Düzenli Aynı Site

"same-site"nin tanımı URL şemasını içerecek şekilde gelişiyor. Bu nedenle, bir sitenin HTTP ve HTTPS sürümleri arasındaki bağlantılar artık siteler arası istek olarak sayılıyor. Mümkün olduğunda sorunları önlemek için varsayılan olarak HTTPS'ye yükseltin veya hangi SameSite özellik değerlerinin gerekli olduğuyla ilgili ayrıntılar için okumaya devam edin.

Steven Bingler
Steven Bingler

Şeffaf Aynı Site bir (web) sitesinin tanımını yalnızca kaydedilebilir alan adından şema + kaydedilebilir alan adı. Daha fazla ayrıntı ve örnek için "Aynı site"yi anlama ve "same-origin"

İyi haber: Web siteniz zaten HTTPS'ye tamamen yükseltildiyse endişelenmenize gerek yok. Sizin için hiçbir şey değişmeyecek.

Web sitenizi henüz tam olarak yükseltmediyseniz, öncelik bu olmalıdır. Ancak, site ziyaretçilerinizin HTTP ile HTTPS, ardından bu sık karşılaşılan senaryolardan bazıları ve ilişkili SameSite çerezi genel hatlarıyla inceledik.

Bu değişiklikleri hem Chrome'da hem de Firefox'ta test etmek için etkinleştirebilirsiniz.

  • Chrome 86'da about://flags/#schemeful-same-site hizmetini etkinleştirin. İlerleme durumunu izleme Chrome Durumu'nda öğrenin.
  • Firefox 79'da, network.cookie.sameSite.schemeful ayarını şunun üzerinden true yapın: about:config. İlerleme durumunu Bugzilla üzerinden takip edin sorun.

SameSite=Lax ürününün varsayılan olarak ayarlanmasının temel nedenlerinden biri, çerezler, Siteler Arası İstek Sahtekarlığına karşı koruma (CSRF). Ancak, güvenli olmayan HTTP trafiği de ağ saldırganlarının saldırıya uğramaması için bir fırsat Güvenli HTTPS sürümünde kullanılacak olan çerezlerle girin. Şemalar arasında bu ek siteler arası sınırın oluşturulması, daha iyi savunmanızı sağlar.

Yaygın şema senaryoları

Bir web sitesinin şemalar arası sürümleri arasında gezinme (örneğin, http://site.example to https://site.example) önceden SameSite=Strict çerez gönderilecek. Bu artık siteler arası olarak kabul ediliyor gezinmesi nedeniyle SameSite=Strict çerez engellenecek.

Bir sitenin güvenli olmayan HTTP sürümünden güvenli HTTPS sürümüne giden bağlantı izlenerek tetiklenen şemalar arası gezinme. SameSite=Strict çerezler engellendi, SameSite=Lax ve SameSite=None; Güvenli çerezlere izin verilir.
HTTP'den HTTPS'ye şemalar arası gezinme.
HTTP → HTTPS HTTPS → HTTP
SameSite=Strict ⛔ Engellendi ⛔ Engellendi
SameSite=Lax ✓ İzin veriliyor ✓ İzin veriliyor
SameSite=None;Secure ✓ İzin veriliyor ⛔ Engellendi

Alt kaynaklar yükleniyor

Burada yaptığınız değişiklikler, düzeltme sırasında yalnızca geçici bir çözüm olarak kabul edilmelidir. tam HTTPS'ye yükseltme çalışması yapmanız gerekir.

Alt kaynaklara örnek olarak XHR veya Fetch.

Bir sayfada çapraz şema alt kaynağı yüklemek eskiden Gönderilecek veya ayarlanacak SameSite=Strict ya da SameSite=Lax çerez. Şimdi bu üçüncü taraf veya siteler arası alt kaynaklarla aynı şekilde ele tüm SameSite=Strict veya SameSite=Lax çerezlerinin engelleneceği anlamına gelir.

