Neler değişecek?
YouTube'un istemci tarafı güvenliğini Güvenilir Türler ile iyileştiriyoruz. Bu, üçüncü taraf uzantıları tarafından kullanılan Belge Nesne Modeli (DOM) API'leri konusunda ek bir koruma katmanı sağlar.
Güvenilir Türler, üçüncü taraf tarayıcı uzantılarının DOM API'lerine değer atarken dize yerine yazılan nesneleri kullanmasını gerektirir. 25 Temmuz 2024'ten itibaren, Güvenilir Türler güvenlik şartlarına uymayan tarayıcı uzantıları, yaptırımdan sonra çalışmayı durdurabilecek. Bu nedenle, tarayıcı uzantılarının yeni YouTube güvenlik standartlarıyla uyumlu olmasını sağlamak için ilgili geliştiricilerin, DOM tabanlı siteler arası komut dosyası güvenlik açıklarını önleme kılavuzundaki talimatları uygulamasını öneririz.
Neden önemlidir?
YouTube'da Güvenilir Türlerin etkinleştirilmesi, kullanıcılarımızı çok sayıda site arası komut dosyası (XSS) saldırısına karşı koruyacaktır. Gelişmiş veri koruma denetimlerimizi daha da iyileştirerek YouTube'da her gün kullandıkları daha fazla uzantıda kullanıcıların ve verilerin güvenliğini sağlar.
Ne yapmalıyım?
İzleyiciler ve içerik üreticiler
Herhangi bir işlem yapmanız gerekmez. Sorun yaşayan kullanıcılar, sorunlara neden olan tarayıcı uzantılarını geçici olarak devre dışı bırakabilir ve ilgili geliştiricileri bilgilendirebilir. Bir YouTube videosunu oynatmayla ilgili sorun yaşıyorsanız YouTube'u tüm uzantılar devre dışı olacak şekilde gizli bir pencerede açmanızı öneririz. Diğer sorun giderme adımları için Yardım Merkezi makalemize göz atın.
Geliştiriciler
- Uzantınız HTML'yi değiştiriyorsa ve bir kullanıcı bunu youtube.com'da kullanabiliyorsa uzantılarınızın uyumlu olup olmadığını ve özelliğin uygulanmasından sonra düzgün bir şekilde çalışıp çalışmadığını kontrol etmek için aşağıdaki adımları uygulamanızı öneririz:
- Chrome Geliştirici araçlarının yardımıyla yanıt üstbilgilerini geçersiz kılabilirsiniz. Bunun için youtube.com'un yerel başlık geçersiz kılmalarına aşağıdakini ekleyin:
Content-Security-Policy: require-trusted-types-for 'script' - YouTube Hizmet çalışanı'nı atlayın. Geliştirici araçlarını açın, Uygulama sekmesine gidin ve Uygulama bölümünden "Hizmet çalışanları"nı seçin. Service Worker ayarlarında "Ağı atla"yı işaretleyin.
- Yardımcı olarak Güvenilir Tür ihlallerinde otomatik ayrılma noktalarını etkinleştirebilirsiniz. Yapısı gereği, Trusted Types ihlali tespit edildiğinde, Trusted Types çalışma zamanı hatasına neden olur.
- Uzantı iş akışlarınızı test edin. Güvenilir Türler ihlali meydana gelirse Chrome Geliştirici Araçları geliştirici Konsolu'nda hata (ve etkinleştirdiyseniz bir ayrılma noktası isabeti) alırsınız.
- Chrome Geliştirici araçlarının yardımıyla yanıt üstbilgilerini geçersiz kılabilirsiniz. Bunun için youtube.com'un yerel başlık geçersiz kılmalarına aşağıdakini ekleyin:
- Uzantı kodunuzda Güvenilir Türler ihlalleri varsa bu ihlalleri gidermek için DOM tabanlı siteler arası komut dosyası çalıştırma güvenlik açıklarını önleme kılavuzundaki adımları uygulayın. Güvenilir Türler ile uyumlu olmanın birkaç yolu vardır. Örneğin, rahatsız edici kodu kaldırma, kitaplık kullanma (ör. safevalues veya DOMPurify) ya da Güvenilir Türler politikası oluşturma.
Uzantınızı Güvenilir Türler ile uyumlu hale getirmenize yardımcı olabilecek bu çerçeve ve kitaplık listesine de göz atabilirsiniz (güncellemeye değer eski bir üçüncü taraf kitaplığı kullanıyor olabilirsiniz).
Kullanıcılara sorunsuz bir deneyim sunmak için, güvenlik özelliği YouTube'da kullanıma sunulmadan önce tarayıcı uzantılarının Güvenilir Türler ile uyumlu hale getirilmesi önerilir. Kodun Trusted Types uyumlu hale getirilmemesi, DOM değiştirmeleri tarayıcı tarafından engelleneceği için üçüncü taraf uzantılarına ait özellikte kesintilere neden olabilir.