Bu sayfa, Cloud Translation API ile çevrilmiştir.

Şifre değiştirme işleminde iyi bilinen bir URL ekleyerek kullanıcıların şifre değiştirmelerine yardımcı olun

Bir isteği /.well-known/change-password adresine şifre değiştirme URL'sine yönlendirme

Eiji Kitamura

/.well-known/change-password sitesinden şifre değiştirme sayfasına yönlendirme ayarla bir etikettir. Bu işlem, şifre yöneticilerinin kullanıcılarınız arasında gezinmesini sağlar o sayfaya yönlendirdi.

Giriş

Bildiğiniz gibi, şifreleri yönetmenin en iyi yolu hesaplar. Neyse ki, gelişmiş teknolojilerle WebAuthn'u ve tekniklerin kullanılabilmesini sağlayan tek kullanımlık şifreler gibi şifresiz bir dünyaya daha yakın olmamıza yardımcı oluyor. Ancak bu yeni teknolojiler geliştirilmeye devam ettiği için işler hızla değişmeyecek. Birçok geliştiricilerin en azından önümüzdeki birkaç gün için de şifreyle ilgilenmeleri yıllardır. Gelişmekte olan teknolojilerin ve tekniklerin şifrelerin kullanımını kolaylaştırabiliriz.

Bunu yapmanın iyi bir yolu, şifre yöneticilerine daha iyi destek sunmaktır.

Şifre yöneticileri nasıl yardımcı olur?

Şifre yöneticileri, tarayıcılara entegre edilebilir veya üçüncü taraf uygulamaları olarak sağlanabilir. Kullanıcılara çeşitli şekillerde yardımcı olabilirler:

Doğru giriş alanı için şifreyi otomatik olarak doldur: Bazı tarayıcılar Web sitesi bunun için optimize edilmemiş olsa bile sezgisel olarak doğru girişi amaçlanıyor. Web geliştiricileri, HTML kodunu doğru şekilde ekleyerek şifre yöneticilerine yardımcı olabilir. giriş etiketleri için de geçerlidir.

Kimlik avını önleme: Şifre yöneticileri, şifrenin nerede olduğunu hatırlayacağı için girildikten sonra şifre yalnızca uygun URL'lerde otomatik olarak doldurulabilir, kimlik avı yapan web siteleri.

Güçlü ve benzersiz şifreler oluşturun: Çünkü güçlü ve benzersiz şifreler şifre yöneticisi tarafından oluşturulur ve depolanır, kullanıcıların Şifrenin tek bir karakterini hatırlamasını sağlar.

Bir şifre yöneticisi kullanarak şifre oluşturma ve otomatik doldurma olduğunu düşündük, ancak yaşam döngülerini göz önünde bulundurarak şifreleri oluşturmak ve otomatik olarak doldurmak kadar önemlidir. Alıcı: şifre yöneticileri yeni bir özellik ekliyor:

Güvenlik açığı olan şifreleri tespit edip güncellemenizi önerin: Şifre yöneticileri yeniden kullanılan şifreleri tespit etme, bu şifrelerin entropisini ve zayıf yönlerini analiz etme Hatta sızdırılmış olabilecek şifreleri veya güvenli olmadığı bilinen şifreleri tespit edebilirsiniz. Take I Been Pwned gibi kaynaklardan gelen sonuçlardır.

Şifre yöneticisi, kullanıcıları sorunlu şifreler konusunda uyarabilir ancak Kullanıcılardan şifre değişikliği için ana sayfaya gitmelerini istemenin yaşanan zorluklar şifresini değiştirme işlemine (şifre değiştirme) ek olarak (siteden siteye değişir). Şifre yöneticileri, Google.com'da Kullanıcıyı doğrudan şifre değiştirme URL'sine götürün. Burada a bilinen URL şifreler kullanışlı hale gelir.

Kullanıcıyı değişikliğe yönlendiren iyi bilinen bir URL yolunu ayırarak bir şifre sayfasına yönlendirilirse, web sitesi kullanıcıları şifrelerini değiştirebilirler.

"Şifre değiştirmek için bilinen bir URL" oluşturma

.well-known/change-password, değişiklik yapmak için iyi bilinen bir URL olarak önerilir şifreler. Tek yapmanız gereken (Sunucunuzu .well-known/change-password isteklerini yeniden yönlendirecek şekilde yapılandırın) web sitenizin şifre değiştirme URL'sine.

Örneğin, web sitenizin https://example.com olduğunu ve bu değişikliğin şifre URL'si: https://example.com/settings/password. Tek yapmanız gereken, bir isteği yeniden yönlendirmek için sunucunuza https://example.com/.well-known/change-password - https://example.com/settings/password. Bu kadar basit. Yönlendirme için HTTP durum kodu 302 Found, 303 See Other veya 307 Temporary Redirect.

Alternatif olarak, .well-known/change-password URL'nizdeki HTML kodunu şununla sunabilirsiniz: Bir <meta> etiketi için http-equiv="refresh".