Ayrıca tarayıcı güvenli olmayan şemalardan bir sayfaya yüklendikten sonra, bu isteklerde tüm çerezler Üçüncü taraf veya siteler arası çerezler Secure gerektirir.

Güvenli olmayan HTTP sürümüne dahil edilen sitenin güvenli HTTPS sürümündeki bir kaynaktan kaynaklanan çapraz şema alt kaynağı. SameSite=Strict ve SameSite=Lax çerezleri engellendi ve SameSite=None; Güvenli çerezlere izin verilir.
HTTPS üzerinden çapraz şema alt kaynağı içeren bir HTTP sayfası.
HTTP → HTTPS HTTPS → HTTP
SameSite=Strict ⛔ Engellendi ⛔ Engellendi
SameSite=Lax ⛔ Engellendi ⛔ Engellendi
SameSite=None;Secure ✓ İzin veriliyor ⛔ Engellendi

Form YAYINLAMA

Önceden bir web sitesinin şemalar arası sürümleri arasında içerik yayınlamak, SameSite=Lax veya SameSite=Strict ile ayarlanmış çerezlerin gönderilmesi gerekir. Şimdi bu siteler arası POST olarak değerlendirilir. Yalnızca SameSite=None çerezleri gönderilebilir. bu senaryoyla, güvenli olmayan sürümü varsayılan olarak sunan sitelerde görebilirsiniz. ancak oturum açma veya teslim alma işleminden sonra kullanıcıları güvenli sürüme yükseltme ödeme formu doldurun.

Alt kaynaklarda olduğu gibi, istek güvenli bir kaynaktan geliyorsa (ör. HTTPS'den bir güvensiz, ör. HTTP, bağlam söz konusu olduğunda bu isteklerde tüm çerezler engellenir Üçüncü taraf veya siteler arası çerezler Secure gerektirir.

Güvenli HTTPS sürümüne gönderilen sitenin güvenli olmayan HTTP sürümündeki bir formdan kaynaklanan çapraz şema formu gönderimi. SameSite=Strict ve SameSite=Lax çerezleri engellendi ve SameSite=None; Güvenli çerezlere izin verilir.
HTTP'den HTTPS'ye çapraz şema form gönderimi.
HTTP → HTTPS HTTPS → HTTP
SameSite=Strict ⛔ Engellendi ⛔ Engellendi
SameSite=Lax ⛔ Engellendi ⛔ Engellendi
SameSite=None;Secure ✓ İzin veriliyor ⛔ Engellendi

Sitemi nasıl test edebilirim?

Geliştirici araçları ve mesajlaşma, Chrome ve Firefox'ta kullanılabilir.

Chrome 86'dan itibaren Geliştirici Araçları, site haritası sorunlarını içerir. Aşağıdaki sorunların vurgulandığını görebilirsiniz elde etmeye çalışır.

Navigasyon sorunları:

  • "Aynı sitede çerezlerin gönderilmeye devam etmesi için tamamen HTTPS'ye geç istekleri": Çerezin gelecekteki bir sürümde engelleneceğini belirten bir uyarı. hoş geldiniz.
  • "Aynı site isteklerinde çerezlerin gönderilmesi için tamamen HTTPS'ye taşı": A Çerez engellenmiş olduğuna dair bir uyarı gönderir.

Alt kaynak yükleme sorunları:

  • "Çerezleri aynı siteye göndermeye devam etmek için tamamen HTTPS'ye taşı "alt kaynaklar" veya "Çerezlere izin vermeye devam etmek için tamamen HTTPS'ye aynı sitenin alt kaynakları tarafından ayarlanabilir": Çerezin olacağı Chrome'un gelecekteki bir sürümünde engellenmiştir.
  • "Çerezlerin aynı sitenin alt kaynaklarına gönderilmesi için tamamen HTTPS'ye taşı" veya "Çerezlerin aynı site tarafından ayarlanmasına izin vermek için tamamen HTTPS'ye taşı subresources"—Çerezin engellendiği ile ilgili uyarılar. İkincisi uyarısı da form YAYINLAYABİLİR.

