إعادة توجيه الطلب إلى /.well-known/change-password
إلى عنوان URL الخاص بتغيير كلمات المرور
ضبط عملية إعادة توجيه من /.well-known/change-password
إلى صفحة تغيير كلمة المرور
في موقعك الإلكتروني ستتيح هذه الميزة لمديري كلمات المرور إمكانية التنقّل بين المستخدمين.
مباشرةً إلى تلك الصفحة.
مقدمة
كما تعلم، ليست كلمات المرور هي أفضل طريقة لإدارة الحسابات. لحسن الحظ، هناك تقنيات ناشئة مثل WebAuthn وأساليب مثل كلمات المرور التي تُستخدم لمرة واحدة تساعدنا في الاقتراب من عالم لا يخلو من كلمات المرور. ومع ذلك، فإن هذه لا تزال التكنولوجيات قيد التطوير ولن تتغير الأمور بسرعة. نتائج عديدة سيظل مطوِّرو البرامج بحاجة إلى معالجة كلمات المرور سنوات. وبينما ننتظر حتى تصبح التقنيات والتقنيات الناشئة شائعًا، يمكننا على الأقل تسهيل استخدام كلمات المرور.
الطريقة الجيدة لإجراء ذلك هي تقديم دعم أفضل لخدمات إدارة كلمات المرور.
كيفية مساعدة تطبيقات إدارة كلمات المرور
يمكن دمج تطبيقات إدارة كلمات المرور في المتصفّحات أو توفيرها كتطبيقات تابعة لجهات خارجية. يمكنها مساعدة المستخدمين بطرق مختلفة:
الملء التلقائي لكلمة المرور لحقل الإدخال الصحيح: يمكن لبعض المتصفّحات العثور على المدخل الصحيح من الناحية التجريبية حتى لو لم يكن الموقع الإلكتروني محسّنًا لهذا الغرض الغرض. يمكن لمطوّري الويب مساعدة مدراء كلمات المرور من خلال إضافة تعليقات توضيحية إلى ملفات HTML بشكل صحيح. علامات الإدخال.
منع التصيّد الاحتيالي: لأنّ مدراء كلمات المرور يتذكّرون مكان تخزين كلمة المرور ، فلا يمكن الملء التلقائي لكلمة المرور إلا في عناوين URL المناسبة، وليس في مواقع التصيّد الاحتيالي على الويب.
إنشاء كلمات مرور قوية وفريدة: لأنّ كلمات المرور القوية والفريدة يتم إنشاؤها وتخزينها مباشرةً بواسطة مدير كلمات المرور، فلا يحتاج المستخدمون إلى تذكر حرفًا واحدًا من كلمة المرور.
سبق أن تم إنشاء كلمات المرور وملؤها تلقائيًا باستخدام مدير كلمات المرور على الويب، ولكن مع الأخذ في الاعتبار مراحل نشاطها، عبر تحديث كلمات المرور متى كان ذلك مطلوبًا بنفس أهمية الإنشاء والملء التلقائي. إلى للاستفادة من ذلك، يضيف مديرو كلمات المرور ميزة جديدة، وهي:
رصد كلمات المرور المحتمَل تعرّضها للاختراق واقتراح تعديلها: بإمكان تطبيقات إدارة كلمات المرور واكتشاف كلمات المرور المعاد استخدامها وتحليل القصور والضعف فيها حتى رصد كلمات المرور التي يُحتمَل أنّه تم تسريبها أو تلك التي تُعرف بأنّها غير آمنة من مصادر مثل Does I Been Pwned.
يمكن لمدير كلمات المرور تحذير المستخدمين بشأن كلمات المرور التي تحتوي على مشاكل، إلا أنّ هناك عند مطالبة المستخدمين بالانتقال من الصفحة الرئيسية إلى تغيير كلمة المرور إلى جانب تنفيذ عملية تغيير كلمة المرور (والتي من موقع إلى آخر). سيكون من الأسهل بكثير لو تمكّن مدراء كلمات المرور نقل المستخدم مباشرةً إلى عنوان URL لتغيير كلمة المرور. هذا هو المكان الذي عنوان URL مشهور لتغيير كلمات المرور مفيدة.
من خلال حجز مسار عنوان URL معروف يعيد توجيه المستخدم إلى التغيير يمكن لموقع الويب إعادة توجيه المستخدمين بسهولة إلى المكان الصحيح تغيير كلمات مرورهم.
إعداد "عنوان URL معروف لتغيير كلمات المرور"
تم اقتراح .well-known/change-password
باعتباره عنوان URL معروفًا للتغيير.
كلمات المرور. كل ما عليك فعله هو
لإعداد خادمك على إعادة توجيه طلبات .well-known/change-password
بعنوان URL لتغيير كلمة المرور في موقعك الإلكتروني
على سبيل المثال، لنفترض أنّ موقعك الإلكتروني هو https://example.com
وأنّ التغيير
عنوان URL لكلمة المرور هو https://example.com/settings/password
. ستحتاج فقط إلى تحديد
على خادمك لإعادة توجيه طلب
من https://example.com/.well-known/change-password
إلى
https://example.com/settings/password
ما مِن إجراءات أخرى مطلوبة. لإعادة التوجيه، استخدم
رمز حالة HTTP
302 Found
أو 303 See
Other
أو 307
Temporary Redirect
بدلاً من ذلك، يمكنك عرض رمز HTML على عنوان URL الخاص بـ .well-known/change-password
باستخدام
علامة <meta>
باستخدام
http-equiv="refresh"
<meta http-equiv="refresh" content="0;url=https://example.com/settings/password">
إعادة الاطّلاع على ملف HTML لصفحة تغيير كلمة المرور
والهدف من هذه الميزة هو المساعدة في جعل كلمة مرور المستخدم أكثر سلاسة. يمكنك إجراء شيئين لتمكين المستخدم من تعديل كلمة المرور بدون المعاناة:
- إذا كان نموذج تغيير كلمة المرور يحتاج إلى كلمة المرور الحالية، فأضف
autocomplete="current-password"
إلى العلامة<input>
للمساعدة بشأن كلمة المرور مديرك تلقائيًا. - بالنسبة إلى حقل كلمة المرور الجديد (في كثير من الحالات، هناك حقلان للتأكد من أن
أدخل المستخدم كلمة المرور الجديدة بشكل صحيح)، أضف
autocomplete="new-password"
إلى العلامة<input>
للمساعدة بشأن كلمة المرور مدير يقترح كلمة مرور تم إنشاؤها.
