/.well-known/change-password adresine gönderilen bir isteği şifre değiştirme URL'sine yönlendir
/.well-known/change-password adresinden web sitenizin şifre değiştirme sayfasına bir yönlendirme ayarlayın. Böylece şifre yöneticileri, kullanıcılarınızı doğrudan ilgili sayfaya yönlendirebilir.
Giriş
Bildiğiniz gibi şifreler, hesapları yönetmenin en iyi yolu değildir. Neyse ki, WebAuthn gibi yeni teknolojiler ve tek kullanımlık şifre gibi teknikler, şifrelerin olmadığı bir dünyaya daha da yaklaşmamıza yardımcı oluyor. Ancak bu teknolojiler hâlâ geliştirilmeye devam etmektedir ve işler hızla değişmeyecektir. Birçok geliştirici, en azından önümüzdeki birkaç yıl boyunca şifrelerle ilgilenmeye devam edecektir. Yeni teknolojilerin ve tekniklerin sıradan hale gelmesini beklerken en azından şifrelerin kullanımını kolaylaştırabiliriz.
Şifre yöneticileri için daha iyi destek sağlamak, bunu iyi bir şekilde yapabilir.
Şifre yöneticileri nasıl yardımcı olur?
Şifre yöneticileri tarayıcılarda yerleşik olarak bulunabilir veya üçüncü taraf uygulamaları olarak sağlanabilir. Bunlar kullanıcılara çeşitli şekillerde yardımcı olabilir:
Doğru giriş alanı için şifreyi otomatik olarak doldur: Web sitesi bu amaç için optimize edilmemiş olsa bile bazı tarayıcılar doğru girişi sezgisel olarak bulabilir. Web geliştiricileri, HTML giriş etiketlerine doğru ek açıklamalar ekleyerek şifre yöneticilerine yardımcı olabilir.
Kimlik avını önleme: Şifre yöneticileri şifrenin kaydedildiği yeri hatırladıkları için şifre yalnızca uygun URL'lerde otomatik olarak doldurulabilir, kimlik avı web sitelerinde doldurulamaz.
Güçlü ve benzersiz şifreler oluşturun: Güçlü ve benzersiz şifreler doğrudan şifre yöneticisi tarafından oluşturulup depolandığından kullanıcıların şifrenin tek bir karakterini hatırlaması gerekmez.
Şifre yöneticisi kullanarak şifre oluşturmak ve otomatik doldurmak web'de zaten iyi bir hizmet olmuştur ancak bu uygulamaların yaşam döngüsünü göz önünde bulundurmak gerektiğinde şifreleri güncellemek, oluşturma ve otomatik doldurma kadar önemlidir. Şifre yöneticileri, bundan doğru bir şekilde yararlanmak için yeni bir özellik ekliyor:
Güvenlik açığı olan şifreleri tespit edip güncelleme önerisinde bulunun: Şifre yöneticileri yeniden kullanılan şifreleri algılayabilir, entropi ve zayıflıklarını analiz edebilir, hatta potansiyel olarak sızdırılmış şifreleri veya Şahsedilmişim gibi kaynaklardan güvenli olmadığı bilinen şifreleri tespit edebilir.
Şifre yöneticisi, kullanıcıları sorunlu şifreler konusunda uyarabilir, ancak kullanıcılardan ana sayfadan şifre değiştirme sayfasına gitmelerini isteme, gerçek şifre değiştirme işlemini tamamlamanın (bu işlem siteden siteye değişir) çok fazla olmasını sağlar. Şifre yöneticileri kullanıcıyı doğrudan şifre değişikliği URL'sine yönlendirebilseydi bu işlem çok daha kolay olurdu. Şifreleri değiştirmek için iyi bilinen bir URL burada işe yarar.
Web sitesi, kullanıcıyı şifre değiştirme sayfasına yönlendiren iyi bilinen bir URL yolunu ayırarak, şifrelerini değiştirmeleri için kullanıcıları kolayca doğru yere yönlendirebilir.
"Şifreleri değiştirmek için iyi bilinen bir URL" ayarlama
.well-known/change-password, şifre değiştirmede iyi bilinen bir URL olarak önerilir. Tek yapmanız gereken, sunucunuzu .well-known/change-password isteklerini web sitenizin şifre değiştirme URL'sine yönlendirecek şekilde yapılandırmaktır.
Örneğin, web sitenizin https://example.com ve şifre değiştirme URL'sinin https://example.com/settings/password olduğunu varsayalım. Tek yapmanız gereken, sunucunuzu https://example.com/.well-known/change-password isteğini https://example.com/settings/password hedefine yönlendirecek şekilde ayarlamaktır. Bu kadar basit. Yönlendirme için 302 Found, 303 See
Other veya 307
Temporary Redirect HTTP durum kodunu kullanın.
Alternatif olarak, http-equiv="refresh" kullanarak .well-known/change-password URL'nizde <meta> etiketi ile HTML sunabilirsiniz.
