Expansão dos Tipos confiáveis para o Gmail
Expansão dos Tipos confiáveis para o Gmail
Este artigo é a tradução do Blog em inglês do dia 12 de Janeiro.
O que vai mudar?
No ano passado, melhoramos a segurança do lado do cliente dos apps Documentos, Planilhas, Apresentações, Formulários, Sites, Desenhos, Drive e Agenda com os Tipos confiáveis. Esse recurso de tempo de execução baseado em navegador limita o uso das APIs do Modelo de objeto de documentos (DOM) usadas pelos apps listados acima ou por extensões de terceiros. Os Tipos confiáveis também diminuem a possibilidade de scripting em vários sites do Modelo de objeto de documentos (DOM XSS), que continua a ser uma das ameaças mais perigosas à segurança da Web.
O DOM XSS acontece quando um invasor cibernético injeta código malicioso em uma página da Web, que pode então ser executado pelo navegador da vítima. Isso permite que o invasor roube cookies, sequestre sessões e até mesmo assuma o controle do computador da vítima.
Para aumentar a proteção contra esses ataques, estamos lançando a expansão dos Tipos confiáveis para o Gmail. Eles vão criar uma defesa contra o DOM XSS e melhorar ainda mais nossos controles avançados de proteção de dados para manter usuários e informações seguros em mais apps do dia a dia.
Para quem isso é válido?
Desenvolvedores que usam extensões do Chrome para modificar APIs do DOM.
Mais detalhes
O novo modo restrito vai exigir que as extensões de terceiros usem objetos tipados em vez de strings para atribuir valores às APIs do DOM. Quando o uso de Tipos confiáveis se tornar obrigatório, a diretiva relacionada será incluída no cabeçalho da Política de Segurança de Conteúdo (CSP):
Política de segurança de conteúdo: require-trusted-types-for ‘script’;report-uri https://mail.google.com/mail/cspreport
Como começar
Admins: Este recurso não tem um controle específico.
Desenvolvedores:
Para tornar códigos compatíveis com esse recurso, crie um objeto especial de Tipo confiável. Ele indica ao navegador que os dados usados no contexto dessas APIs do DOM são confiáveis.
Existem várias maneiras de estar em conformidade com os Tipos confiáveis, como removendo o código que apresentou problemas, usando uma biblioteca (safevalues ou DOMPurify, por exemplo) ou criando uma política de Tipos confiáveis. Para garantir uma experiência excelente para os usuários, recomendamos o emprego dessas técnicas antes do lançamento da aplicação obrigatória de Tipos confiáveis. A incompatibilidade do código com os Tipos confiáveis pode causar falha de recursos para extensões de terceiros porque as manipulações de DOM acabam sendo bloqueadas pelo navegador.
Usuários finais: Este recurso não tem uma configuração específica.
Opções de lançamento
Domínios com lançamento rápido: Lançamento estendido (possivelmente mais de 15 dias para o recurso ficar disponível) a partir de 12 de fevereiro de 2024
Domínios com lançamento agendado: Lançamento gradual (até 15 dias para o recurso ficar disponível) a partir de 11 de março de 2024
Disponibilidade
Disponível para todos os clientes do Google Workspace e usuários com Contas do Google pessoais.
Recursos
Ajuda do Google: Como implementar a CSP e depurar os Tipos confiáveis no Chrome DevTools.
Expansão dos Tipos confiáveis para o Gmail
Fonte: Google Workspace
Comments are closed.