Chrome-এর জন্য একটি নতুন ডিফল্ট রেফারার-নীতি - কঠোর-অরিজিন-when-cross-origin

মড নলপাস
Maud Nalpas
X GitHub

আমরা শুরু করার আগে:

  • আপনি যদি "সাইট" এবং "অরিজিন" এর মধ্যে পার্থক্য সম্পর্কে নিশ্চিত না হন তবে "একই-সাইট" এবং "একই-উৎপত্তি" বোঝার পরীক্ষা করুন।
  • Referer শিরোনামটিতে একটি R অনুপস্থিত, স্পেকটিতে একটি আসল ভুল বানানের কারণে। জাভাস্ক্রিপ্ট এবং DOM-এ Referrer-Policy হেডার এবং referrer সঠিকভাবে বানান করা হয়েছে।

সারসংক্ষেপ

  • ব্রাউজারগুলি গোপনীয়তা-বর্ধিত ডিফল্ট রেফারার নীতিগুলির দিকে বিকশিত হচ্ছে, যখন একটি ওয়েবসাইটের কোনও নীতি সেট না থাকে তখন একটি ভাল ফলব্যাক প্রদান করতে৷
  • ক্রোম 85 সালে ডিফল্ট নীতি হিসাবে ধীরে ধীরে strict-origin-when-cross-origin সক্ষম করার পরিকল্পনা করেছে; এটি অন্য উৎস থেকে রেফারারের মানের উপর নির্ভর করে ব্যবহারের ক্ষেত্রে প্রভাব ফেলতে পারে।
  • এটি নতুন ডিফল্ট, তবে ওয়েবসাইটগুলি এখনও তাদের পছন্দের একটি নীতি বেছে নিতে পারে৷
  • Chrome-এ পরিবর্তনটি চেষ্টা করতে, chrome://flags/#reduced-referrer-granularity এ পতাকা সক্ষম করুন। কর্মের পরিবর্তন দেখতে আপনি এই ডেমোটিও দেখতে পারেন।
  • রেফারার নীতির বাইরে, রেফারারদের সাথে ব্রাউজারগুলি যেভাবে ডিল করে তা পরিবর্তিত হতে পারে—তাই এটিতে নজর রাখুন৷

কি পরিবর্তন হচ্ছে এবং কেন?

HTTP অনুরোধে ঐচ্ছিক Referer শিরোনাম অন্তর্ভুক্ত থাকতে পারে, যা উৎস বা ওয়েব পৃষ্ঠার URL নির্দেশ করে যেটি থেকে অনুরোধ করা হয়েছিল। Referer-Policy শিরোনাম Referer হেডারে এবং গন্তব্যের document.referrer এ নেভিগেশন এবং iframes-এর জন্য কী ডেটা উপলব্ধ করা হয়েছে তা নির্ধারণ করে।

আপনার সাইটের অনুরোধে Referer হেডারে ঠিক কী তথ্য পাঠানো হয়েছে তা আপনার সেট করা Referrer-Policy শিরোনাম দ্বারা নির্ধারিত হয়।

চিত্র: রেফারার একটি অনুরোধ পাঠানো হয়েছে.
রেফারার-নীতি এবং রেফারার।

যখন কোন নীতি সেট করা হয় না, ব্রাউজারের ডিফল্ট ব্যবহার করা হয়। ওয়েবসাইটগুলি প্রায়ই ব্রাউজারের ডিফল্টে পিছিয়ে যায়।

নেভিগেশন এবং আইফ্রেমের জন্য, Referer হেডারে উপস্থিত ডেটা document.referrer ব্যবহার করে JavaScript এর মাধ্যমেও অ্যাক্সেস করা যেতে পারে।

সম্প্রতি পর্যন্ত, no-referrer-when-downgrade ব্রাউজার জুড়ে একটি বিস্তৃত ডিফল্ট নীতি। কিন্তু এখন অনেক ব্রাউজার আরও গোপনীয়তা-বর্ধক ডিফল্টে চলে যাওয়ার কিছু পর্যায়ে রয়েছে।

