apple, Microsoft, Google) gerçek TLS bağlantısından ayırt edilemez görünmek için tasarlanmış sansür-direnç protokolü. Cover sitenin TLS 1.3 handshake'ini o kadar yakın taklit ediyor ki DPI sistemleri trafiğin o siteye mi yoksa VPN'e mi gittiğini söyleyemiyor. 2026'da Çin, İran ve Rusya'da çalışan bu.

Bunları masaüstü istemcide Bolt (WireGuard), Secure (OpenVPN) ve Stealth (VLESS Reality) olarak markaladık çünkü teknik isimler kullanıcı-dostu değil. Aynı protokoller. Farklı tehdit modelleri. Genel "en iyi protokol" iddiasına değil, üzerinde olduğun ağa göre seç. Detaylı bakış için VPN protokolleri karşılaştırıldı.

10. "Saklayacak bir şeyim yok, yani VPN'e ihtiyacım yok"

Zayıf akıl yürütme. Aynı mantık perdelere ihtiyacın olmadığını, vergi beyanına zarf gerekmediğini, email'ine parola gerekmediğini söylüyor. Hepimiz gizlilik çizgilerini bir yere çekiyoruz. Soru nereye, çekip çekmediğimiz değil.

Gizlilik iyi-tasarlanmış sistemlerin varsayılan durumu, suçlu itirafı değil. Bir hırsızın okumasını istemediğin için laptop diskini şifreliyorsun, suç gizlediğin için değil. Aynı sebeple banyo kapısını kapatıyorsun. VPN ağ katmanı için aynı şey. "Saklayacak bir şeyim yok" çerçevelemesi kategori hatası: "suç işlemiyorum"u "gizliliğe değer vermiyorum" ile karıştırıyor.

Ağ katmanında gerçekten gizliliğe değer vermiyorsan, sorun değil. Vermeyen birçok insan var. Argüman "bu tür gizliliğe değer vermiyorum" olmalı, "ona değer verenler bir şey saklıyor olmalı" değil.

11. "VPN online yaptığın her şeyi koruyor"

Yanlış. VPN ağ-katmanı metaverini ISP'inden ve hedef ağından gizler. Şunları korumaz:

  • Giriş yapılmış kimlik. Google hesabın hala Google hesabın.
  • Çerezler ve takipçiler. VPN IP'ini değiştirir. Çerezlerin hala seni reklam ağına tanımlar.
  • Tarayıcı parmak izi. Canvas parmak izi, WebGL parmak izi, font listesi, ekran boyutları, saat dilimi (değiştirmediysen), audio context parmak izi. Takipçiler oturumlar arası yeniden tanımlar.
  • Düzgün konfigüre edilmemişse DNS. Yanlış konfigüre edilmiş istemci tünel açıkken bile ISP'ine DNS sızdırır. DNS sızıntıları hakkında bir yazımız var.
  • WebRTC. Tarayıcılar bloklanmadıkça WebRTC üzerinden gerçek yerel IP'ini sızdırabilir. WebRTC sızıntılarına bak.
  • Cihazındaki aktif malware. Zaten güven sınırının içinde.

VPN güven sınırını ISP'inden VPN sağlayıcına taşır. Faydalı bir değişim. Bir kuvvet alanı değil.

12. "Tor VPN'den iyidir"

Belirtildiği şekilde yanlış. Tor ve VPN'ler farklı sorunlar çözer. Tor ISP'inden, yerel ağdan ve çıkış node'undan anonimlik için inşa edildi, hız ve birçok web servisinin çıkış IP'lerini bloklaması pahasına. VPN'ler tek sağlayıcıya güvenmek pahasına genel gizlilik ve açma için inşa edildi.

Tor'u kullan:

  • Gazeteci, aktivist veya gerçek bir hasım olan ve kendinle hedef arasındaki bağlantıyı koparman gereken araştırmacısın.
  • Hedef onion servislerini açıkça destekliyorsa.
  • Hız önemli değilse.

VPN kullan:

  • Geo-blok'lu içerik izlemek istiyorsan.
  • Otel Wi-Fi'sındaysan.
  • Streaming servislerinin ve bankaların kabul ettiği stabil, hızlı, düşük-latency bir bağlantıya ihtiyacın varsa.
  • ISP'inden metaveriyi gizlemek ama her şeyi kırmamak istiyorsan.

Spesifik tehdit modelleri için ikisini zincirleyebilirsin de (Tor üstünde VPN, VPN üstünde Tor) ama çoğu insanın buna ihtiyacı yok. "X Y'den iyidir" çerçevelemesi sadece bir hedefe göre anlamlı. İş için doğru aracı seç.

13. "Tüm ticari VPN'ler gizlice trafiğini logluyor"

Genelleme olarak yanlış. Gerçek daha karmaşık: bazı VPN'ler bağımsız denetlendi ve kullanıcı verisi üretmeden hukuki celplere dayandı, bazıları aksini iddia etmesine rağmen log tutarken yakalandı ve çoğu ne öyle ne böyle doğrulanmamış.

