Reindirizza una richiesta a /.well-known/change-password
all'URL per cambiare le password
Imposta un reindirizzamento da /.well-known/change-password
alla pagina di modifica della password
del tuo sito web. In questo modo i gestori delle password potranno navigare tra gli utenti
direttamente a quella pagina.
Introduzione
Come forse saprai, le password non sono il modo migliore per gestire Google Cloud. Fortunatamente, esistono tecnologie emergenti come WebAuthn e tecniche come le password monouso che ci stanno aiutando ad avvicinarci a un mondo senza password. Tuttavia, questi tecnologie sono ancora in fase di sviluppo e le cose non cambieranno rapidamente. Molti gli sviluppatori dovranno comunque gestire le password almeno per i anni. Mentre aspettiamo che le tecnologie e le tecniche emergenti diventino comuni, possiamo almeno semplificare l'uso delle password.
Un buon modo per farlo è fornire una migliore assistenza ai gestori delle password.
Utilità dei gestori delle password
I gestori delle password possono essere integrati nei browser o forniti come app di terze parti. Possono aiutare gli utenti in vari modi:
Compila automaticamente la password per il campo di immissione corretto. Alcuni browser riescono a trovare l'input corretto in modo euristico anche se il sito web non è ottimizzato per questo che non ha uno scopo specifico. Gli sviluppatori web possono aiutare i gestori delle password annotando correttamente il codice HTML tag di input.
Previeni il phishing: i gestori delle password ricordano la posizione della password. la password può essere compilata automaticamente solo negli URL appropriati e non nella siti web di phishing.
Genera password efficaci e univoche: poiché password efficaci e univoche vengono generati e archiviati direttamente dal gestore delle password, gli utenti non devono ricordare un solo carattere della password.
La generazione e la compilazione automatica delle password utilizzando un gestore delle password sono già state hanno pubblicato bene il web, ma considerando il loro ciclo di vita, aggiornando le password ogni volta che è richiesto è importante quanto la generazione e la compilazione automatica. A Se le usi correttamente, i gestori delle password aggiungono una nuova funzionalità:
Rilevare le password vulnerabili e suggerire di aggiornarle. I gestori delle password possono rilevare le password riutilizzate, analizzarne l'entropia e i punti deboli e persino rilevare password potenzialmente divulgate o password note per essere non sicure provenienti da fonti quali have I Been Pwned.
Un gestore delle password può avvisare gli utenti in caso di password problematiche, ma in realtà sono ha maggiore difficoltà nel chiedere agli utenti di passare dalla home page per cambiare la password di Google Cloud, oltre a seguire l'effettivo processo di modifica della password (che varia da sito a sito). Sarebbe molto più semplice se i gestori delle password potessero per indirizzare l'utente direttamente all'URL di modifica della password. È qui che entrano in gioco noto per la modifica delle password diventa utili.
Prenotando un percorso URL noto che reindirizza l'utente alla modifica pagina della password, il sito web può reindirizzare facilmente gli utenti al posto cambiare la password.
Configurare un "URL noto per la modifica delle password"
.well-known/change-password
viene proposto come URL noto per la modifica
delle password. Non devi fare altro che
per configurare il tuo server in modo che reindirizzi le richieste per .well-known/change-password
all'URL di modifica della password del tuo sito web.
Ad esempio, supponiamo che il tuo sito web sia https://example.com
e che la modifica
l'URL della password è https://example.com/settings/password
. Dovrai solo impostare
al tuo server di reindirizzare una richiesta
Da https://example.com/.well-known/change-password
a
https://example.com/settings/password
. È tutto. Per il reindirizzamento, utilizza
il codice di stato HTTP
302 Found
, 303 See
Other
o 307
Temporary Redirect
.
