Web Real-Time Communication (WebRTC), tarayıcılar ve uygulamalar arasında eklentiye ihtiyaç duymadan doğrudan eşler arası (P2P) ses, video ve veri iletimini sağlayan açık kaynaklı bir çerçevedir. Bu iletişimin başarılı bir şekilde kurulabilmesi ve sürdürülebilmesi için WebRTC, kullanıcının ağ yapılandırmasından cihaz donanımına kadar geniş bir yelpazede bilgi toplamak zorundadır.
WebRTC’nin topladığı bilgiler temel olarak şu kategorilere ayrılmaktadır:
1. Ağ ve Bağlantı Bilgileri (ICE Adayları)
WebRTC’nin en kritik veri toplama süreci Interactive Connectivity Establishment (ICE) çerçevesidir. Bu süreçte tarayıcı, bağlantı kurabileceği tüm olası ağ yollarını (“adaylar”) belirlemek için şu verileri toplar:
• IP Adresleri: Kullanıcının hem dahili (LAN) IP adresleri (örneğin 192.168.x.x) hem de genel (WAN) IP adresleri tespit edilir.
• Port Bilgileri: İletişimin gerçekleşeceği spesifik ağ portları belirlenir.
• mDNS Tanımlayıcıları: Dahili IP sızıntısını önlemek amacıyla kullanılan “.local” uzantılı mDNS ana bilgisayar adları toplanır.
• Ağ Türü ve CGNAT: Özellikle mobil ağlarda, operatör tarafından atanan Carrier-Grade NAT (CGNAT) adresleri (genellikle 10.x.x.x bloğu) saptanabilir.
Örnek: Bir web sitesine yerleştirilen basit bir JavaScript kodu, kullanıcının herhangi bir izni olmadan arka planda STUN sunucularına istek göndererek gerçek genel IP adresini ve yerel ağdaki cihazının IP’sini sızdırabilir.
2. Medya ve Cihaz Yetenekleri (SDP Metadatası)
Bağlantı öncesinde taraflar, Session Description Protocol (SDP) kullanarak medya özelliklerini değiş tokuş eder. Bu kapsamda toplanan veriler şunlardır:
• Codec Bilgileri: Cihazın desteklediği video (H.264, VP8, VP9, AV1) ve ses (Opus, G.711) kodlayıcı türleri.
• Çözünürlük ve Kare Hızı: Hedeflenen video çözünürlüğü (1080p, 720p vb.) ve kare hızı (FPS) ayarları.
• Donanım Listesi: Cihaza bağlı olan kamera, mikrofon ve hoparlör gibi medya aygıtlarının etiketleri ve türleri.
Örnek: WebRTC üzerinden gerçekleştirilen bir video konferans uygulamasında, sistem donanımınızın hangi codec’leri desteklediğini analiz ederek en uygun video kalitesini otomatik olarak seçer.
3. Sistem ve Tarayıcı Metadatası
WebRTC, bağlantı parametrelerini optimize etmek için tarayıcı ve işletim sistemi hakkında detaylı metadatalar toplar. Bu veriler genellikle parmak izi çıkarma (fingerprinting) amacıyla kötüye kullanılabilir:
• Tarayıcı Detayları: Tarayıcı türü, sürümü ve User-Agent bilgileri.
• Ekran Özellikleri: Cihazın ekran çözünürlüğü ve cihaz piksel oranı (DPR).
• Yerel Ayarlar: Kullanıcının zaman dilimi ve dil tercihleri.
4. Oturum ve Performans İstatistikleri
İletişim sırasında ağ kalitesini izlemek için RTCP (Real-Time Transport Control Protocol) üzerinden dinamik veriler toplanır:
• Ağ Metrikleri: Gecikme süresi (RTT), paket kaybı oranları ve jitter (gecikme dalgalanması).
• Bant Genişliği Tahminleri: Kullanılabilir bant genişliğine dair hedef bitrate değerleri.
• Tampon Bellek Durumu: Jitter buffer (titreme tamponu) gecikme süreleri ve doluluk oranları.
Örnek: Google Chrome’da chrome://webrtc-internals sayfası ziyaret edildiğinde, WebRTC’nin o anki bağlantı için topladığı paket kaybı ve bitrate gibi onlarca teknik veri grafiksel olarak görülebilir.
5. Güvenlik Metadatası
Güvenli bir kanal oluşturmak için WebRTC şu teknik verileri de paylaşır:
• DTLS Sertifika Parmak İzleri: Eşlerin birbirini doğrulaması için kullanılan kendinden imzalı sertifikaların parmak izleri.
• Sertifika Düzenleyicisi: WebRTC sertifikalarında standart olarak bulunan “WebRTC” issuer (düzenleyici) dizesi.
Özetle; WebRTC, kesintisiz bir iletişim sunabilmek için kullanıcının ağ yapısını, cihaz özelliklerini ve anlık ağ performansını içeren çok boyutlu bir veri seti toplar. Bu verilerin bir kısmı (özellikle IP adresleri ve mDNS tanımlayıcıları), VPN kullanılsa dahi sızabildiği için gizlilik açısından kritik bir risk yüzeyi oluşturmaktadır.
