Güvenlik ve Veri Koruma

OpenRouter anahtarınız
nasıl korunuyor?

Bu sayfa, Davamda'nın güvenlik modelini olduğu gibi anlatır. Hangi savunmaların var olduğunu, hangi tehditlere karşı çalıştığını ve hangi sınırların farkında olduğunuzu bilmenizi istiyoruz.

Düz metin saklanmaz

API anahtarınız Fernet (AES-128) şifreli olarak saklanır. Veritabanında düz metin hiç bulunmaz.

Ana anahtar ayrı yerde

Şifreleme ana anahtarı veritabanında değil, Cloudflare Worker secret deposunda saklanır.

Anahtar geri okunamaz

Hiçbir API uç noktası anahtarınızın düz metnini geri döndürmez. Yalnızca son 4 hane görünür.

Şifreleme modeli

Anahtarınıza ne oluyor?

OpenRouter API anahtarınızı Davamda ayarlarına eklediğinizde şu adımlar gerçekleşir:

  1. Tarayıcınızdan sunucuya HTTPS üzerinden iletilir. Cloudflare TLS 1.3 ile uçtan uca şifreler.
  2. Sunucu OpenRouter'a bir doğrulama isteği yapar. Geçersiz anahtarlar hiç saklanmaz.
  3. Düz metin anahtarınız Fernet ciphertext'e (AES-128-CBC + HMAC-SHA256) dönüştürülür. Şifrelemede kullanılan ana anahtar (master key, 32 baytlık URL-safe base64) Cloudflare Worker secret deposunda saklanır; veritabanında, kodda veya GitHub'da kesinlikle bulunmaz.
  4. Veritabanına yalnızca üç şey yazılır: openrouter_key_encrypted (ciphertext), openrouter_key_set_at (zaman damgası) ve openrouter_key_last4 (yalnızca arayüzde göstermek için son 4 hane).
  5. Bir sohbet sorgusu sırasında düz metin yalnızca o anki Python coroutine'i içinde, milisaniyeler boyunca, asyncio görevine bağlı bir ContextVar'da var olur. İstek bittiğinde bellekten silinir; loglara, yanıt gövdelerine veya başka bir veritabanı tablosuna asla yazılmaz.

Kaynak kodu

Şifreleme servisinin tamamı yaklaşık 130 satırlık tek bir Python dosyasıdır. Doğrulayabilirsiniz:

Tehdit modeli

Hangi tehditlere karşı korunuyoruz?

Açıkça yazıyoruz: bazı tehditlere karşı güçlü teknik savunmalarımız var, bazılarına karşı yalnızca operasyonel ve sözleşmesel garantilere güveniyoruz.

Tehdit Savunma Gücü
Veritabanı sızıntısı (yalnızca okuma) Ana şifreleme anahtarı veritabanında değil, Cloudflare secret deposunda. Ciphertext tek başına işe yaramaz. Güçlü
JWT/oturum hırsızlığı Oturum açmış kullanıcı bile düz metin anahtarı geri okuyamaz; böyle bir uç nokta yoktur. Yalnızca silme/yenileme yapılabilir. Güçlü
Ağ üzerinde MITM Tüm trafik HTTPS, Cloudflare uçtan uca TLS, HSTS aktif. Tarayıcı → sunucu → OpenRouter zinciri şifreli. Güçlü
XSS ile anahtar kaçırma CSP başlıkları script kaynaklarını sınırlar; React otomatik kaçışlama yapar; anahtar girişi password tipinde, innerHTML kullanılmaz. Orta-güçlü
Backend RCE / kötü niyetli bağımlılık Pinlenmiş bağımlılıklar, sınırlı yerleşik paket seti, sandboxlanmış container. Yine de RCE durumunda env okunabilir. Orta
Cloudflare Worker secret depo erişimi olan operatör Bu kişi ana anahtarı okuyabilir ve teknik olarak tüm kullanıcı anahtarlarını çözebilir. Sunucu tarafı yürütme zorunluluğu olan bir mimaride bu kaçınılmazdır. Açıkça kabul ediyoruz

Şeffaflık

Neden zero-knowledge değiliz?