In alternativa, puoi pubblicare codice HTML nell'URL .well-known/change-password
con
un tag <meta>
utilizzando
http-equiv="refresh"
<meta http-equiv="refresh" content="0;url=https://example.com/settings/password">
Visita di nuovo il codice HTML della pagina di modifica della password
L'obiettivo di questa funzionalità è facilitare il ciclo di vita della password dell'utente. Puoi fare due cose per consentire all'utente di aggiornare la propria password senza complicazioni:
- Se il modulo di modifica della password richiede la password corrente, aggiungi
autocomplete="current-password"
al tag<input>
per facilitare la password la compilazione automatica. - Per il campo della nuova password (in molti casi si tratta di due campi per garantire che
l'utente abbia inserito correttamente la nuova password), aggiungi
autocomplete="new-password"
al tag<input>
per facilitare la password amministratore suggerisce una password generata.
Scopri di più nella pagina Modulo di accesso migliore pratiche.
Come viene utilizzato nel mondo reale
Esempi
Grazie a Apple Safari
l'implementazione,
/.well-known/change-password
è già disponibile su alcuni dei principali
siti web per un po' di tempo:
Provali anche tu e fai lo stesso con i tuoi.
Compatibilità del browser
Da allora in Safari è stato supportato un URL noto per la modifica delle password 2019. Il Gestore delle password di Chrome inizierà a supportarlo a partire dalla versione 86 (il rilascio del canale stabile è programmato a fine ottobre 2020) e altri browser basati su Chromium potrebbero seguire. Come funziona Firefox implementazione, ma non ha indicato che intende farlo ad agosto 2020.
Comportamento del Gestore delle password di Chrome
Vediamo in che modo il gestore delle password di Chrome tratta le password vulnerabili.
Gestore delle password di Chrome può controllare la presenza di password compromesse. Navigando
Gli utenti di about://settings/passwords
possono eseguire Controlla password rispetto
password e vedrai un elenco di password consigliate per l'aggiornamento.
Facendo clic sul pulsante Cambia password accanto a una password che ti consigliamo di , il browser:
- Apri la pagina di modifica della password del sito web se
/.well-known/change-password
è configurate correttamente. - Apri la home page del sito web se
/.well-known/change-password
non è configurato e Google non conosce la procedura di riserva.
200 OK
anche se /.well-known/change-password
non esiste?I gestori di password tentano di stabilire se un sito web supporta un URL noto per
cambiare le password inviando una richiesta all'indirizzo /.well-known/change-password
prima del giorno
inoltrando effettivamente un utente a questo URL. Se la richiesta restituisce 404 Not Found
è ovvio che l'URL non è disponibile, ma una risposta 200 OK
non
significa necessariamente che l'URL è disponibile, perché sono presenti alcuni casi limite:
- In un sito web di rendering lato server viene visualizzato il messaggio "Non trovato" quando non ci sono contenuti.
ma con
200 OK
. - Un sito web con rendering lato server risponde con
200 OK
quando non c'è contenuti dopo il reindirizzamento alla sezione "Non trovato" . - Un'app a pagina singola risponde con la shell con
200 OK
e restituisce il messaggio "Non trovato" sul lato client quando non ci sono contenuti.
Per questi casi limite, gli utenti verranno inoltrati al team "Non trovato" pagina e questo creare confusione.
È per questo che viene proposto uno standard
meccanismo di attenzione
per determinare se il server è configurato per rispondere con 404 Not Found
quando in realtà non sono presenti contenuti, richiedendo una pagina a caso. In realtà,
L'URL è riservato anche:
/.well-known/resource-that-should-not-exist-whose-status-code-should-not-be-200
.
Ad esempio, Chrome utilizza questo percorso dell'URL per determinare se può aspettarsi
URL di modifica della password corretto da /.well-known/change-password
in anticipo.
Quando esegui il deployment di /.well-known/change-password
, assicurati che il tuo
server restituisce 404 Not Found
per i contenuti non esistenti.
Feedback
Se hai feedback sulla specifica, segnala un problema alla specifica un repository attendibile.
Risorse
- Un URL noto per la modifica Password
- Rilevamento dell'affidabilità dello stato HTTP codici
- Best practice per i moduli di accesso
Foto di Matthew Brodeur su Unsplash