e
sv

HTTP, HTTPS şemalarının karışımını kullanan web siteleri, yeni Chrome SameSite kurallarını ihlal edebilir

avatar

Onfroy

  • e 0

    Mutlu

  • e 0

    Eğlenmiş

  • e 0

    Şaşırmış

  • e 0

    Kızgın

  • e 0

    Üzgün

Geliştiriciler, web yöneticilerinin yakında geçiş yapacağı konusunda uyarıyor.

HTTP, HTTPS şemalarının karışımını kullanan web siteleri, yeni Chrome SameSite kurallarını ihlal edebilir. Tarayıcı geliştiricilerinin duyurduğu gibi, Google Chrome‘un aynı site çerez isteklerini işleme biçiminde daha fazla değişiklik yaptığını duyurdu.

Dünyanın en popüler web tarayıcısı, bu yılın başlarında yeni aynı site tanımlama bilgisi isteği kuralları yürürlüğe girdikten sonra varsayılan olarak siteler arası istekleri engellemeye başladı.

Reklam, izleme, içerik kişiselleştirme ve daha fazlasını sunmak için kullanılan çerezler alan adlarıyla ilişkilendirilir. Adres çubuğundaki web sitesiyle eşleşiyorlarsa, “aynı site” veya birinci taraf çerezleri olarak kabul edilirler.

Harici alanlarla ilgiliyse, ‘siteler arası’ veya üçüncü taraf bağlamında oldukları kabul edilir. Bu, bir çerezin aynı varlığa ait birden fazla web sitesi arasında paylaşıldığı durumları içerir.

Web yöneticileri, tanımlama bilgilerini aynı site istekleriyle sınırlamak için SameSite = Lax veya S ameSite = Strict uygulama seçeneğine sahiptir .

Her iki seçeneğin de uygulanmaması, web sitelerini siteler arası istek sahteciliğine ( CSRF ) ve diğer birçok web tabanlı saldırıya açık bırakabilir .

Sonuç olarak, Google, SameSite = Strict’i varsayılan olarak, zorunlu kılmak için harekete geçti ve böylece tüm siteler arası çerez isteklerini engelledi.

Siteler arası daha fazla değişiklik

Google Chrome’un arkasındaki geliştiriciler artık aynı site kurallarını URL’leri içerecek şekilde genişletti.

Maalesef bazıları için bu, hala HTTP ve HTTPS şemalarının bir karışımını kullanan herhangi bir web sitesinin, aynı alanda olsalar bile ‘siteler arası’ olarak sınıflandırılacağı ve engelleneceği anlamına gelir.

Değişiklikler, saldırganların ortadaki manipülatör (MitM) saldırısıyla aynı site kısıtlamalarını atlamasını engellemek için yapıldı.

Bir blog yazısı , hareketin ardındaki daha fazla ayrıntıyı açıklar ve web yöneticilerine yapmaları gerekebilecek değişiklikler konusunda tavsiyelerde bulunur.

  • Site İçi Yorumlar

En az 10 karakter gerekli