Önizleme için kullanılabilir: Otomatik HTTPS, taramanızı daha güvenli tutmaya yardımcı olur

  • History |
  • |
  • 0 Yorum

Microsoft Edge 92'den başlayarak, kullanıcılar bağlantılarınızı otomatik olarak HTTP'den HTTPS'ye web sitelerine değiştiren Otomatik HTTPS özelliğini önizleyebilir.
Web'de gezinirken, Microsoft Edge adres çubuğunun bazı siteler için "güvenli değil" iletisi ve diğerleri için bir kilit simgesi görüntülediğini fark edebilirsiniz. Bu simgeler, bir sitenin HTTP üzerinden mi yoksa daha güvenli HTTPS protokolü üzerinden mi teslim edildiğini gösterir.

Siteler HTTP üzerinden yüklendiğinde, saldırganlar aktarım halindeki sayfa içeriğini görüntüleyebilir veya değiştirebilir veya sizi beklediğinden farklı bir konuma yönlendirebilir. Çoğu web sitesi artık bu ortadaki adam saldırılarına karşı korunmaya yardımcı olabilecek HTTPS'yi destekliyor. Ancak, bu sitelerin çoğu HTTPS gerektirecek şekilde yapılandırılmamıştır, site daha güvenli protokole yeniden yönlendirmeden önce saldırganlar için kısa bir fırsat penceresi bırakır. Bazı siteler ziyaretleri HTTP'den HTTPS'ye hiç yönlendirmeyebilir ve bazı ziyaretçilere daha az güvenli bir bağlantı bırakabilir. Göz atarken bilgilerinizin korunmasına yardımcı olmak için, Microsoft Edge 92 ile Kanarya ve Geliştirici kanallarında önizleme için kullanılabilen Otomatik HTTPS: adlı bir özellik kullanıma sunuldu.
Otomatik HTTPS, daha güvenli protokolü destekleme olasılığı yüksek olan sitelerde bağlantılarınızı HTTP'den HTTPS'ye geçirir. HTTPS özellikli web sitelerinin listesi, Microsoft'un web analizini temel alır ve yüz binlerce üst düzey etki alanında daha güvenli bir bağlantı sağlamaya yardımcı olur. Otomatik HTTPS, bağlantı hatalarını ve olası performans sorunlarını önlemek için bağlantınızı varsayılan olarak yalnızca HTTPS özellikli etki alanlarında yükseltir.
Bu protokol değiştirme işlemi otomatik olarak ve müdahaleci bildirimler olmadan gerçekleşir, böylece web sitelerine bağlantınızı düşünmek zorunda kalmazsınız- her zamanki gibi göz atın! Daha da sıkı güvenlik istiyorsanız ve bağlantı hatalarıyla daha sık karşılaşmayı umursamıyorsanız, üzerindeki ikiliyi kullanarak tüm gezintileri HTTP'den HTTPS'ye değiştirmeyi seçebilirsiniz:edge://settings/privacy
"Otomatik HTTPS ile otomatik olarak daha güvenli bağlantılara geç" yazan bir Edge ayarı açılır. Altındaki seçili radyo düğmesinde 'Her zaman HTTP'den HTTPS'ye geçin (bağlantı hataları daha sık oluşabilir)' yazıyor.
Microsoft Edge 92'nin belirli kullanıcıları için Kanarya ve Dev önizleme kanallarımızda bu özelliği denemeye başlıyoruz. Otomatik HTTPS'yi denemek istiyorsanız ve deneme henüz size ulaşmadıysa:
  1. Edge 92 Canary/Dev'i ziyaret edin ve Otomatik HTTPS'yi etkinleştirinedge://flags/#edge-automatic-https
  2. Microsoft Edge'i yeniden başlatmak için görünen "Yeniden Başlat" düğmesine basın.
  3. "Otomatik HTTPS ile otomatik olarak daha güvenli bağlantılara geç" yi ziyaret edin ve açın.edge://settings/privacy
Herhangi bir sorunla karşılaşırsanız veya herhangi bir geri bildiriminiz varsa, düşüncelerinizi paylaşmak için lütfen uygulama içi geri bildirim düğmesini (veya Alt+Shift +I) kullanın!