Davamda; çoklu ajan orkestrasyonu, Yargı MCP üzerinden mahkeme veritabanı sorguları, doküman analizi ve dilekçe taslağı üretimi yapar. Bunların hepsi sunucu tarafı yürütme gerektirir. OpenRouter çağrılarını avukat adına biz yaptığımız için anahtarın bizim altyapımızdan geçmesi şart.

Bu tasarımın doğal sonucu: yeterince yetkili bir Davamda operatörü teknik olarak anahtarınıza erişebilir. Buna karşı sözleşmesel ve operasyonel garantiler veriyoruz; ama bu konuda dürüst olmak teknik gerçeği gizlemekten daha doğru.

Sıfır bilgili (zero-knowledge) bir model isterseniz, OpenRouter'ı doğrudan tarayıcı eklentisiyle kullanmanız daha uygun olur — orada da Davamda'nın sağladığı orkestrasyon, kaynak doğrulama ve belge hazırlama olmaz.

Sizin tarafınızda alınacak önlemler

Riski sınırlandırmanın en etkili yolları

1. Davamda'ya özel bir anahtar oluşturun

OpenRouter'da Settings → Keys'ten "davamda" adıyla yeni bir API anahtarı oluşturun. Aynı anahtarı başka uygulamalarda kullanmayın; böylece bir sorun olursa yalnızca o anahtarı iptal etmeniz yeterli olur.

2. Aylık harcama limiti koyun

OpenRouter her anahtara ayrı bir spend limit atayabilir. Limits dokümantasyonu → Tipik bir avukat kullanımı için 20–50$ aylık limit yeterli olur. Bu, en kötü senaryoda kaybınızın üst sınırını sabitler.

3. Yalnızca güveneceğiniz tutarda kredi yükleyin

OpenRouter ön ödemeli; hesabınızda olmayan parayı harcayamaz. İlk denemede 5–10$ ile başlamak yeterli.

4. Şüpheli aktivitede anahtarı OpenRouter'dan iptal edin

Bizim dışımızda da, anahtarın hayatı sizin elinizde. OpenRouter Settings → Keys'te "Revoke" düğmesi anlık olarak anahtarı iptal eder. Sonra Davamda ayarlarında yeni bir anahtar girebilirsiniz.

İhlal halinde taahhüdümüz

Bir şey ters giderse

Sunucu altyapımızda herhangi bir kişisel veri ihlali olursa, KVKK 12. madde çerçevesinde Kişisel Verileri Koruma Kurulu'na 72 saat içinde bildirim yapacağız.

Bunun dışında, etkilenen kullanıcılara doğrudan e-posta yoluyla bilgi vereceğiz. Bildirim içeriğinde ihlalin niteliği, etkilenen veri kategorileri (anahtar metaverileri, ciphertext) ve önerilen önlem (anahtarınızı OpenRouter'dan iptal edin) açıkça yer alacak.

Güvenlikle ilgili bir sorun fark ederseniz lütfen önce e-posta gönderin: [email protected]. Sorumlu açıklama (responsible disclosure) ilkelerine bağlı kalıyoruz.

Altyapı bileşenleri

Davamda hangi sağlayıcılarla çalışıyor?

  • Cloudflare

    Worker, Container Durable Objects, DNS, TLS, secret store. SOC 2 Type II ve ISO 27001 sertifikalı.

  • Neon (Postgres)

    Frankfurt bölgesinde barındırılan PostgreSQL 17. SOC 2 Type II sertifikalı, AWS altyapısı üzerinde çalışır.

  • OpenRouter

    LLM yönlendirme katmanı. Sizin anahtarınızla çalışır; biz sadece geçici olarak kullanıp ileterek isteği iletiriz.

  • Yargı MCP

    Açık kaynak, Türk mahkeme veritabanlarına erişim sağlar. Çağrılar resmi Yargıtay/Danıştay altyapısına gider.

Sorularınız varsa cevaplayalım

Güvenlik modeline ilişkin merak ettiğiniz herhangi bir şey varsa [email protected] adresinden bize yazın. 24 saat içinde yanıt veriyoruz.

Davamda'ya Başlayın