Expansión de Trusted Types a Gmail
Thursday, February 1, 2024
Este artículo es la traducción del blog inglés publicado el 12 de enero.
El año pasado, mejoramos la seguridad de los clientes de Sites, Drive, Documentos, Hojas de cálculo, Presentaciones, Formularios, Dibujos y Calendario de Google con Trusted Types. Esta función de entorno de ejecución basada en el navegador limita los usos de las APIs de Modelo de objetos del documento (DOM) que utilizan las apps ya mencionadas o extensiones de terceros. Trusted Types también disminuye las posibilidades de un ataque de secuencia de comandos entre sitios del Modelo de objetos del documento (XSS del DOM), que sigue siendo una de las mayores amenazas a la seguridad web.
La XSS del DOM se produce cuando un atacante cibernético inserta código malicioso en una página web. Este puede ejecutarse posteriormente mediante el navegador de la víctima. Esto puede permitirle al atacante cibernético robar cookies, secuestrar sesiones o, incluso, tomar el control de la computadora de la víctima.
Para ofrecer protección contra estos ataques, nos complace anunciar la expansión de Trusted Types a Gmail. Esta función proporcionará una defensa contra la XSS del DOM y mejorará aún más nuestros controles de protección de datos avanzada para mantener seguros a los usuarios y los datos en más de las apps que usan a diario.
A los desarrolladores (que utilicen cualquier extensión de Chrome que modifique las APIs del DOM).
Este nuevo modo de aplicación forzosa requerirá extensiones de terceros para usar objetos escritos en lugar de cadenas cuando se asignen valores a las APIs del DOM. Una vez que Trusted Types se aplique por completo, su directiva estará presente en el encabezado de la Política de Seguridad del Contenido (CSP):
Content-Security-Policy: require-trusted-types-for 'script';report-uri https://mail.google.com/mail/cspreport
- Si eres administrador: No hay ningún control de administrador para esta función.
- Si eres desarrollador:
- Para hacer que el código cumpla con Trusted Types, indícale al navegador que los datos que se usan en el contexto de estas APIs del DOM son confiables. Para ello, crea un objeto especial de Trusted Types.
- Existen varias formas de cumplir con Trusted Types, como quitar el código infractor, usar una biblioteca (por ejemplo, safevalues o DOMPurify) o crear una política de Trusted Types. Para garantizar una experiencia fluida para los usuarios, recomendamos usar estas técnicas antes de que se implemente la aplicación forzosa de Trusted Types. Si el código no cumple con Trusted Types, se pueden generar fallas en las funciones de las extensiones de terceros, ya que el navegador bloqueará sus manipulaciones del DOM.
- Si eres usuario final: No hay ningún parámetro de configuración para los usuarios finales en relación con esta función.
- Dominios de lanzamiento rápido: Se realizará un lanzamiento extendido (posiblemente más de 15 días para la visibilidad de la función) a partir del 12 de febrero de 2024.
- Dominios de lanzamiento programado: Se realizará un lanzamiento gradual (hasta 15 días para la visibilidad de la función) a partir del 11 de marzo de 2024.
- Estará disponible para todos los clientes de Google Workspace y para los usuarios que tengan Cuentas de Google personales.