Bloga geri dön

Web Bot Auth: Botların Kripto Pasaportu Oldu — Bu, Scraping İçin Ne Anlama Geliyor?

Cloudflare, Google, Amazon, Akamai ve OpenAI, Web Bot Auth etrafında toplandı: otomatik trafik artık IP ve User-Agent ile değil, kriptografik imza (RFC 9421, Ed25519) ile kontrol ediliyor. Google zaten test ediyor, IETF standartı Ağustos 2026'ya kadar hazırlıyor. Signed agents mekanizmasının nasıl çalıştığını ve bağımsız scraper'lar için bunun neden kaliteli yerleşik ve mobil proxy'leri daha da önemli hale getirdiğini inceliyoruz.

📅8 Temmuz 2026
Web Bot Auth: Botların Kripto Pasaportu Oldu — Bu, Scraping İçin Ne Anlama Geliyor?
```html

Bazıları botları engellerken, diğerleri onlara pasaport göstermeyi öğretiyor. 2026 yılında Cloudflare, Google, Amazon, Akamai ve OpenAI tek bir standart etrafında toplandı — Web Bot Auth. Fikir basit ve radikal: otomatik trafik artık IP adresi ve kolayca taklit edilebilen User-Agent dizesi ile kontrol edilmiyor. Bunun yerine, ajan her isteği kriptografik olarak imzalıyor ve site imzayı anında kontrol ediyor. 2 Mart 2026'da mimari taslağın beşinci versiyonu (draft-meunier-web-bot-auth-architecture-05) yayımlandı, Mayıs ayında Google savaş testlerine başladı ve IETF çalışma grubu 2026 Ağustos'unda standartı yayımlamayı hedefliyor. Bu mekanizmanın ne olduğunu, arkasında kimin olduğunu ve scraping ve çoklu hesaplarla uğraşan herkes için neden 180 derece bir dönüş olduğunu anlamaya çalışıyoruz.

Neler oldu: botların kriptografik kimliği ortaya çıkıyor

Web'deki klasik "kendi–yabancı" kontrolü iki dayanağa dayanıyordu. Birincisi — User-Agent: istemcinin kendisi hakkında bildirdiği dize ve herhangi bir script'in bunu bir kod satırına yazdığı dize. İkincisi — IP adresi listeleri: site, Googlebot, Bingbot ve diğerlerinin "resmi" aralıklarının bir listesini tutar ve ters DNS ile kontrol eder. Her iki yaklaşım da 2026'da tamamen çöktü.

Cloudflare, teknik belgelerinde sorunu açıkça formüle ediyor: aynı IP, birçok kullanıcı veya hizmet tarafından aynı anda kullanılabiliyor ve aralıklar sürekli olarak altyapıya bağlı olarak değişiyor. User-Agent ise aslında bir kanıt değil — bu sadece kendi kendini tanıtma. Yazarların düşüncesine göre, kriptografik imza, "daima değişen IP aralıkları" veya "User-Agent gibi taklit edilebilen başlıklar" üzerine dayanarak kimlik doğrulama sağlar.

Teknik olarak Web Bot Auth, zaten kabul edilmiş olan HTTP Message Signatures (RFC 9421) standardına dayanıyor. Her ajana bir Ed25519 anahtar çifti veriliyor. İsteği göndermeden önce, ajan her şeyi değil, hedef URI'nin authority'sini — yani başvurduğu alan adını (örneğin example.com adresine girdiğinde, tam olarak example.com'u imzalıyor) imzalıyor. İsteğe Signature-Input başlıkları (oluşturulma ve sona erme etiketleri ile geçerlilik penceresi, JWK Thumbprint formatında anahtar kimliği ve web-bot-auth etiketi) ve Signature-Agent ekleniyor; bu, kamu anahtarlarının bulunduğu dizine işaret ediyor (JWKS). Site, bu dizinden kamu anahtarını indiriyor ve imzayı kontrol ediyor. Özel anahtar olmadan bunu taklit etmek imkansız ve geçerlilik penceresi, yakalanan isteğin yeniden oynatılmasına karşı koruma sağlıyor.

Standartın arkasında kim var

Bu, tek bir şirketin deneyi değil. Web Bot Auth, Cloudflare, Amazon, Akamai ve OpenAI tarafından destekleniyor. Mimari taslağı, Thibaut Meunier (Cloudflare) ve Sándor Major (Google) ortaklaşa yazıyor. AWS WAF zaten imza kontrolü desteğini ekledi, Cloudflare bunu kendi Doğrulanmış Botlar programına entegre etti ve üretimdeki kenarına etkinleştirdi. 2026 yılında Web Bot Auth için ayrı bir IETF çalışma grubu kuruldu ve 2026 Ağustos'unda spesifikasyonu standartlaştırmak için teslim etmeyi hedefliyor.

