Planlı Aynı Site bir (web)sitesinin tanımını yalnızca kaydedilebilir etki alanından şema + kaydedilebilir etki alanına değiştirir. Daha fazla ayrıntı ve örneği “aynı site” ve “aynı kaynak”ı anlama bölümünde bulabilirsiniz.
İyi haber şu ki, web siteniz zaten tamamen HTTPS’ye yükseltildiyse, hiçbir şey için endişelenmenize gerek yok. Senin için hiçbir şey değişmeyecek.
Web sitenizi henüz tam olarak yükseltmediyseniz, öncelik bu olmalıdır. Ancak, site ziyaretçilerinizin HTTP ile HTTPS arasında gidip geleceği durumlar varsa, bu yaygın senaryolardan bazıları ve ilişkili SameSite çerez davranışı aşağıda özetlenmiştir.
Bu değişiklikleri hem Chrome hem de Firefox’ta test etmek için etkinleştirebilirsiniz.
- Chrome 86’dan etkinleştirin
about://flags/#schemeful-same-site. İlerlemeyi takip et Chrome Durumu sayfası. - Firefox 79’dan ayarlayın
network.cookie.sameSite.schemefuliletruearacılığıylaabout:config. İlerlemeyi şununla takip et: Bugzilla sorunu.
değişikliğinin en önemli nedenlerinden biri SameSite=Lax tanımlama bilgileri için varsayılan olarak koruma sağlamaktı. Siteler Arası İstek Sahteciliği (CSRF). Bununla birlikte, güvenli olmayan HTTP trafiği, ağ saldırganlarına, daha sonra sitenin güvenli HTTPS sürümünde kullanılacak tanımlama bilgilerini kurcalama fırsatı sunar. Düzenler arasında bu ek siteler arası sınırın oluşturulması, bu saldırılara karşı daha fazla savunma sağlar.
Ortak şemalar arası senaryolar #
Navigasyon #
Bir web sitesinin şemalar arası sürümleri arasında gezinme (örneğin, http://site.örnek https://site.example) önceden izin verirdi SameSite=Strict gönderilecek çerezler. Bu artık bir siteler arası gezinme olarak ele alınır, yani SameSite=Strict çerezler engellenecektir.
| HTTP → HTTPS | HTTPS → HTTP | |
SameSite=Strict |
⛔ Engellendi | ⛔ Engellendi |
SameSite=Lax |
✓ İzin verilir | ✓ İzin verilir |
SameSite=None;Secure |
✓ İzin verilir | ⛔ Engellendi |
Alt kaynaklar yükleniyor #
Tam HTTPS’ye yükseltmek için çalışırken, burada yaptığınız tüm değişiklikler yalnızca geçici bir düzeltme olarak kabul edilmelidir.
Alt kaynaklara örnek olarak görüntüler, iframe’ler ve XHR veya Fetch ile yapılan ağ istekleri verilebilir.
Bir sayfaya şemalar arası bir alt kaynak yüklemek, önceden izin verirdi SameSite=Strict veya SameSite=Lax gönderilecek veya ayarlanacak çerezler. Artık bu, diğer herhangi bir üçüncü taraf veya siteler arası alt kaynakla aynı şekilde ele alınır; bu, herhangi bir SameSite=Strict veya SameSite=Lax çerezler engellenecektir.
Ek olarak, tarayıcı güvenli olmayan şemalardan gelen kaynakların güvenli bir sayfaya yüklenmesine izin verse bile, üçüncü taraf veya siteler arası çerezlerin gerektirdiği şekilde bu taleplerde tüm çerezler engellenecektir. Secure.
| HTTP → HTTPS | HTTPS → HTTP | |
SameSite=Strict |
⛔ Engellendi | ⛔ Engellendi |
SameSite=Lax |
⛔ Engellendi | ⛔ Engellendi |
SameSite=None;Secure |
✓ İzin verilir | ⛔ Engellendi |
Form YAYINLAMAK #
Bir web sitesinin şemalar arası sürümleri arasında gönderi yapmak, daha önce çerezlerin şu şekilde ayarlanmasına izin veriyordu: SameSite=Lax veya SameSite=Strict gönderilecek Artık bu, siteler arası bir POST olarak ele alınır; yalnızca SameSite=None çerezler gönderilebilir. Varsayılan olarak güvenli olmayan sürümü sunan, ancak oturum açma veya çıkış formunu gönderdikten sonra kullanıcıları güvenli sürüme yükselten sitelerde bu senaryoyla karşılaşabilirsiniz.
Alt kaynaklarda olduğu gibi, istek güvenli bir içerikten, örneğin HTTPS’den güvensiz bir içeriğe, örneğin HTTP’ye geçiyorsa, üçüncü taraf veya siteler arası çerezlerin gerektirdiği şekilde bu isteklerdeki tüm çerezler engellenir. Secure.
| HTTP → HTTPS | HTTPS → HTTP | |
SameSite=Strict |
⛔ Engellendi | ⛔ Engellendi |
SameSite=Lax |
⛔ Engellendi | ⛔ Engellendi |
SameSite=None;Secure |
✓ İzin verilir | ⛔ Engellendi |
Sitemi nasıl test edebilirim? #
Geliştirici araçları ve mesajlaşma, Chrome ve Firefox’ta mevcuttur.
Chrome 86’dan, Geliştirici Araçları’ndaki Sorun sekmesi Planlı Aynı Site sorunlarını içerecektir. Siteniz için vurgulanan aşağıdaki sorunları görebilirsiniz.
