Bir isteği /.well-known/change-password
adresine şifre değiştirme URL'sine yönlendirme
/.well-known/change-password
sitesinden şifre değiştirme sayfasına yönlendirme ayarla
. Bu işlem, şifre yöneticilerinin kullanıcılarınız arasında gezinmesini sağlar
o sayfaya yönlendirdi.
Giriş
Bildiğiniz gibi, şifreleri yönetmenin en iyi yolu hesaplar. Neyse ki, gelişmiş teknolojilerle WebAuthn'u ve tekniklerin kullanılabilmesini sağlayan tek kullanımlık şifreler gibi şifresiz bir dünyaya daha yakın olmamıza yardımcı oluyor. Ancak bu yeni teknolojiler geliştirilmeye devam ettiği için işler hızla değişmeyecek. Birçok geliştiricilerin en azından önümüzdeki birkaç gün için de şifreyle ilgilenmeleri yıllardır. Gelişmekte olan teknolojilerin ve tekniklerin şifrelerin kullanımını kolaylaştırabiliriz.
Bunu yapmanın iyi bir yolu, şifre yöneticilerine daha iyi destek sunmaktır.
Şifre yöneticileri nasıl yardımcı olur?
Şifre yöneticileri, tarayıcılara entegre edilebilir veya üçüncü taraf uygulamaları olarak sağlanabilir. Kullanıcılara çeşitli şekillerde yardımcı olabilirler:
Doğru giriş alanı için şifreyi otomatik olarak doldur: Bazı tarayıcılar Web sitesi bunun için optimize edilmemiş olsa bile sezgisel olarak doğru girişi amaçlanıyor. Web geliştiricileri, HTML kodunu doğru şekilde ekleyerek şifre yöneticilerine yardımcı olabilir. giriş etiketleri için de geçerlidir.
Kimlik avını önleme: Şifre yöneticileri, şifrenin nerede olduğunu hatırlayacağı için girildikten sonra şifre yalnızca uygun URL'lerde otomatik olarak doldurulabilir, kimlik avı yapan web siteleri.
Güçlü ve benzersiz şifreler oluşturun: Çünkü güçlü ve benzersiz şifreler şifre yöneticisi tarafından oluşturulur ve depolanır, kullanıcıların Şifrenin tek bir karakterini hatırlamasını sağlar.
Bir şifre yöneticisi kullanarak şifre oluşturma ve otomatik doldurma olduğunu düşündük, ancak yaşam döngülerini göz önünde bulundurarak şifreleri oluşturmak ve otomatik olarak doldurmak kadar önemlidir. Alıcı: şifre yöneticileri yeni bir özellik ekliyor:
Güvenlik açığı olan şifreleri tespit edip güncellemenizi önerin: Şifre yöneticileri yeniden kullanılan şifreleri tespit etme, bu şifrelerin entropisini ve zayıf yönlerini analiz etme Hatta sızdırılmış olabilecek şifreleri veya güvenli olmadığı bilinen şifreleri tespit edebilirsiniz. Take I Been Pwned gibi kaynaklardan gelen sonuçlardır.
Şifre yöneticisi, kullanıcıları sorunlu şifreler konusunda uyarabilir ancak Kullanıcılardan şifre değişikliği için ana sayfaya gitmelerini istemenin yaşanan zorluklar şifresini değiştirme işlemine (şifre değiştirme) ek olarak (siteden siteye değişir). Şifre yöneticileri, Google.com'da Kullanıcıyı doğrudan şifre değiştirme URL'sine götürün. Burada a bilinen URL şifreler kullanışlı hale gelir.
Kullanıcıyı değişikliğe yönlendiren iyi bilinen bir URL yolunu ayırarak bir şifre sayfasına yönlendirilirse, web sitesi kullanıcıları şifrelerini değiştirebilirler.
"Şifre değiştirmek için bilinen bir URL" oluşturma
.well-known/change-password
, değişiklik yapmak için iyi bilinen bir URL olarak önerilir
şifreler. Tek yapmanız gereken
(Sunucunuzu .well-known/change-password
isteklerini yeniden yönlendirecek şekilde yapılandırın)
web sitenizin şifre değiştirme URL'sine.
Örneğin, web sitenizin https://example.com
olduğunu ve bu değişikliğin
şifre URL'si: https://example.com/settings/password
. Tek yapmanız gereken,
bir isteği yeniden yönlendirmek için sunucunuza
https://example.com/.well-known/change-password
-
https://example.com/settings/password
. Bu kadar basit. Yönlendirme için
HTTP durum kodu
302 Found
, 303 See
Other
veya 307
Temporary Redirect
.
Alternatif olarak, .well-known/change-password
URL'nizdeki HTML kodunu şununla sunabilirsiniz:
Bir <meta>
etiketi için
http-equiv="refresh"
.