Google devreye girdi — bu bir dönüm noktası

6 Mayıs 2026'da Google'ın kendi bot trafiğini kontrol etmek için Web Bot Auth'u test ettiği bilgisi ortaya çıktı. Amaç, sitenin, Googlebot olarak kendini tanıtan isteğin gerçekten Google'dan gelip gelmediğini doğrulamasıdır; yoksa sadece Googlebot'u User-Agent'a yazan birinden mi geliyor. İmzalı AI trafiği Google altında agent.bot.goog kimliğiyle gidiyor — site sahipleri bu uç noktadan Google'ın kamu anahtarlarını alıyor ve Signature ve Signature-Input başlıklarını doğruluyorlar.

Bu neden şimdi bu kadar önemli? Tam da ajans tarayıcılarının engellenmesi hakkında yazdığımız konudan dolayı: 15 Eylül 2026'dan itibaren Cloudflare, yeni alanlardaki reklam sayfalarında "karışık" AI tarayıcılarını varsayılan olarak kesiyor ve Cloudflare üzerinden geçen web trafiği toplam webin yaklaşık beşte birini oluşturuyor. Web kapanıyor. Ve Web Bot Auth, "nasıl engellenir" değil, "kimi içeri alırız" ile ilgilidir. Yeni bir tür beyaz liste ortaya çıkıyor: IP'ye değil, kriptografik kimliğe göre. Site, "fiyatları ve ürün detaylarını yalnızca doğrulanmış imzalı ajanslara göster" politikası uygulayabilir — ve geri kalan her şey otomatik olarak dışarıda kalır.

İmzalı ajanlar: ilk kohort

Ayrı bir kategori — signed agents (imzalı ajanlar). Bunlar, son kullanıcı tarafından yönetilen botlardır, tek bir şirket tarafından değil: platform veya ajanın çalıştığı uzaktan tarayıcı, onun HTTP isteklerini imzalar ve Cloudflare imzaları doğrular. İlk kohorta ChatGPT agent (OpenAI), Goose (Block), Browserbase, Anchor Browser ve Cloudflare Browser Rendering girdi. Block'tan Dawe Osinga, faydayı doğrudan şöyle tanımladı: "Web Bot Auth, sitelerin Goose'a güvenmesini sağlıyor, onun benzersiz olmasını koruyarak."

Temel fark: imzalı ajan, bir insanın adına hareket eder (şartlı bir asistan, sizin talebinizle siteye giren), oysa "arama" veya "eğitim" tarayıcısı bir şirket için çalışır. Cloudflare, bu varlıkları güvenlik kurallarında zaten ayırıyor — ve işte bu ayrım, 2026-2027'de webde kimin kapılarını açacağına ve kimin açmayacağına karar verecek.

Bu, scraping ve proxy için ne anlama geliyor

İlk bakışta, kripto imzanın anonim scraping'i sona erdireceği düşünülüyor. Ancak pratikte durum daha karmaşık — web iki hareket şeridine bölünüyor ve bu, hedef kitlemiz için taktiği değiştiriyor, iptal etmiyor.

  • İmzalı ajanlar şeridi. Büyük platformlar ve beyaz listedeki "kullanıcı" asistanları için dar, ayrıcalıklı bir geçiş. Buraya girmek için özel anahtar, kamu JWKS dizini, CDN kaydı ve politikalara uygunluk gerekiyor. Tipik bir parsing projesi, anti-detect çiftliği veya SMM otomasyonu için bu yol kapalı: siz Google değilsiniz ve OpenAI değilsiniz, imza verilmeyecek.
  • Diğerleri şeridi. Burada hâlâ bağımsız scraping yapanlar, fiyat izleme, veri toplama, çoklu hesaplar yaşıyor. Ve burada proxy kalitesine ve iz bırakmanın doğruluğuna olan bahisler artıyor. "Legitim" olanlar imza ile geçiyorsa, imzasız trafiğe varsayılan olarak daha sıkı bir yaklaşım sergileniyor.