<meta http-equiv="refresh" content="0;url=https://example.com/settings/password">
Şifre değiştirme sayfanızın HTML'sini yeniden ziyaret edin
Bu özelliğin amacı, kullanıcı şifresinin yaşam döngüsünün daha akıcı olmasına yardımcı olmaktır. Kullanıcının şifresini sorunsuz bir şekilde güncellemesini sağlamak için iki şey yapabilirsiniz:
- Şifre değiştirme formunuzda mevcut şifre gerekiyorsa şifre yöneticisinin şifreyi otomatik olarak doldurmasına yardımcı olmak için
<input>etiketineautocomplete="current-password"ekleyin. - Yeni şifre alanı için (kullanıcının yeni şifreyi doğru bir şekilde girdiğinden emin olmak için çoğu durumda iki alan kullanılır) şifre yöneticisinin oluşturulmuş bir şifre önermesine yardımcı olmak için
<input>etiketineautocomplete="new-password"ekleyin.
Daha fazla bilgi için Oturum açma formuyla ilgili en iyi uygulamalar bölümüne bakın.
Gerçek dünyada nasıl kullanılır?
Örnekler
Apple Safari'nin uygulaması sayesinde /.well-known/change-password, bir süredir bazı büyük web sitelerinde zaten kullanılabiliyor:
Bunları kendiniz deneyin ve aynısını sizin için yapın!
Tarayıcı uyumluluğu
Şifre değiştirmeyle ilgili bilinen bir URL, Safari'de 2019'dan beri desteklenmektedir. Chrome'un şifre yöneticisi, sürüm 86'dan itibaren bu özelliği desteklemeye başlıyor (Ekim 2020'nin sonlarında Kararlı sürümünün kullanıma sunulması planlanmıştır) ve bunu, Chromium tabanlı diğer tarayıcılar da uygulayabilir. Firefox bunu uygulamaya değer olarak değerlendirmektedir ancak Ağustos 2020 itibarıyla bunu yapmayı planladığını belirtmemiştir.
Chrome'un şifre yöneticisi davranışı
Chrome'un şifre yöneticisinin, güvenlik açığı olan şifreleri nasıl ele aldığına göz atalım.
Chrome'un şifre yöneticisi, şifre sızıntısı olup olmadığını kontrol edebilir. Kullanıcılar about://settings/passwords bölümüne giderek kayıtlı şifrelerde Şifreleri kontrol et özelliğini çalıştırabilir ve güncellenmesi önerilen şifrelerin listesini görebilir.
Güncellenmesi önerilen bir şifrenin yanındaki Şifreyi değiştir düğmesini tıkladığınızda tarayıcı:
/.well-known/change-passworddoğru ayarlanmışsa web sitesinin şifre değiştirme sayfasını açın./.well-known/change-passwordayarlanmamışsa ve Google yedeği bilmiyorsa web sitesinin ana sayfasını açın.
/.well-known/change-password yoksa bile sunucu 200 OK değerini döndürürse ne olur?Şifre yöneticileri, bir web sitesinin kullanıcıyı bu URL'ye yönlendirmeden önce /.well-known/change-password adresine istek göndererek şifre değiştirmek için bilinen bir URL'yi destekleyip desteklemediğini belirlemeye çalışır. İstek 404 Not Found değerini döndürürse URL'nin kullanılabilir olmadığı açıktır ancak 200 OK yanıtı, birkaç uç durum söz konusu olduğundan URL'nin kullanılabilir olduğu anlamına gelmez:
- Sunucu tarafı oluşturma web sitesinde,
200 OKdışında içerik olmadığında "Bulunamadı" mesajı gösterilir. - "Bulunamadı" sayfasına yönlendirme yapıldıktan sonra içerik olmadığında, sunucu tarafı oluşturma yapan bir web sitesi
200 OKile yanıt verir. - Tek sayfalık uygulamalar
200 OKile kabuk ile yanıt verir ve içerik olmadığında istemci tarafında "Bulunamadı" sayfasını oluşturur.
Bu sıra dışı durumlarda kullanıcılar "Bulunamadı" sayfasına yönlendirilir ve bu da kafa karışıklığına yol açar.
Bu nedenle, sunucunun gerçekten hiçbir içerik olmadığında rastgele bir sayfa isteyerek 404 Not Found ile yanıt verecek şekilde yapılandırılıp yapılandırılmadığını belirlemek için önerilen bir standart mekanizma vardır. Aslında, URL aynı zamanda ayrılmış: /.well-known/resource-that-should-not-exist-whose-status-code-should-not-be-200.
Örneğin Chrome, /.well-known/change-password adresinden uygun bir şifre değiştirme URL'si alıp bekleyemeyeceğini önceden belirlemek için bu URL yolunu kullanır.
/.well-known/change-password dağıtımını yaparken sunucunuzun var olmayan tüm içerikler için 404 Not Found döndürdüğünden emin olun.
Geri bildirim
Spesifikasyonla ilgili geri bildiriminiz varsa lütfen spesifikasyon deposuna sorun bildirin.
Kaynaklar
- Şifre Değiştirme için İyi Bilinen bir URL
- HTTP durum kodlarının güvenilirliğini algılama
- Oturum açma formuyla ilgili en iyi uygulamalar
Fotoğraf: Matthew Brodeur'un Unsplash'teki fotoğrafı