Teknik detaylar

Geniş bir koruma kapsamı

Otomatik HTTPS tüm kullanıcı gezintileri için geçerlidir. Adres çubuğuna bir URL yazın veya sizi yeni bir siteye götüren bir bağlantıya tıklayın, özellik bağlantınızı HTTPS'ye geçirip geçirmeyeceğinizi denetler. Nasıl göz attığınız önemli değildir- Otomatik HTTPS güvende kalmanıza yardımcı olur.

Bilinen etki alanları listesi

Güvenliğin yanı sıra, üretkenlik ve performansın kullanıcılarımız için en önemli şey olduğunu biliyoruz. Etkinleştirildiğinde, Otomatik HTTPS varsayılan olarak gezintileri yalnızca HTTPS'yi desteklemesi muhtemel etki alanlarında yükseltmeyi destekler. HTTPS özellikli etki alanlarına kapsam belirleme, bağlantı hatalarının yanı sıra "önce HTTPS'yi deneyin ve HTTP'ye geri dönün" yaklaşımlarıyla olası performans veya güvenilirlik sorunlarını azaltır.
HTTPS özellikli etki alanlarının listesi, bir tarayıcı bileşeni aracılığıyla kullanıcının cihazına teslim edilir ve üzerinde listelenir. Microsoft, listeyi HTTPS üzerinden teslim edilen yüksek trafik oranına sahip ve HTTPS gerektirecek şekilde yapılandırılmamış (yani HSTS Ön Yükleme Listeleri'ne zaten dahil olmayan) en iyi etki alanlarına göre oluşturur.edge://components/

Yerel önbelleğe alma ile karşılaşılan hataları azaltma

Bazı kullanıcılar tüm gezintilerin HTTPS kullanmasını tercih edebilir ve güvenliğin artması karşılığında hata sayfalarıyla daha sık karşılaşmayı tercih edebilir. Bu sonuç hata sayfaları, bunun yerine HTTP üzerinden teslim edilen URL'yi denemenizi sağlar:
"Bu sayfa şu anda çalışmıyor" başlıklı bir hata sayfası. Alt metin, Otomatik HTTPS'nin bağlantınızı HTTPS'ye değiştirdiğini ve aynı URL'yi ancak http:// denemeyi teklif ettiğini söylüyor.
Yalnızca HTTP kullanımını zorlamak için özel olarak yapılandırılmış bir sitede oluşan bir hata örneği.
Otomatik HTTPS'yi bilinen özellikli veya tüm etki alanlarında çalışacak şekilde yapılandırıp yapılandırmadığınıza bakılmaksızın, özellik gezinti hatasına neden olan son etki alanlarını yerel olarak önbelleğe alacaktır. Önbelleğe alınmış bir siteyi bir sonraki ziyaretinizde, Otomatik HTTPS yükseltme girişimini atlayarak çoğaltıcı hata sayfalarını önler ve göz atmaya odaklanmanızı sağlar.
Kullanıcılar edge://settings/privacy ziyaret ederek ve "Tarama geçmişi"ni temizleyerek bu önbelleği temizleyebilir. InPrivate oturumu sırasında depolanan önbellek girdileri InPrivate'den ayrılırken otomatik olarak temizlenir.