Diğer bir deyişle, Web Bot Auth, proxy ihtiyacını ortadan kaldırmıyor — bu, beyaz listede olmayanlar için standartları yükseltiyor. Daha önce gri User-Agent ile geçiş yapma umudu varken, şimdi imzasız bir istek hemen "canlı bir insan olduğunu kanıtla" kategorisine giriyor. Ve bu, temiz bir IP ve inandırıcı bir davranış kombinasyonu ile kanıtlanıyor.

Neden konut ve mobil IP'ler daha değerli hale geliyor

İmza mevcut olmadığında, meşru görünmenin tek yolu, sıradan bir kullanıcıdan ayırt edilememektir. Veri merkezi adresleri bu görevi yerine getirmiyor: Cloudflare koruma ölçümlerine göre, veri merkezi IP'leri yalnızca %40-60 oranında geçiyor, oysa konut proxy'leri %85-99 arasında bir geçiş sağlıyor. Sebep, konut adresinin gerçek bir internet sağlayıcısına ve canlı bir aboneye ait olmasıdır — IP'nin itibarı, aynı yönlendiricinin arkasındaki bir insandan ayırt edilemez.

En korunaklı platformlar ve mobil uygulamalarla durum daha da sertleşiyor; burada hücresel ağlar devreye giriyor. Burada mobil proxy'ler kurtarıcı oluyor: bir operatörün arkasında binlerce canlı abone bulunuyor, bu nedenle böyle bir adresi topluca yasaklamak, gerçek müşterileri kesmek anlamına geliyor. İşte bu "ortak kazan" etkisi, mobil IP'leri, diğer her şeyin şeffaflaştığı bir dünyada en dayanıklı para birimi haline getiriyor.

Ancak temiz bir IP artık yeterli değil. Kimlik kontrolü ağdan kriptografiye kayarken, tüm imzasız bot ordusu davranışsal ve tarayıcı parmak izi ile geçiyor: TLS/JA4, canvas, WebGL, yazı tipleri, zamanlamalar. Proxy, bir alarm sinyalini (adresin itibarını) ortadan kaldırıyor, ancak diğerlerini iptal etmiyor. 2026'nın çalışma kombinasyonu — konut veya mobil IP artı uyumlu bir parmak izi ile anti-detect ortamı. Bir bileşen diğerinden yoksun olduğunda, bot ilk koruma seviyesinde ortaya çıkıyor.

Şimdi nasıl hareket etmeli

  1. Projeleri şeritlere ayırın. Eğer görev, büyük bir ürün adına resmi bir entegrasyon ise, imzalı ajan yolunu inceleyin: CDN kaydı ve anahtarların alınması. Diğer her şey için "diğerleri şeridi"nde çalışmayı planlayın ve kurallarını belirleyin.
  2. IP kalitesine yatırım yapın, miktarına değil. Ucuz veri merkezi havuzları 2026'da giderek daha fazla engel oluşturuyor. Bahsinizi, göreve uygun bir şekilde dönen konut ve mobil adresler üzerine yapın.
  3. Parmak izini ağ ile senkronize edin. Aynı ülkeden IP, ancak tarayıcı dili, saat dilimi ve yerel ayar farklıysa, bu klasik bir başarısızlıktır. Parmak izi, proxy'nin coğrafi konumuyla tutarlı bir şekilde eşleşmelidir.
  4. Standartı takip edin. 2026 Ağustos'unda IETF, spesifikasyonu sonlandırmayı planlıyor. Web Bot Auth belirli bir platformda erişim için zorunlu bir şart haline geldiğinde, onun için taktiği önceden gözden geçirmek gerekecek, sonradan değil.

Sonuç

Web Bot Auth, sıradan bir anti-bot değil, webdeki güvenin mantığını değiştiren bir sistemdir: "IP'ye göre kim olduğunu" yerine "kriptografi ile kim olduğunu kanıtla" anlayışına geçiş. Google ve OpenAI gibi devler için bu, kapanan internete geçiş belgesidir. Bağımsız scraping yapanlar ve çoklu hesap projeleri için bu, gri yöntemlerin kesinlikle çalışmayı bıraktığına dair bir sinyaldir ve "insan gibi görünmek" ile "bot gibi görünmek" arasındaki fark belirleyici hale geliyor. Yeni gerçeklikte kazanacak olan, daha fazla IP'ye sahip olan değil, temiz bir konut veya mobil adres ve kusursuz bir şekilde uyumlu bir parmak izi olan olacaktır. Kripto pasaport herkesin eline verilmedi — bu nedenle, diğer herkesin daha inandırıcı olması gerekecek.

```