<meta http-equiv="refresh" content="0;url=https://example.com/settings/password">

Şifre değiştirme sayfanızın HTML'sini tekrar ziyaret edin

Bu özelliğin amacı, kullanıcının şifre yaşam döngüsünün daha akıcı olmasını sağlamaktır. Kullanıcıyı yüklemeden önce şifresini güncellemesini sağlamak için iki şey yapabilirsiniz sürtünme:

Şifre değiştirme formunuzda geçerli şifre gerekiyorsa Şifrenin girilmesine yardımcı olmak için <input> etiketine autocomplete="current-password" otomatik olarak doldurabilir.
Yeni şifre alanı için (çoğu zaman bu, şifre girildiğinden emin olmak için kullanıcı yeni şifreyi doğru girdiyse), Şifrenin girilmesine yardımcı olmak için <input> etiketine autocomplete="new-password" oluşturulmuş bir şifre önerir.

Daha fazla bilgi için En iyi oturum açma formu sayfasını ziyaret edin. inceleyin.

Gerçek dünyada nasıl kullanılır?

Örnekler

Apple Safari'nin uygulamanın /.well-known/change-password, zaten bazı ana dallarda kullanılmış web sitelerini daha uzun bir süre için kullanamayabilirsiniz:

Kendiniz deneyin ve aynısını sizin için de yapın.

Tarayıcı uyumluluğu

Şifrelerin değiştirilmesi için iyi bilinen bir URL, şu tarihten itibaren Safari'de destekleniyor: 2019. Chrome'un şifre yöneticisi, 86 sürümünden itibaren bunu desteklemeye başlıyor (Bu dizi, Kararlı sürümü Ekim 2020'nin sonlarında yayınlanmak üzere planlandı) ve diğer Chromium tabanlı tarayıcılar izleyebilir. Firefox, buna değer , ancak Ağustos 2020 itibarıyla yapmayı planladığını belirten bir sinyal yok.

Chrome'un şifre yöneticisi davranışı

Chrome'un şifre yöneticisinin güvenlik açığı olan şifreleri nasıl ele aldığına bakalım.

Chrome'un şifre yöneticisi şifre sızıntılarını kontrol edebilir. Navigasyonu başlatarak about://settings/passwords kullanıcıları, saklanan şifrelere karşı Şifreleri kontrol et komutunu çalıştırabilir ve güncellenmesi önerilen şifrelerin listesini görebilirsiniz.

Chrome'un **Şifreleri kontrol et** işlevi

Önerilen şifrenin yanındaki Şifreyi değiştir düğmesini tıklayarak güncellendiğinde tarayıcı:

/.well-known/change-password için web sitesinin şifre değiştirme sayfasını açın kurulabilir.
/.well-known/change-password ayarlanmamışsa web sitesinin ana sayfasını açın ve Google yedeği bilmez.

Sunucu, /.well-known/change-password olmasa bile 200 OK değerini döndürürse ne olur?

Şifre yöneticileri, bir web sitesinin iyi bilinen bir URL'yi daha önce /.well-known/change-password adresine istek göndererek şifreleri değiştirebilirsiniz. bir kullanıcıyı bu URL'ye yönlendirir. İstek 404 Not Found döndürürse URL'nin kullanılamadığı açıktır ancak 200 OK yanıtı her zaman URL'nin kullanılabilir olduğu anlamına gelir. Bunun nedeni, birkaç tane uç durumun söz konusu olmasıdır:

Sunucu tarafı oluşturma web sitesinde "Bulunamadı" mesajı görüntüleniyor hiç içerik olmadığında ancak 200 OK ile.
Sunucu tarafı oluşturma web sitesi,200 OK içeriği "Bulunamadı"ya yönlendirdikten sonra sayfasını ziyaret edin.
Tek sayfalık uygulama, kabuk ile 200 OK ile yanıt verir ve "Not bulundu" istemci tarafında görebilirsiniz.

Bu uç durumlar için kullanıcılar "Bulunamadı" sayfasına yönlendirilir ve bu özellik, kafa karışıklığına neden olabilir.

Bu nedenle, teklif edilen standart bir mekanizma (Sunucunun 404 Not Found ile yanıt vermek üzere yapılandırılıp yapılandırılmadığını belirlemek için) rastgele bir sayfa isteyerek gerçekten hiç içerik olmadığında kullanın. Aslında URL de ayrılmış: /.well-known/resource-that-should-not-exist-whose-status-code-should-not-be-200 Örneğin Chrome, şifre URL'sini uygun şekilde /.well-known/change-password tarihinden önce değiştirin.

/.well-known/change-password dağıtımını yaparken sunucu, mevcut olmayan içerikler için 404 Not Found değerini döndürür.

Geri bildirim

Spesifikasyonla ilgili geri bildiriminiz varsa lütfen spesifikasyona sorun bildirin depo.

Kaynaklar

Fotoğraf: Matthew Brodeur'un Unsplash üzerinde