ক্রোম 85 সংস্করণ থেকে শুরু করে no-referrer-when-downgrade থেকে strict-origin-when-cross-origin তার ডিফল্ট নীতি স্যুইচ করার পরিকল্পনা করছে।

এর মানে হল যে আপনার ওয়েবসাইটের জন্য কোনো নীতি সেট করা না থাকলে, Chrome ডিফল্টরূপে strict-origin-when-cross-origin ব্যবহার করবে। মনে রাখবেন যে আপনি এখনও আপনার পছন্দের একটি নীতি সেট করতে পারেন; এই পরিবর্তন শুধুমাত্র সেই ওয়েবসাইটগুলিতে প্রভাব ফেলবে যেগুলির কোনও নীতি সেট নেই৷

এই পরিবর্তন মানে কি?

strict-origin-when-cross-origin আরও গোপনীয়তা অফার করে। এই নীতির সাথে, ক্রস-অরিজিন অনুরোধের Referer হেডারে শুধুমাত্র মূলটি পাঠানো হয়।

এটি ব্যক্তিগত ডেটা ফাঁস প্রতিরোধ করে যা সম্পূর্ণ URL-এর অন্যান্য অংশ যেমন পাথ এবং ক্যোয়ারী স্ট্রিং থেকে অ্যাক্সেসযোগ্য হতে পারে।

ডায়াগ্রাম: একটি ক্রস-অরিজিন অনুরোধের জন্য নীতির উপর নির্ভর করে রেফারার পাঠানো হয়েছে।
নীতির উপর নির্ভর করে একটি ক্রস-অরিজিন অনুরোধের জন্য রেফারার পাঠানো হয়েছে (এবং document.referrer)।

উদাহরণ স্বরূপ:

ক্রস-অরিজিন অনুরোধ, https://site-one.example/ stuff/detail?tag=red থেকে https://site-two.example/… এ পাঠানো হয়েছে:

  • no-referrer-when-downgrade সহ : রেফারার: ​​https://site-one.example/ stuff/detail?tag=red
  • সঙ্গে strict-origin-when-cross-origin : রেফারার: ​​https://site-one.example/।

কি একই থাকে?

  • no-referrer-when-downgrade এর মত, strict-origin-when-cross-origin সুরক্ষিত : কোনো রেফারার ( Referer শিরোনাম এবং document.referrer ) উপস্থিত থাকে না যখন একটি HTTPS অরিজিন (নিরাপদ) থেকে একটি HTTP এক (নিরাপদ) থেকে অনুরোধ করা হয় অনিরাপদ)। এইভাবে, যদি আপনার ওয়েবসাইট HTTPS ব্যবহার করে ( যদি না হয় তবে এটিকে অগ্রাধিকার দিন ), আপনার ওয়েবসাইটের URL গুলি নন-HTTPS অনুরোধে ফাঁস হবে না—কারণ নেটওয়ার্কের যে কেউ এগুলি দেখতে পারে, তাই এটি আপনার ব্যবহারকারীদের ম্যান-ইন-এর কাছে প্রকাশ করবে -মধ্য-আক্রমণ।
  • একই মূলের মধ্যে, Referer হেডার মান হল সম্পূর্ণ URL।

যেমন: একই-অরিজিন অনুরোধ, https://site-one.example/ stuff/detail?tag=red থেকে https://site-one.example/… এ পাঠানো হয়েছে:

  • strict-origin-when-cross-origin সহ : রেফারার: ​​https://site-one.example/ stuff/detail?tag=red

প্রভাব কি?

অন্যান্য ব্রাউজারগুলির সাথে আলোচনার উপর ভিত্তি করে এবং Chrome 84-এ Chrome-এর নিজস্ব পরীক্ষা-নিরীক্ষা চালানো হয়, ব্যবহারকারী-দৃশ্যমান বিচ্ছেদ সীমিত হবে বলে আশা করা হচ্ছে

সার্ভার-সাইড লগিং বা বিশ্লেষণ যা সম্পূর্ণ রেফারার URL উপলব্ধের উপর নির্ভর করে সেই তথ্যের কণিকা হ্রাস দ্বারা প্রভাবিত হতে পারে।

তোমার কি করা উচিত?