Doğrulanmış örnekler:

  • Mullvad birden fazla denetlendi, nakit ödeme kabul ediyor ve 2023'te İsveç polisi tarafından baskına uğradığında ünlüce teslim edecek hiçbir şeyi yoktu.
  • ProtonVPN denetim raporları ve şeffaflık raporu yayınlıyor. 2019 Riseup vakası İsviçre mahkemeleri emir verdiğinde tek bir kullanıcıyı logladıklarını gösterdi (ki gizlilik politikalarının baştan açıkladığı bu).
  • PureVPN 2017'de "no-logs" pazarlama hattına rağmen Lin vakasında FBI'a log sağladığı yakalandı. Politikalarını güncellediler ve o zamandan beri denetlendiler ama orijinal pazarlama yalandı.

Henüz bağımsız üçüncü taraf denetimimiz yok. 2026'da bir tane planlıyoruz ve geldiğinde raporu tam olarak yayınlayacağız. O olana kadar, henüz denetlenmemiş herhangi bir sağlayıcıya uygulaman gereken şüphecilikle iddialarımızı al.

14. "Tarayıcıya gömülü VPN'ler tek ihtiyacın"

Çoğunlukla yanlış. VPN olarak pazarlanan tarayıcı özelliklerinin (Brave VPN, Opera bedava VPN, Edge "secure network") çekinceleri var:

  • Sadece tarayıcı kapsamı. O tarayıcıdan giden trafiği koruyorlar. Diğer uygulamalar (email istemcin, Steam launcher'ın, arka plan yedekleme aracın, VoIP'in) normal sızdırıyor.
  • Genelde proxy, VPN değil. Opera'nın bedava "VPN"i tarihsel olarak HTTPS proxy oldu, ki aynı şey değil. VPN tüneli gibi şifrelemiyor ve DNS sızıntılarını mutlaka bloklamıyor.
  • Sınırlı lokasyonlar ve hızlar. Gündelik açma için faydalı, birincil gizlilik aracı olarak değil.

Sadece tarayıcı kullanıyorsan ve online başka hiçbir şey yapmıyorsan, tarayıcı VPN gerçek bir şey. Çoğu insan için ağ ayak izinin üçte birini kapsıyor ve tam koruma yanlış hissi veriyor. Gerçek sistem-seviyesi VPN farklı kategori.

15. "Kill switch opsiyonel özellik"

Yanlış. Kill switch, kapalı başarısız olan VPN (tünel düşüşü sırasında trafik sızmıyor) ile açık başarısız olan VPN (yeniden bağlanma olurken birkaç saniye gerçek IP'in ve trafiğin sızıyor) arasındaki fark.

Tüneller düşer. Ağ değişiklikleri (Wi-Fi'dan Ethernet'e, laptop uyutmak, ağ değiştirmek) rutin olarak VPN tünellerini bozar. Sunucular ara sıra arızalanır. ISP'ler bazen takılır. Kill switch olmadan, düşüş sırasında gerçek IP'in hedefin log'unda görünür. DNS sorguların ISP'ine gider. Canlı video aramanın istemcinin düşüşü algılayıp yeniden bağlanmasının aldığı saniyelerde şifresiz bağlanır.

Kernel-seviyesi kill switch (Windows'ta WFP filtreleri, macOS'ta pf, Linux'ta nftables) tüm VPN-olmayan trafiği OS seviyesinde bloklar, böylece VPN istemcisi çökse bile firewall kuralları kalır. Uygulama-seviyesi kill switch hiç olmamasından iyi ama tespit gecikmesi var.

Kill switch'lerin gerçekten nasıl çalıştığı hakkında daha derin bir yazımız var. Her durumda: birisi olmadan VPN alma. Mevcut sağlayıcının yoksa veya varsayılan olarak etkin değilse, anlamlı bir boşluk.

Bununla ne yapmalı

VPN mitlerinin çoğu var çünkü abonelik satıyorlar. Daha sağlıklı çerçeveleme: VPN spesifik işler için spesifik bir araç. Ağ metaverini ISP'inden gizliyor, düşmanca ağlarda trafiği şifreliyor, başka bir ülkeden gelmiş gibi görünmeni sağlıyor ve protokol doğruysa sansüre direniyor. Bu gerçek, faydalı bir yetenek seti.

Anonimlik değil. Geniş anlamda hacker koruması değil. Sihir değil.

Sağlayıcı seçiyorsan, VPN nasıl seçilir yazısı başlamak için doğru yer.

7-günlük ücretsiz trial sunuyoruz çünkü VPN'in hayatındaki yerini hak edip etmediğini öğrenmenin tek yolu kullanmak. Kaydol, gerçekten kullandığın ağlarda çalıştır, yardım edip etmediğini gör. Etmiyorsa yedi gün içinde iptal et. Adil bir anlaşma.

VPN mitleri çürütüldü | Fexyn VPN