<meta http-equiv="refresh" content="0;url=https://example.com/settings/password">
Şifre değiştirme sayfanızın HTML'sini tekrar ziyaret edin
Bu özelliğin amacı, kullanıcının şifre yaşam döngüsünün daha akıcı olmasını sağlamaktır. Kullanıcıyı yüklemeden önce şifresini güncellemesini sağlamak için iki şey yapabilirsiniz sürtünme:
- Şifre değiştirme formunuzda geçerli şifre gerekiyorsa
Şifrenin girilmesine yardımcı olmak için
<input>
etiketineautocomplete="current-password"
otomatik olarak doldurabilir. - Yeni şifre alanı için (çoğu zaman bu, şifre girildiğinden emin olmak için
kullanıcı yeni şifreyi doğru girdiyse),
Şifrenin girilmesine yardımcı olmak için
<input>
etiketineautocomplete="new-password"
oluşturulmuş bir şifre önerir.
Daha fazla bilgi için En iyi oturum açma formu sayfasını ziyaret edin. inceleyin.
Gerçek dünyada nasıl kullanılır?
Örnekler
Apple Safari'nin
uygulamanın
/.well-known/change-password
, zaten bazı ana dallarda kullanılmış
web sitelerini daha uzun bir süre için kullanamayabilirsiniz:
Kendiniz deneyin ve aynısını sizin için de yapın.
Tarayıcı uyumluluğu
Şifrelerin değiştirilmesi için iyi bilinen bir URL, şu tarihten itibaren Safari'de destekleniyor: 2019. Chrome'un şifre yöneticisi, 86 sürümünden itibaren bunu desteklemeye başlıyor (Bu dizi, Kararlı sürümü Ekim 2020'nin sonlarında yayınlanmak üzere planlandı) ve diğer Chromium tabanlı tarayıcılar izleyebilir. Firefox, buna değer , ancak Ağustos 2020 itibarıyla bunu yapmayı planladığını belirten bir sinyal yok.
Chrome'un şifre yöneticisi davranışı
Chrome'un şifre yöneticisinin güvenlik açığı olan şifreleri nasıl ele aldığına bakalım.
Chrome'un şifre yöneticisi şifre sızıntılarını kontrol edebilir. Navigasyonu başlatarak
about://settings/passwords
kullanıcıları, saklanan şifrelere karşı Şifreleri kontrol et komutunu çalıştırabilir
ve güncellenmesi önerilen şifrelerin listesini görebilirsiniz.
Önerilen şifrenin yanındaki Şifreyi değiştir düğmesini tıklayarak güncellendiğinde tarayıcı:
/.well-known/change-password
için web sitesinin şifre değiştirme sayfasını açın kurulabilir./.well-known/change-password
ayarlanmamışsa web sitesinin ana sayfasını açın ve Google yedeği bilmez.
/.well-known/change-password
olmasa bile 200 OK
değerini döndürürse ne olur?Şifre yöneticileri, bir web sitesinin iyi bilinen bir URL'yi
daha önce /.well-known/change-password
adresine istek göndererek şifreleri değiştirebilirsiniz.
bir kullanıcıyı bu URL'ye yönlendirir. İstek 404 Not Found
döndürürse
URL'nin kullanılamadığı açıktır ancak 200 OK
yanıtı
her zaman URL'nin kullanılabildiği anlamına gelir. Bunun nedeni, birkaç tane uç durumun söz konusu olmasıdır:
- Sunucu tarafı oluşturma web sitesinde "Bulunamadı" mesajı görüntüleniyor hiç içerik olmadığında
ancak
200 OK
ile. - Sunucu tarafı oluşturma web sitesi,
200 OK
içeriği "Bulunamadı"ya yönlendirdikten sonra sayfasını ziyaret edin. - Tek sayfalık uygulama, kabuk ile
200 OK
ile yanıt verir ve "Not bulundu" istemci tarafında görebilirsiniz.
Bu uç durumlar için kullanıcılar bir "Bulunamadı" sayfasına yönlendirilir ve bu özellik, kafa karışıklığına neden olabilir.
Bu nedenle, teklif edilen standart bir
mekanizma
(Sunucunun 404 Not Found
ile yanıt vermek üzere yapılandırılıp yapılandırılmadığını belirlemek için)
rastgele bir sayfa isteyerek
gerçekten hiç içerik olmadığında kullanın. Aslında
URL de ayrılmış:
/.well-known/resource-that-should-not-exist-whose-status-code-should-not-be-200
Örneğin Chrome,
şifre URL'sini uygun şekilde /.well-known/change-password
tarihinden önce değiştirin.
/.well-known/change-password
dağıtımını yaparken
sunucu, mevcut olmayan içerikler için 404 Not Found
değerini döndürür.
Geri bildirim
Spesifikasyonla ilgili geri bildiriminiz varsa lütfen spesifikasyona sorun bildirin depo.
Kaynaklar
- Değişim Amaçlı İyi Bilinen URL Şifreler
- HTTP durumunun güvenilirliğini tespit etme kodlar
- Oturum açma formuyla ilgili en iyi uygulamalar
Fotoğraf: Matthew Brodeur'un Unsplash üzerinde