Navigasyon sorunları:
- “Aynı site isteklerinde çerezlerin gönderilmesine devam etmek için tamamen HTTPS’ye geçin”—Çerezin olacak Chrome’un gelecekteki bir sürümünde engellendi.
- “Aynı site isteklerinde çerezlerin gönderilmesi için tamamen HTTPS’ye geçin”—Çerezin olmuştur engellendi.
Alt kaynak yükleme sorunları:
- “Çerezlerin aynı site alt kaynaklarına gönderilmesine devam etmek için tamamen HTTPS’ye geçin” veya “Çerezlerin aynı site alt kaynakları tarafından ayarlanmasına izin vermeye devam etmek için tamamen HTTPS’ye geçin”—Çerezin olacak Chrome’un gelecekteki bir sürümünde engellendi.
- “Çerezlerin aynı site alt kaynaklarına gönderilmesi için tamamen HTTPS’ye geçiş yapın” veya “Çerezlerin aynı site alt kaynakları tarafından ayarlanmasına izin vermek için tamamen HTTPS’ye geçiş yapın”—Çerezin olmuştur engellendi. İkinci uyarı, bir form POST edilirken de görünebilir.
Daha fazla detay şu adreste mevcuttur: Planlı Aynı Site için Test Etme ve Hata Ayıklama İpuçları.
Firefox 79’dan, network.cookie.sameSite.schemeful ayarlanır true aracılığıyla about:config konsol, Planlı Aynı Site sorunları için mesaj görüntüler. Sitenizde aşağıdakileri görebilirsiniz:
- “Kurabiye
cookie_nameyakında olacak karşı siteler arası çerez olarak ele alınır./çünkü şema uymuyor.” - “Kurabiye
cookie_nameolmuştur karşı siteler arası olarak ele alınır/çünkü şema uymuyor.”
SSS #
Sitem zaten tamamen HTTPS’de mevcut, neden tarayıcımın DevTools’unda sorunlar görüyorum? #
Bağlantılarınızdan ve alt kaynaklarınızdan bazılarının hâlâ güvenli olmayan URL’lere işaret etmesi mümkündür.
Bu sorunu çözmenin bir yolu, kullanmaktır. HTTP Katı Taşıma Güvenliği (HSTS) ve includeSubDomain direktif. HSTS + ile includeSubDomain Sayfalarınızdan biri yanlışlıkla güvenli olmayan bir bağlantı içerse bile, tarayıcı bunun yerine otomatik olarak güvenli sürümü kullanır.
Ya HTTPS’ye yükseltemezsem? #
Kullanıcılarınızı korumak için sitenizi tamamen HTTPS’ye yükseltmenizi şiddetle tavsiye etsek de, bunu kendiniz yapamıyorsanız, bu seçeneği sunup sunamayacaklarını öğrenmek için barındırma sağlayıcınızla konuşmanızı öneririz. Kendi kendini barındırıyorsanız, o zaman Haydi Şifreleyelim bir sertifika yüklemek ve yapılandırmak için bir dizi araç sağlar. Sitenizi HTTPS bağlantısı sağlayabilecek bir CDN veya başka bir proxy arkasına taşımayı da araştırabilirsiniz.
Bu hala mümkün değilse, o zaman gevşemeyi deneyin. SameSite etkilenen çerezlerde koruma.
- Sadece olduğu durumlarda
SameSite=Stricttanımlama bilgileri engelleniyor, korumayı şuna düşürebilirsiniz:Lax. - Her ikisinin de olduğu durumlarda
StrictVeLaxçerezler engelleniyor ve çerezleriniz güvenli bir URL’ye gönderiliyor (veya buradan ayarlanıyor) korumaları azaltabilirsinizNone.- Bu geçici çözüm, hata çerez gönderdiğiniz (veya ayarladığınız) URL güvenli değilse. Bunun nedeni ise
SameSite=NonegerektirirSecureBu, bu çerezlerin güvenli olmayan bir bağlantı üzerinden gönderilemeyeceği veya ayarlanamayacağı anlamına gelir. Bu durumda, siteniz HTTPS’ye yükseltilene kadar bu tanımlama bilgisine erişemezsiniz. - Unutmayın, bu yalnızca geçicidir, çünkü eninde sonunda üçüncü taraf tanımlama bilgileri aşamalı olarak tamamen kullanımdan kaldırılacaktır.
- Bu geçici çözüm, hata çerez gönderdiğiniz (veya ayarladığınız) URL güvenli değilse. Bunun nedeni ise
Bir tanımlama yapmamışsam, bu çerezlerimi nasıl etkiler? SameSite bağlanmak? #
olmayan çerezler SameSite öznitelik belirtilmiş gibi ele alınır SameSite=Lax ve aynı şemalar arası davranış bu tanımlama bilgileri için de geçerlidir. Güvenli olmayan yöntemlere yönelik geçici istisnanın hala geçerli olduğunu unutmayın, bkz. Chromium’da Lax + POST azaltma SameSite SSS daha fazla bilgi için.
WebSockets nasıl etkilenir? #
WebSocket bağlantıları, sayfayla aynı güvenlik düzeyine sahiplerse yine de aynı site olarak kabul edilecektir.
Aynı site:
wss://bağlantıhttps://ws://bağlantıhttp://
Siteler arası:
wss://bağlantıhttp://ws://bağlantıhttps://
fotoğrafı çeken Julissa Capdevilla Açık Unsplash