Alt kaynak yükseltmeleri

HTTPS, yalnızca adres çubuğunda gösterilen en üst düzey belge değil, tüm kaynaklar HTTPS üzerinden teslim edildiğinde sizi en iyi şekilde korur. "Etkin" içerik alt kaynakları, ziyaret ettiğiniz sayfadaki içeriğin bir kısmına veya tamamına erişebilir. Bunlar HTTP üzerinden teslim edilirse, saldırgan sayfadaki içeriği yine de işleyebilir. Aynı zamanda, belirli bir alt kaynak için HTTPS üzerinden teslim desteklenmiyorsa, bunları HTTPS'ye geçirmek başka hatalara da yol açabilir.
Otomatik HTTPS yalnızca bilinen özellikli etki alanlarında HTTPS'ye geçecek şekilde yapılandırıldığında, bu özellik aynı ana bilgisayar etkin alt kaynaklarını HTTPS'ye yükseltir, çünkü bunların HTTPS'yi destekleme olasılığı daha yüksektir. Örneğin, http://contoso.com'da http://contoso.com/script.js yükseltilir, ancak alt etkialanı http://. contoso.com/script.js ve http://microsoft.com/script.js bunu yapmadı. Bu özellik kapsamındaki etkin içerik alt kaynakları komut dosyalarını, iframe kaynaklarınıve fetch() isteklerini içerir; daha uzun bir listeyi MDN 'de bulabilirsiniz.
"Her zaman değiştir" ayarı bir kez daha artırılmış güvenlik için tasarlanmıştır: tüm etkin içerik alt kaynakları yükseltilir. Alt kaynakların yüklenmesi (ve dolayısıyla bazı site kırılmaları) hataları daha yaygın olabilir.

Geliştirici kılavuzu

Web sitesi sahiplerinin, üst düzey belgeler ve alt kaynaklar da dahil olmak üzere tüm içeriği HTTPS üzerinden sunmalarını öneririz. Geliştiriciler ayrıca web sitelerini https , tüm etki alanları için mümkün olmayabilir.
Etki alanınızı bu şekilde yapılandırmadıysanız, Otomatik HTTPS'nin etkilerini kendi web sitenizde gözlemleyebilirsiniz. DevTools'u yukarı çekmek için F12 tuşuna bastı ve konsol sekmesini getirin. "Konsol ayarları" altında"Günlüğü koru"yu etkinleştirin:
Konsol ayarları tepsisinde "Günlüğü koru" onay kutusu işaretlenir.
Ardından http:// şemasını (örneğin http://example.com) kullanarak sitenizi ziyaret edin. Otomatik HTTPS bağlantınızı HTTPS'ye geçirdiyse, konsolda bir ileti görüntülenir:
Konsol, example.com 'Otomatik HTTPS bağlantınızı HTTPS'ye değiştirdi' belirtir.
Görüntülenen tam ileti, alt kaynakların yükseltilip yükseltilemediğine bağlıdır:
Senaryo Konsol İletisi
Belge HTTPS'ye geçti, ancak hiçbir alt kaynak yükseltilmedi Otomatik HTTPS bağlantınızı HTTPS'ye değiştirdi."
Belge HTTPS'ye geçti ve Otomatik HTTPS "HTTPS'yi desteklemesi muhtemel web sitelerinde yükseltme" olarak ayarlandığı için aynı ana bilgisayar etkin alt kaynakları yükseltildi Otomatik HTTPS bağlantınızı ve aynı ana bilgisayar alt kaynaklarınızı HTTPS'ye değiştirdi."
Belge HTTPS'ye geçti ve Otomatik HTTPS "her zaman geçiş" olarak ayarlandığı için tüm etkin alt kaynaklar yükseltildi Otomatik HTTPS bağlantınızı ve alt kaynaklarınızı HTTPS'ye değiştirdi."

Lütfen geri bildiriminizi paylaşın

Otomatik HTTPS hakkında ne düşündüğünüzü bilmek istiyoruz! Herhangi bir sorunla karşılaşırsanız veya herhangi bir geri bildiriminiz varsa, düşüncelerinizi paylaşmak için lütfen uygulama içi geri bildirim düğmesini (veya Alt+Shift+I) kullanın. Ayrıca bize ulaşabilirsiniz Twitter.
Geri bildiriminiz için teşekkürler ve lütfen Otomatik HTTPS güncellemeleri için bizi izlemeye devam edin.
— Melanie Richards,

Kıdemli Program Yöneticisi —

Kinam Park, Yazılım Mühendisi —

Deepak Narasimha Murthy, Yazılım Mühendisi — Brandon Maslen, Kıdemli Yazılım Mühendisi