Samesite=None Ve Development Ortamı
-
Hacılar bir kaç konu da açılmıştı. Google Chrome Haziran ayı itibariyle SameSite'i kadelemeli olarak kullandırmaya başladı. Basit olarak cookie'nin harici isteklerde gönderilip gönderilemeyeceği ve nasıl gönderileceği konusunda yeni kurallar belirliyor. Ödeme sistemleri ile çalışan arkadaşlar içinde ilk başta bi kafa dağıttı mevzu. (Tbt'de konusu mevcut.) Şimdi son durumda bizde şöyle bir sorun ortaya çıktı. Local development ortamlarında SSL kurulu değil ve ödeme entegrasyonlarında bazen test yapmamız gerekiyor. SameSite'i None olarak işaretlememiz gerekiyor, ancak SameSite'i None olarak işaretlersek birde Secure'u True olarak set etmemiz gerekiyor. Ancak development ortamlarında https üzerinden yayın yapılmadığı için Secure True işe yaramıyor ve işler bu noktada çıkmaza giriyor. Production ortamında SameSite=None ve Secure=True olarak sorunsuz çalışıyor. Peki development ortamları için bu durumda nasıl bir yol izlediniz?
-
Development ortamına ssl niye yüklenmiyor?
-
Bu ve bunun gibi bir çok yeni güvenlik önlemi (artık çorba oldu ama başka bir konu o) yüzünden artık geliştirme ortamlarının production ortamdan çok farklı olmaması gerektiği aşikar. Aksi her durum bir sürü konfigürasyon dallanmasına sebep oluyor.
DrKill'in de sorduğu gibi, dans etmek yerine yerelde de SSL çalışmasını sağlayın. Bir alan adı ve iyi bir sağlayıcıdan ücreti ile bir wildcard sertifika edinip (*.alanadi.com), yerelde bunları bağlayıp kullanmak çoğu zaman en baş ağrısızı.
-
dev ortamında yüklenmiyor demedim hocalar. sadece şu aşamada mümkün mertebe ortamı yalın tutmaya çalışıyorum. dev'e pull çekip composer install dedikten sonra php artisan serve ile dev ortamı anında ayağa kalkmış oluyor. db yi vs test sunucularından kullanıyoruz zaten. apache, nginx yada vs. kullanmadığımız için ssl'in kurulumu vs. dert bizim için. ekstra birşeyler yapmadan en basit haliyle çözebilirsem çok tatlı olacak. yoksa chrome üzerinden Secure etiketini gözardı etmeyi açıp kapatabiliyoruz ancak güvenlik açısından bunu yapmak istemiyorum. siz nasıl yapıyorsunuz şuanda?
-
Dev ortamı için chrome'da kapattım bu özelliği şuanda o şekilde devam ediyoruz.