تعرف على المزيد من خلال أفضل نموذج تسجيل الدخول الممارسات.
كيف يتم استخدامها في العالم الحقيقي
أمثلة
وبفضل متصفّح Apple Safari
الاستخدام،
/.well-known/change-password
، كانت متوفرة بالفعل في بعض البلدان
مواقع الويب لفترة من الوقت:
جربها بنفسك وافعل الشيء نفسه بالنسبة لك!
توافُق المتصفح
هناك عنوان URL معروف لتغيير كلمات المرور يتيح في Safari منذ 2019 سيبدأ مدير كلمات المرور في Chrome في دعمه بدءًا من الإصدار 86 فصاعدًا (من المقرّر طرحه على القناة الثابتة في أواخر تشرين الأول (أكتوبر) 2020) قد تتبعها المتصفحات الأخرى المستندة إلى Chromium. يعتبر Firefox أنه يستحق قيد التنفيذ، لكنه لم يشِر إلى أنّه تخطط لتنفيذ ذلك اعتبارًا من آب (أغسطس) 2020.
سلوك مدير كلمات المرور في Chrome
لنلقِ نظرة على كيفية تعامل مدير كلمات المرور في Chrome مع كلمات المرور المعرَّضة للاختراق.
يمكن لمدير كلمات المرور في Chrome التحقّق من كلمات المرور التي تم تسريبها. من خلال التنقل
إلى about://settings/passwords
مستخدم يمكنه إجراء التحقُّق من كلمات المرور مقابل البيانات المخزَّنة.
بكلمات المرور، والاطّلاع على قائمة بكلمات المرور المُقترَحة للتحديث.
النقر على الزر تغيير كلمة المرور بجانب كلمة المرور المُقترَحة الجديد، فإن المتصفح سيقوم بما يلي:
- فتح صفحة تغيير كلمة المرور الخاصة بالموقع الإلكتروني إذا كان
/.well-known/change-password
بشكل صحيح. - فتح الصفحة الرئيسية للموقع الإلكتروني في حال عدم إعداد "
/.well-known/change-password
" ولا تعرف Google الإجراء الاحتياطي.
200 OK
حتى إذا لم يكن /.well-known/change-password
متوفرًا؟تحاول برامج إدارة كلمات المرور تحديد ما إذا كان موقع الويب يدعم عنوان URL معروفًا
تغيير كلمات المرور من خلال إرسال طلب إلى /.well-known/change-password
قبل
في الواقع إعادة توجيه المستخدم إلى عنوان URL هذا. في حال عرض الطلب مبلغ 404 Not Found
من الواضح أنّ عنوان URL غير متوفّر، ولكن استجابة 200 OK
غير متوفّرة.
بالضرورة أن عنوان URL متاح، وذلك بسبب بعض الحالات الهامشية:
- موقع إلكتروني يعرض من جهة الخادم يعرض الرسالة "لم يتم العثور عليه" عندما لا يتوفر محتوى
ولكن مع
200 OK
. - يستجيب الموقع الإلكتروني للعرض من جهة الخادم باستخدام
200 OK
في حال عدم توفّر المحتوى بعد إعادة التوجيه إلى صفحة "لم يتم العثور على الصفحة" . - يستجيب تطبيق صفحة واحدة باستخدام واجهة المستخدم مع
200 OK
ويعرض رسالة الخطأ "لم تم العثور عليها" المستخدم في حالة عدم وجود محتوى.
وبالنسبة إلى هذه الحالات القصوى، ستتم إعادة توجيه المستخدمين إلى الحالة "لم يتم العثور على الصفحة" صفحة والتي مصدرًا للالتباس.
لذلك، هناك معيار مقترح
الآلية
لتحديد ما إذا كان الخادم مهيأ للاستجابة باستخدام 404 Not Found
عند عدم توفر محتوى فعلي، من خلال طلب صفحة عشوائية. في الواقع،
عنوان URL محجوز أيضًا:
/.well-known/resource-that-should-not-exist-whose-status-code-should-not-be-200
يستخدم Chrome على سبيل المثال مسار عنوان URL هذا لتحديد ما إذا كان من المتوقع
عنوان URL الصحيح لتغيير كلمة المرور من /.well-known/change-password
مقدَّمًا.
عند نشر /.well-known/change-password
، تأكد من أن
يعرض الخادم 404 Not Found
لأي محتوى غير موجود.
ملاحظات
إذا كان لديك أي ملاحظات بشأن المواصفات، يُرجى الإبلاغ عن مشكلة في المواصفات المستودع.
الموارد
- عنوان URL معروف بتغييره كلمات المرور
- اكتشاف موثوقية حالة HTTP الرموز
- أفضل الممارسات المتعلّقة بنموذج تسجيل الدخول
صورة من تصوير ماثيو برودور على موقع Unسباش