التغييرات
نحن نعمل على تحسين أمان YouTube من جهة العميل باستخدام الأنواع الموثوق بها. سيوفّر ذلك طبقة حماية إضافية حول واجهات برمجة تطبيقات نموذج محتوى المستند (DOM) التي تستخدمها الإضافات التابعة لجهات خارجية.
تتطلّب الأنواع الموثوق بها أن تستخدم إضافات المتصفّح التابعة لجهات خارجية كائنات من النوع المحدّد بدلاً من السلاسل عند منح قيم لواجهات برمجة التطبيقات DOM. اعتبارًا من 25 تموز (يوليو) 2024، قد تتوقف إضافات المتصفّح التي لا تتوافق مع متطلبات أمان الأنواع الموثوق بها عن العمل بعد فرض هذه المتطلبات، لذا ننصحك بالمطوّرين المعنيّين باتّباع دليل منع الثغرات الأمنية المستندة إلى النصوص البرمجية على مستوى المواقع الإلكترونية باستخدام نموذج DOM لضمان توافق إضافات المتصفّح مع معايير الأمان الجديدة في YouTube.
سبب أهميتها
سيؤدي تفعيل "الأنواع الموثوق بها" على YouTube إلى حماية المستخدمين من مجموعة كبيرة من هجمات النصوص البرمجية عبر المواقع الإلكترونية. وتعمل هذه الميزة أيضًا على تحسين عناصر التحكّم المتقدّمة لحماية البيانات والحفاظ على أمان المستخدمين في المزيد من الإضافات التي يستخدمونها يوميًا على YouTube.
ما الذي يجب فعله؟
المشاهدون وصنّاع المحتوى
ليس عليك اتّخاذ أي إجراء. يمكن للمستخدمين الذين يواجهون مشاكل إيقاف إضافات المتصفّح مؤقتًا التي تسبب المشاكل وإبلاغ المطوّرين المعنيّين. إذا واجهت مشاكل في تشغيل فيديو على YouTube، ننصحك بفتح YouTube في نافذة تصفّح متخفٍّ تم إيقاف كل الإضافات فيها. للاطّلاع على مزيد من خطوات تحديد المشاكل وحلّها، يُرجى الاطّلاع على مقالة "مركز المساعدة".
المطورون
- إذا كانت إضافتك تعدّل لغة HTML، وكان بإمكان المستخدم استخدامها على youtube.com، ننصحك باتّباع الخطوات التالية للتحقّق مما إذا كانت إضافاتك متوافقة وستعمل بشكل صحيح بعد فرض الميزة:
- تجاوز رؤوس الاستجابة باستخدام "أدوات مطوّري برامج Chrome" لإجراء ذلك، أضِف ما يلي إلى عمليات إلغاء الرؤوس المحلية لموقع youtube.com:
Content-Security-Policy: require-trusted-types-for 'script' - تجنَّب YouTube Service worker. افتح أدوات المطوّرين وانتقِل إلى علامة التبويب "التطبيق"، ثم اختَر "عمال الخدمة" في قسم "التطبيق". ضَع علامة في المربّع بجانب "التخطّي للشبكة" في إعدادات "العاملون في الخدمة".
- كمساعدة، يمكنك تفعيل نقاط التوقف التلقائية عند حدوث انتهاكات للنوع الموثوق به. سيؤدي استخدام Trusted Types إلى حدوث خطأ في وقت التشغيل إذا تم رصد انتهاك Trusted Types.
- اختبِر سير عمل الإضافات. سيظهر لك خطأ في وحدة تحكّم المطوّر في أدوات Chrome DevTools في حال حدوث انتهاك للأنواع الموثوق بها (بالإضافة إلى الوصول إلى نقطة توقف إذا فعّلتها).
- تجاوز رؤوس الاستجابة باستخدام "أدوات مطوّري برامج Chrome" لإجراء ذلك، أضِف ما يلي إلى عمليات إلغاء الرؤوس المحلية لموقع youtube.com:
- إذا كان رمز إضافة Chrome يتضمّن انتهاكات Trusted Types، اتّبِع دليل منع الثغرات الأمنية للنصوص البرمجية عبر المواقع الإلكترونية المستندة إلى نموذج كائن المستند (DOM) لحلّها. هناك عدة طرق للامتثال لأنواع البيانات الموثوق بها، مثل إزالة الرمز البرمجي المسيء أو استخدام مكتبة (مثل safevalues أو DOMPurify) أو إنشاء سياسة أنواع البيانات الموثوق بها.
ننصحك أيضًا بالاطّلاع على هذه القائمة بالأطر والمكتبات التي يمكن أن تساعد في جعل إضافة Chrome متوافقة مع الأنواع الموثوق بها (قد تكون تستخدِم مكتبة قديمة تابعة لجهة خارجية وتستحق التحديث).
لضمان تجربة سلسة للمستخدمين، ننصحك بجعل إضافات المتصفّح متوافقة مع "الأنواع الموثوق بها" قبل طرح ميزة الأمان على YouTube. قد يؤدي عدم امتثال الرمز البرمجي للأنواع الموثوق بها إلى إيقاف ميزات الإضافات التابعة لجهات خارجية، لأنّ المتصفح سيحظر عمليات التلاعب بعناصر DOM.