إعادة توجيه طلب إلى /.well-known/change-password
إلى عنوان URL لتغيير كلمة المرور
يمكنك ضبط عملية إعادة توجيه من /.well-known/change-password
إلى صفحة تغيير كلمة المرور في موقعك الإلكتروني. سيتيح ذلك لمديري كلمات المرور إمكانية التنقل بين المستخدمين
مباشرةً إلى تلك الصفحة.
مقدمة
كما تعلم، لا تُعدّ كلمات المرور الطريقة الأفضل لإدارة الحسابات. لحسن الحظ، هناك تقنيات ناشئة مثل WebAuthn وأساليب مثل كلمات المرور التي تُستخدم مرة واحدة، تساعدنا على الاقتراب من عالم بدون كلمات مرور. ومع ذلك، لا تزال هذه التقنيات قيد التطوير ولن تتغير الأمور بسرعة. سيظل العديد من المطوّرين بحاجة إلى استخدام كلمات المرور على الأقل للأعوام القليلة القادمة. وبينما ننتظر أن تصبح التقنيات والتقنيات الناشئة شائعة، يمكننا على الأقل تسهيل استخدام كلمات المرور.
هناك طريقة جيدة لتنفيذ ذلك وهي توفير دعم أفضل لخدمات إدارة كلمات المرور.
كيفية الاستفادة من تطبيقات إدارة كلمات المرور
يمكن تضمين تطبيقات إدارة كلمات المرور في المتصفحات أو تقديمها كتطبيقات تابعة لجهات خارجية. يمكن أن تساعد المستخدمين بطرق مختلفة:
الملء التلقائي لكلمة المرور لحقل الإدخال الصحيح: يمكن لبعض المتصفحات العثور على الإدخال الصحيح بشكل إرشادي حتى إذا لم يكن الموقع الإلكتروني محسّنًا لهذا الغرض. يمكن لمطوّري البرامج على الويب مساعدة مدراء كلمات المرور من خلال إضافة تعليقات توضيحية إلى علامات إدخال HTML بشكلٍ صحيح.
منع التصيّد الاحتيالي: بما أنّ مدراء كلمات المرور يتذكّرون مكان تسجيل كلمة المرور، لا يمكن ملء كلمة المرور تلقائيًا إلا في عناوين URL المناسبة، وليس على المواقع الإلكترونية للتصيّد الاحتيالي.
إنشاء كلمات مرور قوية وفريدة: بما أنّ كلمات المرور القوية والفريدة يتم إنشاؤها وتخزينها مباشرةً من خلال مدير كلمات المرور، لن يحتاج المستخدمون إلى تذكّر حرف واحد من كلمة المرور.
نجح إنشاء كلمات المرور وملؤها تلقائيًا باستخدام مدير كلمات المرور في تقديم خدمات على الويب بشكل جيد، ولكن بالنظر إلى مراحل نشاطها، إنّ تعديل كلمات المرور متى كان مطلوبًا لا يقل أهمية عن إنشاء كلمات المرور وملؤها تلقائيًا. وللاستفادة من ذلك بشكل مناسب، يضيف مديرو كلمات المرور ميزة جديدة، وهي:
رصد كلمات المرور المعرَّضة للاختراق واقتراح تعديلها: يمكن لخدمات إدارة كلمات المرور رصد كلمات المرور التي تتم إعادة استخدامها وتحليل القصور الذاتي وضعفها ورصد كلمات المرور التي يُحتمل أن يكون قد تم تسريبها أو تلك المعروف أنّها غير آمنة من مصادر مثل Clear I Been Pwned.
