Race Condition Nedir 
Zamanlama Hatalarıyla Gelen Mantıksal Açıklar
Race Condition Nedir
Race Condition, birden fazla işlem veya isteğin aynı kaynağa eşzamanlı erişmesi ve beklenen sıranın bozulması sonucu ortaya çıkan mantıksal güvenlik açığıdır.
Sorun kodda değil; zamanlamadadır.
Kim önce davranırsa sonucu o belirler.
Neden Güvenlik Açığı Sayılır
Çünkü doğrulama ve işlem ayrı anlarda yapılır. Araya giren ikinci istek sistemi kandırır. Yetki, bakiye, durum bilgisi bozulur.
Klasik TOCTOU Mantığı
Time Of Check → Time Of Use Kontrol yapılır, sonra işlem gerçekleşir.
İki an arasına saldırı sığar.
Basit Bir Örnek
“Bakiye yeterli mi?” kontrolü
Aynı anda iki ödeme isteği İkisi de geçer → bakiye eksiye düşer
En Sık Görüldüğü Alanlar
Finansal işlemler
Stok / rezervasyon
Yetki yükseltme akışları Paylaşılan her kaynak risklidir.
Web Uygulamalarında Nasıl Olur
Paralel HTTP istekleri Session veya cache paylaşımları Kullanıcı aynı işlemi “aynı anda” yaptırır
Thread ve Process Yarışı
Çoklu thread Çoklu process Kilit yoksa veri tutarsızdır
Atomic İşlem Nedir
Bölünemez işlem Ya tamamen olur ya hiç olmaz Race Condition’ın panzehiri budur
Lock Kullanımı Neden Şart
Mutex / Semaphore Aynı anda tek erişim Ama yanlış kilitlenme de risklidir
Optimistic vs Pessimistic Locking
Optimistic: Çakışma olursa geri al
Pessimistic: Baştan kilitle Senaryoya göre seçim yapılmalı Database Seviyesinde Race Condition
Isolation level düşükse Dirty read / lost update olur Transaction doğru ayarlanmalıdır Cache ve Queue Riskleri
Cache tutarsızlığı
Queue sırası bozulması Performans artarken mantık çöker API’lerde Yarış Senaryosu
Aynı endpoint’e hızlı istek Rate limit yoksa yarış başlar Mantık bypass edilir WAF ve Firewall Neden Engelleyemez
Çünkü bu bir mantık hatasıdır Trafik meşrudur Çözüm mimaridedir Test Edilmesi Neden Zordur
Deterministik değildir Her zaman aynı sonucu vermez Canlıda ortaya çıkar Nasıl Tespit Edilir
Anormal çift kayıtlar
Negatif stok/bakiye Zaman damgaları ipucu verir Nasıl Önlenir
Atomic işlemler Doğru lock stratejisi Idempotent endpoint’ler Zaman güvenliktir En Büyük Yanılgı
“Aynı anda olmaz.”
Otomasyon olur İnsan hızına güven olmaz Son Söz Zamanı Kontrol Etmeyen, Sonucu Kontrol Edemez
Race Condition, hızın güvenliği geçtiği noktada ortaya çıkar. Doğru kod, doğru anda çalışmazsa yanlıştır. Güvenli sistem, zamanı da tasarlar.