Chrome 85-এ নতুন ডিফল্ট রেফারার নীতি চালু করার পরিকল্পনা করছে (বিটার জন্য জুলাই 2020, স্থিতিশীলতার জন্য আগস্ট 2020)। Chrome স্ট্যাটাস এন্ট্রিতে স্ট্যাটাস দেখুন।

পরিবর্তন বুঝতে এবং সনাক্ত

অনুশীলনে নতুন ডিফল্ট কী পরিবর্তন হয় তা বোঝার জন্য, আপনি এই ডেমোটি পরীক্ষা করে দেখতে পারেন।

আপনি যে ক্রোম ইন্সট্যান্স চালাচ্ছেন তাতে কোন নীতি প্রয়োগ করা হয়েছে তা শনাক্ত করতে আপনি এই ডেমো ব্যবহার করতে পারেন৷

পরিবর্তন পরীক্ষা করুন, এবং এটি আপনার সাইটে প্রভাবিত করবে কিনা তা নির্ধারণ করুন

আপনি ইতিমধ্যেই Chrome 81 থেকে শুরু করে পরিবর্তনটি চেষ্টা করে দেখতে পারেন: Chrome-এ chrome://flags/#reduced-referrer-granularity যান এবং পতাকাটি সক্ষম করুন৷ যখন এই পতাকা সক্ষম করা হয়, তখন নীতি ছাড়াই সমস্ত ওয়েবসাইট নতুন strict-origin-when-cross-origin ডিফল্ট ব্যবহার করবে।

ক্রোম স্ক্রিনশট: কীভাবে পতাকা সক্রিয় করবেন ক্রোম://flags/#reduced-referrer-granularity.
পতাকা সক্রিয় করা হচ্ছে।

আপনি এখন আপনার ওয়েবসাইট এবং ব্যাকএন্ড আচরণ কিভাবে পরীক্ষা করতে পারেন.

প্রভাব শনাক্ত করার জন্য আরেকটি জিনিস হল আপনার ওয়েবসাইটের কোডবেস রেফারার ব্যবহার করে কিনা তা পরীক্ষা করা—হয় সার্ভারে ইনকামিং অনুরোধের Referer হেডারের মাধ্যমে, অথবা JavaScript-এর document.referrer থেকে।

আপনার সাইটের কিছু বৈশিষ্ট্য ভেঙ্গে যেতে পারে বা ভিন্নভাবে আচরণ করতে পারে যদি আপনি আপনার সাইটে অন্য উত্স থেকে অনুরোধের রেফারার ব্যবহার করেন (আরো বিশেষভাবে পাথ এবং/অথবা ক্যোয়ারী স্ট্রিং) এবং এই উত্সটি ব্রাউজারের ডিফল্ট রেফারার নীতি ব্যবহার করে (অর্থাৎ এটির কোন নেই নীতি সেট)।

যদি এটি আপনার সাইটকে প্রভাবিত করে তবে বিকল্পগুলি বিবেচনা করুন৷

আপনি যদি আপনার সাইটের অনুরোধের জন্য সম্পূর্ণ পথ বা ক্যোয়ারী স্ট্রিং অ্যাক্সেস করতে রেফারার ব্যবহার করেন, আপনার কাছে কয়েকটি বিকল্প রয়েছে:

  • আপনার CSRF সুরক্ষা, লগিং এবং অন্যান্য ব্যবহারের ক্ষেত্রে Origin এবং Sec-fetch-Site মতো বিকল্প কৌশল এবং শিরোনাম ব্যবহার করুন। রেফারার এবং রেফারার-নীতি দেখুন: সেরা অনুশীলনগুলি
  • আপনি একটি নির্দিষ্ট নীতিতে অংশীদারদের সাথে সারিবদ্ধ করতে পারেন যদি এটি আপনার ব্যবহারকারীদের কাছে প্রয়োজন এবং স্বচ্ছ হয়। অ্যাক্সেস কন্ট্রোল—যখন রেফারারকে ওয়েবসাইটগুলি দ্বারা তাদের সংস্থানগুলিকে অন্যান্য উত্সগুলিতে নির্দিষ্ট অ্যাক্সেস দেওয়ার জন্য ব্যবহার করা হয় — এমন একটি ক্ষেত্রে হতে পারে যদিও Chrome এর পরিবর্তনের সাথে, উত্সটি এখনও Referer হেডারে (এবং document.referrer ) ভাগ করা হবে৷

উল্লেখ্য যে রেফারারের ক্ষেত্রে বেশিরভাগ ব্রাউজার একই দিকে অগ্রসর হয় ( রেফারার এবং রেফারার-নীতিতে ব্রাউজার ডিফল্ট এবং তাদের বিবর্তন দেখুন: সর্বোত্তম অনুশীলন

আপনার সাইট জুড়ে একটি স্পষ্ট, গোপনীয়তা-বর্ধক নীতি প্রয়োগ করুন

আপনার ওয়েবসাইট থেকে উদ্ভূত অনুরোধে কোন Referer পাঠানো উচিত, অর্থাৎ আপনার সাইটের জন্য কোন নীতি নির্ধারণ করা উচিত?

এমনকি Chrome-এর পরিবর্তনের কথা মাথায় রেখে, এখনই strict-origin-when-cross-origin বা আরও কঠোর-এর মতো একটি স্পষ্ট, গোপনীয়তা-বর্ধক নীতি সেট করা একটি ভাল ধারণা।

এটি আপনার ব্যবহারকারীদের রক্ষা করে এবং ব্রাউজার জুড়ে আপনার ওয়েবসাইটকে আরও অনুমানযোগ্যভাবে আচরণ করে। বেশিরভাগ ক্ষেত্রে, এটি আপনাকে নিয়ন্ত্রণ দেয় — আপনার সাইট ব্রাউজার ডিফল্টের উপর নির্ভর করার পরিবর্তে।

রেফারার এবং রেফারার-নীতি পরীক্ষা করুন: একটি নীতি সেট করার বিশদ বিবরণের জন্য সর্বোত্তম অনুশীলন

Chrome এন্টারপ্রাইজ সম্পর্কে

Chrome এন্টারপ্রাইজ নীতি ForceLegacyDefaultReferrerPolicy IT অ্যাডমিনিস্ট্রেটরদের জন্য উপলব্ধ যারা এন্টারপ্রাইজ পরিবেশে no-referrer-when-downgrade পূর্ববর্তী ডিফল্ট রেফারার নীতি বাধ্য করতে চান৷ এটি এন্টারপ্রাইজগুলিকে তাদের অ্যাপ্লিকেশনগুলি পরীক্ষা এবং আপডেট করার জন্য অতিরিক্ত সময় দেয়।

এই নীতিটি Chrome 88 থেকে সরানো হবে।

মতামত পাঠানো

আপনার কি শেয়ার করার জন্য প্রতিক্রিয়া বা রিপোর্ট করার কিছু আছে? শিপ করার জন্য Chrome এর অভিপ্রায় সম্পর্কে প্রতিক্রিয়া শেয়ার করুন বা @maudnals- এ আপনার প্রশ্ন টুইট করুন।

সমস্ত পর্যালোচকদের অবদান এবং প্রতিক্রিয়ার জন্য অনেক ধন্যবাদ - বিশেষ করে কৌস্তুভা গোবিন্দ, ডেভিড ভ্যান ক্লিভ, মাইক ওয়েস্ট, স্যাম ডাটন, রোয়ান মেরেউড, জেক্সক এবং কায়স বাস্ক।

সম্পদ