يمكن لمدير كلمات المرور تحذير المستخدمين بشأن كلمات المرور التي تسبب مشاكل، ولكن هناك قدر كبير من الصعوبات في توجيه طلب إلى المستخدمين للانتقال من الصفحة الرئيسية إلى صفحة تغيير كلمة المرور، بالإضافة إلى إجراء العملية الفعلية لتغيير كلمة المرور (التي تختلف من موقع إلى آخر). سيكون من الأسهل بكثير أن يتنقل مديرو كلمات المرور إلى المستخدم مباشرة إلى عنوان URL لتغيير كلمة المرور. هذا هو المكان الذي يصبح فيه عنوان URL المعروف لتغيير كلمات المرور مفيدًا.
من خلال حجز مسار عنوان URL معروف يعيد توجيه المستخدم إلى صفحة تغيير كلمة المرور، يمكن للموقع الإلكتروني إعادة توجيه المستخدمين بسهولة إلى المكان المناسب لتغيير كلمات المرور.
إعداد "عنوان URL معروف لتغيير كلمات المرور"
تم اقتراح .well-known/change-password
باعتباره عنوان URL معروفًا لتغيير كلمات المرور. ما عليك سوى ضبط الخادم على إعادة توجيه طلبات .well-known/change-password
إلى عنوان URL الخاص بتغيير كلمة المرور على موقعك الإلكتروني.
على سبيل المثال، لنفترض أنّ موقعك الإلكتروني هو https://example.com
وأنّ عنوان URL لتغيير كلمة المرور هو https://example.com/settings/password
. ما عليك سوى ضبط
خادمك لإعادة توجيه طلب
https://example.com/.well-known/change-password
إلى
https://example.com/settings/password
. وهذا كل ما في الأمر. بالنسبة إلى إعادة التوجيه، استخدِم
رمز حالة HTTP
302 Found
أو 303 See
Other
أو 307
Temporary Redirect
.
بدلاً من ذلك، يمكنك عرض محتوى HTML على عنوان URL الخاص بـ .well-known/change-password
من خلال علامة <meta>
باستخدام http-equiv="refresh"
.
<meta http-equiv="refresh" content="0;url=https://example.com/settings/password">
مراجعة ملف HTML لصفحة تغيير كلمة المرور
وتهدف هذه الميزة إلى المساعدة في جعل مراحل نشاط المستخدم لكلمة مرور أكثر سلاسة. يمكنك تنفيذ أمرين لتمكين المستخدم من تحديث كلمة المرور الخاصة به بدون معوقات:
- إذا كان نموذج تغيير كلمة المرور يتطلّب إدخال كلمة المرور الحالية، أضِف
autocomplete="current-password"
إلى العلامة<input>
لمساعدة مدير كلمات المرور في ملؤها تلقائيًا. - بالنسبة إلى حقل كلمة المرور الجديدة (يضم في كثير من الحالات حقلين لضمان إدخال المستخدم
كلمة المرور الجديدة بشكل صحيح)، أضِف
autocomplete="new-password"
إلى العلامة<input>
لمساعدة مدير كلمات المرور في اقتراح كلمة مرور تم إنشاؤها.
تعرَّف على مزيد من المعلومات من خلال أفضل الممارسات في نموذج تسجيل الدخول.
كيفية استخدامه في العالم الحقيقي
أمثلة
بفضل تنفيذ Apple Safari، أصبح /.well-known/change-password
متاحًا منذ فترة على بعض المواقع الإلكترونية الرئيسية:
جربها بنفسك وافعل الشيء نفسه بالنسبة لك!
توافُق المتصفح
هناك عنوان URL معروف لتغيير كلمات المرور كان متوافقًا في متصفّح Safari منذ عام 2019. سيبدأ مدير كلمات المرور في Chrome في توفيره بدءًا من الإصدار 86 وما بعده (الذي من المقرر أن يصبح متوفرًا في أواخر تشرين الأول (أكتوبر) 2020) وقد تتبعه متصفّحات أخرى مستندة إلى Chromium. يعتقد Firefox أنّ الأمر يستحق التنفيذ، ولكنه لم يُشِر إلى أنّه يخطط لتنفيذ ذلك اعتبارًا من آب (أغسطس) 2020.
