Özel alan izolasyonu neden estetik değil regülasyon gereksinimidir

Bir operatör Sporbet Soft iframe önünde bet.operator.com çalıştırdığında ve kardeş bir operatör aynı vendor altyapısı önünde bet.competitor.com çalıştırdığında, UK, Malta, İsveç, Avustralya veya Ontario'daki düzenleyici vendor sorunu görmez — güvenlik duruşları bağımsız olması gereken iki operatör görür.

Bu düzenleyici çerçeveleme özel alan izolasyonunun sadece güzel-olsa marka özelliği olmadığı, yapısal bir uyumluluk gereksinimi olduğunun nedenidir. Her partner-bakan yüzey — çerezler, local storage, CSP, CORS — her partner kendi özel altyapısındaymış gibi davranmalıdır.

Bizi buraya getiren mimari parçalar entegrasyon anatomimizde özetlenmiştir.

Özel alan self-servisi ve otomatik SSL provizyonu

bet.operator.com CNAME'lerini Sporbet Soft'un edge gateway'ine yönlendiren bir operatör, bugün, partner panelinde beş dakikalık bir self-servis akışıdır. Operatör alan adını yapıştırır, hesabından eşleşen API anahtarını seçer ve panel DNS doğrulamasından (TXT kayıt doğrulama), TLS provizyonundan ve CSP-header yapılandırmasından geçirir.

Kaputun altında, sertifika otoritesi operatörün hostname'ine kapsamlı bir SAN sertifikası verir. Sertifika edge filomuzun TLS-sonlandırma katmanında hostname ile anahtarlanarak saklanır. Sertifika rotasyonu 30 günlük bir kadansta otomatiktir.

Sporbet Soft özel anahtarları TLS-sonlandırma katmanının KMS-şifreli hacminin dışında asla saklamaz — bkz. iframe'in bu karmaşıklığı nasıl absorbe ettiği.

Partner başına kapsamlı Content-Security-Policy

CSP, başlık izolasyon primitividir. Iframe'in bir partnerin özel alanında sunduğu her yanıt o partnere kapsamlı bir CSP header'ı taşır — default-src 'self', script-src 'self', connect-src 'self' wss://gw.sporbetsoft.com, frame-ancestors https://*.operator.com, plus panelde yapılandırılan partner-spesifik uzantılar.

frame-ancestors direktifi yük taşıyan olandır. Tarayıcıya iframe'i hangi parent origin'lerin gömmesine izin verildiğini söyler; frame-ancestors https://*.operator.com ayarlayan bir operatör, üçüncü taraf bir site clickjack denerse iframe'in render etmeyi reddetmesini sağlar.

Bir operatör yeni bir pazarlama subdomain'i eklediğinde — örneğin promo.operator.com — panel üzerinden frame-ancestors'ı güncellerler ve yeni politika bir sonraki istekte yürürlüktedir. Dağıtım yok, ticket yok, bekleme yok.

X-Frame-Options, COOP ve sandbox özelliği

X-Frame-Options, frame-ancestors'ın eski kuzenidir ve eski tarayıcılar için (çoğunlukla eski tarayıcı sürümlerinde sıkışmış kurumsal Windows filoları) hâlâ gönderiyoruz. Header iframe'in HTML yanıtlarında varsayılan olarak SAMEORIGIN'a ayarlıdır.

Cross-Origin-Opener-Policy daha ilginç modern header'dır. Sporbet Soft iframe'i Cross-Origin-Opener-Policy: same-origin-allow-popups taşır, bu iframe'in tarama bağlamını operatörün parent sayfasından izole eder (böylece parent sayfanın JavaScript'i açılan popup'lar üzerinden iframe'in window nesnesine ulaşamaz) ancak iframe'in KYC sağlayıcıları için OAuth-tarzı popup açmasına izin verir.

Iframe'in sandbox özelliği, operatör ek izolasyon istediğinde, sandbox="allow-scripts allow-same-origin allow-popups allow-forms"'a ayarlanabilir.

CORS allow-list ve WebSocket origin kontrolü

CORS, çok kiracılı platformların en sık kaydığı yerdir. Cazibe, partner storefront'ların platformdan her yerden geri arayabilmesi için vendor API endpoint'lerinde Access-Control-Allow-Origin: * ayarlamaktır. Bu bir tenant için çalışır ve birçoğu için kötü kırılır.

Sporbet Soft API'ları partner'ın yapılandırılmış alanlarından türetilen katı bir partner başına CORS allow-list'ine uyar. https://promo.operator.com'dan gelen bir istek yalnızca promo.operator.com partner A'nın allow-list'indeyse partner-A endpoint'lerine karşı başarılı olur.

Aynı allow-list WebSocket origin kontrolünü yönetir. WebSocket gateway'imiz upgrade isteğinde Origin header'ını inceler ve eşleşmeyen origin'lerden gelen bağlantıları HTTP 403 ile reddeder — bkz. oran gecikme mimarisi yazımız.

Çerez izolasyonu: alan-kapsamlı, bölümlenmiş ve SameSite-farkında

Çerezler çok kiracılı izolasyonun en sık sızdığı yüzeydir. Sporbet Soft modeli iframe'in ayarladığı her çerezin partnerin özel alanına kapsamlı olduğu — vendor wildcard'ına değil, paylaşılan subdomain'e değil — ve CHIPS spesifikasyonu (Partitioned özniteliği) uyarınca bölümlendiği şeklindedir.

Her kimlik doğrulama çerezi HttpOnly, Secure ve SameSite=None; Partitioned ile taşınır. Oturum tokenları kısa ömürlüdür (15 dakika) ve WebSocket bağlantısının kimliği doğrulanmış kanalı üzerinden sessizce yenilenir.

Local storage ve IndexedDB tarayıcı tarafından origin başına bölümlenmiştir ve iframe'in origin'i özel alan kurulumu nedeniyle partner başına benzersizdir.

Denetçi gerçekten neyi kontrol eder

Bir UKGC, MGA, Spelinspektionen, ACMA veya AGCO denetçisi Sporbet Soft'u bir operatör adına B2B vendor olarak incelediğinde, senaryo öngörülebilirdir. Iframe'i operatörün özel alanı üzerinden çekerler, her yanıt başlığını dökerler, CSP ve COOP/COEP'ten geçerler, çerezleri dökerler, local storage'ı dökerler.

Denetim ayrıca operasyonel disiplinden geçer: partner alanı nasıl eklenir? Partner paneline kimin erişimi var? Yönetici eylemleri nasıl loglanır? Sporbet Soft'ta cevaplar: DNS+CSP doğrulamalı self-servis akışı; sadece operatörün rol-kapsamlı panel kullanıcıları; her yönetici eylemi değişmez audit olayı yayar.

Regülasyonlu pazarlara inen operatörler tipik olarak bu makaleyi satın alma aşamasında denetçileriyle paylaşırlar. Lisans inceleme zaman çizelgesinden haftalar kazandırır. Bkz. iframe genel bakış ve fiyatlandırma.