Neler değişecek?
Güvenilir Türleri kullanarak YouTube'un istemci tarafı güvenliğini iyileştiriyoruz. Bu, üçüncü taraf uzantılarının kullandığı Document Object Model (DOM) API'leri için ek bir koruma katmanı sağlar.
Güvenilir Türlerde, üçüncü taraf tarayıcı uzantılarının DOM API'lerine değer atarken dizeler yerine türlendirilmiş nesneler kullanması gerekir. 25 Temmuz 2024'ten itibaren, Güvenilir Tür güvenlik şartlarına uymayan tarayıcı uzantıları yaptırım uygulandıktan sonra çalışmayı durdurabilir. Bu nedenle, ilgili geliştiricilerin tarayıcı uzantılarının yeni YouTube güvenlik standartlarıyla uyumlu olmasını sağlamak için DOM tabanlı siteler arası komut dosyası çalıştırma güvenlik açıklarını önleme kılavuzunu uygulamalarını öneririz.
Neden önemlidir?
YouTube'da Güvenilir Türleri etkinleştirmek, kullanıcılarımızı çok sayıda siteler arası komut dosyası (XSS) saldırısına karşı korur. Bu özellik, kullanıcıları ve verileri YouTube'da her gün kullandıkları daha fazla uzantı genelinde güvende tutmak için gelişmiş veri koruma kontrollerimizi daha da iyileştirir.
Ne yapmalıyım?
İzleyiciler ve içerik üreticiler
Herhangi bir işlem yapmanız gerekmez. Sorun yaşayan kullanıcılar, soruna neden olan tarayıcı uzantılarını geçici olarak devre dışı bırakabilir ve ilgili geliştiricileri bilgilendirebilir. YouTube videolarını oynatırken sorun yaşıyorsanız YouTube'u tüm uzantılar devre dışı olacak şekilde gizli bir pencerede açmanızı öneririz. Daha fazla sorun giderme adımı için Yardım Merkezi makalemizi inceleyin.
Geliştiriciler
- Uzantılarınız HTML'yi değiştiriyorsa ve kullanıcılar bu uzantıları youtube.com'da kullanabiliyorsa uzantılarınızın uyumlu olup olmadığını ve özellik yaptırımı sonrasında düzgün şekilde çalışıp çalışmayacağını kontrol etmek için aşağıdaki adımları uygulamanızı öneririz:
- Chrome Geliştirici Araçları'nın yardımıyla yanıt üstbilgilerini geçersiz kılın. Bunun için youtube.com için yerel üstbilgi geçersiz kılmalarına aşağıdakileri ekleyin:
Content-Security-Policy: require-trusted-types-for 'script' - YouTube Hizmet Çalışanı'nı atlayın. Geliştirici araçlarını açın, Uygulama sekmesine gidin ve Uygulama bölümünde "Hizmet çalışanları"nı seçin. Hizmet çalışanları ayarlarında "Ağ için atla"yı işaretleyin.
- Yardımcı bir araç olarak Güvenilir Tür ihlallerinde otomatik kesme noktalarını etkinleştirebilirsiniz. Trusted Types, tasarım gereği bir Trusted Types ihlali algılanırsa çalışma zamanında hata oluşturur.
- Uzantı iş akışlarınızı test edin. Güvenilir Tür ihlali meydana gelirse Chrome DevTools Geliştirici Konsolu'nda bir hata alırsınız (etkinleştirdiyseniz bir kesme noktası isabeti de alırsınız).
- Chrome Geliştirici Araçları'nın yardımıyla yanıt üstbilgilerini geçersiz kılın. Bunun için youtube.com için yerel üstbilgi geçersiz kılmalarına aşağıdakileri ekleyin:
- Uzantı kodunuz Güvenilir Tür ihlalleri içeriyorsa bunları çözmek için DOM tabanlı siteler arası komut dosyası çalıştırma güvenlik açıklarını önleme kılavuzunu uygulayın. Güvenilir Türlere uygun olmanın birkaç yolu vardır. Örneğin, sorunu oluşturan kodu kaldırma, bir kitaplık (ör. safevalues veya DOMPurify) kullanma ya da Güvenilir Tür Politikası oluşturma.
Uzantılarınızın Güvenilir Türlerle uyumlu hale getirilmesine yardımcı olabilecek bu çerçeve ve kitaplık listesini de kontrol edebilirsiniz (Güncellemeye değer eski bir üçüncü taraf kitaplığı kullanıyor olabilirsiniz).
Kullanıcıların sorunsuz bir deneyim yaşamasını sağlamak için tarayıcı uzantılarının, güvenlik özelliği YouTube'da kullanıma sunulmadan önce Güvenilir Türlerle uyumlu hale getirilmesi önerilir. Kodun Güvenilir Türlerle uyumlu hale getirilmemesi, DOM manipülasyonları tarayıcı tarafından engelleneceği için üçüncü taraf uzantılarında özellik bozulmalarına neden olabilir.