سلوك مدير كلمات المرور في Chrome
دعنا نلقي نظرة على كيفية تعامل مدير كلمات المرور في Chrome مع كلمات المرور المعرَّضة للاختراق.
يمكن لمدير كلمات المرور في Chrome التحقُّق من كلمات المرور التي تم تسريبها. من خلال الانتقال إلى about://settings/passwords
، يمكن للمستخدمين تشغيل التحقّق من كلمات المرور مقابل كلمات المرور المخزَّنة، والاطّلاع على قائمة بكلمات المرور التي يُنصَح بتعديلها.
بالنقر على زر تغيير كلمة المرور بجانب كلمة المرور التي يُنصَح بتحديثها، سيحدث ما يلي:
- افتح صفحة تغيير كلمة المرور الخاصة بالموقع الإلكتروني في حال إعداد
/.well-known/change-password
بشكل صحيح. - افتح الصفحة الرئيسية للموقع الإلكتروني إذا لم يتم إعداد
/.well-known/change-password
ولم يتعرّف محرّك بحث Google على الإجراء الاحتياطي.
200 OK
حتى إذا لم يكن /.well-known/change-password
متوفرًا؟يحاول مدراء كلمات المرور تحديد ما إذا كان الموقع الإلكتروني يتيح استخدام عنوان URL معروف
لتغيير كلمات المرور من خلال إرسال طلب إلى /.well-known/change-password
قبل
إعادة توجيه المستخدم إلى عنوان URL هذا. إذا عرض الطلب 404 Not Found
، يكون من الواضح أنّ عنوان URL غير متاح، لكنّ الاستجابة 200 OK
لا تعني بالضرورة أنّ عنوان URL متاح، لأنّ هناك بعض الحالات الحدّية:
- يعرض الموقع الإلكتروني من جهة الخادم الرسالة "لم يتم العثور على الصفحة" في حال عدم توفّر محتوى إلا من خلال السمة
200 OK
. - يستجيب الموقع الإلكتروني للعرض من جهة الخادم باستخدام العلامة
200 OK
في حال عدم توفّر محتوى بعد إعادة التوجيه إلى صفحة "لم يتم العثور على الصفحة". - يستجيب التطبيق المكوّن من صفحة واحدة باستخدام واجهة الأوامر
200 OK
ويعرض الصفحة "لم يتم العثور على الصفحة" من جهة العميل في حال عدم توفّر محتوى.
وبالنسبة إلى هذه الحالات الحدّية، ستتم إعادة توجيه المستخدمين إلى صفحة "لم يتم العثور على الصفحة"، ما سيجعل ذلك مصدرًا للالتباس.
لهذا السبب، هناك آلية
عادية مقترَحة
لتحديد ما إذا تم ضبط الخادم للاستجابة للسمة 404 Not Found
عندما لا يكون هناك أي محتوى، وذلك من خلال طلب صفحة عشوائية. في الواقع،
عنوان URL محجوز أيضًا:
/.well-known/resource-that-should-not-exist-whose-status-code-should-not-be-200
.
يستخدم متصفِّح Chrome مسار عنوان URL هذا مثلاً لتحديد ما إذا كان من المتوقّع أن يتم مسبقًا تغيير عنوان URL لكلمة المرور من /.well-known/change-password
.
عند نشر /.well-known/change-password
، احرص على أن يعرض الخادم الرمز 404 Not Found
لأي محتوى غير متوفّر.
إضافة ملاحظات
إذا كان لديك أي ملاحظات حول المواصفات، يُرجى الإبلاغ عن مشكلة في مستودع المواصفات.
المراجِع
- أحد عناوين URL المعروفة لتغيير كلمات المرور
- اكتشاف موثوقية رموز حالة HTTP
- أفضل الممارسات لنموذج تسجيل الدخول
صورة من تصوير ماثيو برودور على موقع Unسبلاش