Şematik için Test ve Hata Ayıklama İpuçları bölümünde daha fazla bilgi edinebilirsiniz. Aynı Site.

Firefox 79'dan ve network.cookie.sameSite.schemeful, şunun üzerinden true olarak ayarlandı: about:config konsolda, Şemalı Same-Site sorunları için mesaj gösterilir. Sitenizde şunları görebilirsiniz:

  • "cookie_name çerezi yakında siteler arası çerez olarak değerlendirilecek http://site.example/, çünkü şema eşleşmedi."
  • "Çerez cookie_name siteler arası http://site.example/, çünkü şema eşleşmedi."

SSS

Sitem zaten HTTPS'de tamamen kullanılabilir olduğu halde tarayıcımın Geliştirici Araçları'nda neden sorunlar görüyorum?

Bağlantılarınız ve alt kaynaklarınızdan bazıları hâlâ güvenli olmayan URL'ler.

Bu sorunu düzeltmenin bir yolu da HTTP Yüksek Düzeyde Aktarım-Güvenlik (HSTS) ve includeSubDomain yönergesi. HSTS + includeSubDomain ile Sayfalarınızdan biri yanlışlıkla güvenli olmayan bir bağlantı eklerse, tarayıcı otomatik olarak güvenli sürümü kullanır.

HTTPS'ye geçemiyorsam ne yapmalıyım?

Sitenizi tamamen HTTPS'ye yükseltmenizi öneririz. Bunu yapamıyorsanız, kullanıcılarınızı korumak için kendi başınıza kontrol ederek bu seçeneği sunup sunamayacaklarını öğrenin. Kendiniz düzenleyen Let's Encrypt, bu tablodaki verileri bir sertifika yükleyip yapılandırabilirsiniz. Sitenizin taşınmasını da araştırabilirsiniz HTTPS bağlantısını sağlayabilen bir CDN veya başka bir proxy'nin arkasında olmalıdır.

Bu mümkün değilse şurada SameSite korumasını gevşetmeyi deneyin: çerezlerden etkilenmiş olabilir.

  • Yalnızca SameSite=Strict çerezin engellendiği durumlarda Lax koruma.
  • Hem Strict hem de Lax çerezlerinin engellendiği durumlarda veya çerezlerin güvenli bir URL'ye gönderilmesi (veya bu URL'den ayarlanması) None için koruma.
    • Bu geçici çözüm, çerezleri gönderdiğiniz URL (veya güvenli değildir. Bunun nedeni, SameSite=None için Çerezlerdeki Secure özelliği, bu nedenle bu çerezlerin gönderilememesi veya güvenli olmayan bir bağlantı üzerinden ayarlanmış olabilir. Bu durumda, bu çerezi siteniz HTTPS'ye yükseltilene kadar.
    • Bu yalnızca geçicidir, çünkü nihayetinde üçüncü taraf çerezleri tamamen kullanımdan kaldırıldı.

Bir SameSite özelliği belirtmediysem bu durum çerezlerimi nasıl etkiler?

SameSite özelliği olmayan çerezler, belirtilmiş gibi kabul edilir SameSite=Lax ve aynı şemalar arası davranış bu çerezlerde olur. Güvenli olmayan yöntemler için geçici istisnanın hâlâ geçerli olduğunu unutmayın. Chromium'da Lax + POST çözümleri SameSite SSS sayfasını inceleyebilirsiniz.

WebSocket'ler nasıl etkilenir?

Aynı webSocket bağlantıları aynı site olarak kabul edilir güvenli olduğunu unutmayın.

Aynı site:

  • https:// adlı yerden wss:// aktarma
  • http:// adlı yerden ws:// aktarma

Siteler arası:

  • http:// adlı yerden wss:// aktarma
  • https:// adlı yerden ws:// aktarma

Fotoğrafı çeken: Julissa Kapilla açık Başlangıç