Expansão dos Tipos confiáveis para o Gmail
Tuesday, January 23, 2024
Este artigo é a tradução do Blog em inglês do dia 12 de Janeiro.
No ano passado, melhoramos a segurança do lado do cliente dos apps Documentos, Planilhas, Apresentações, Formulários, Sites, Desenhos, Drive e Agenda com os Tipos confiáveis. Esse recurso de tempo de execução baseado em navegador limita o uso das APIs do Modelo de objeto de documentos (DOM) usadas pelos apps listados acima ou por extensões de terceiros. Os Tipos confiáveis também diminuem a possibilidade de scripting em vários sites do Modelo de objeto de documentos (DOM XSS), que continua a ser uma das ameaças mais perigosas à segurança da Web.
O DOM XSS acontece quando um invasor cibernético injeta código malicioso em uma página da Web, que pode então ser executado pelo navegador da vítima. Isso permite que o invasor roube cookies, sequestre sessões e até mesmo assuma o controle do computador da vítima.
Para aumentar a proteção contra esses ataques, estamos lançando a expansão dos Tipos confiáveis para o Gmail. Eles vão criar uma defesa contra o DOM XSS e melhorar ainda mais nossos controles avançados de proteção de dados para manter usuários e informações seguros em mais apps do dia a dia.
Desenvolvedores que usam extensões do Chrome para modificar APIs do DOM.
O novo modo restrito vai exigir que as extensões de terceiros usem objetos tipados em vez de strings para atribuir valores às APIs do DOM. Quando o uso de Tipos confiáveis se tornar obrigatório, a diretiva relacionada será incluída no cabeçalho da Política de Segurança de Conteúdo (CSP):
Política de segurança de conteúdo: require-trusted-types-for 'script';report-uri https://mail.google.com/mail/cspreport
- Admins: Este recurso não tem um controle específico.
- Desenvolvedores:
- Para tornar códigos compatíveis com esse recurso, crie um objeto especial de Tipo confiável. Ele indica ao navegador que os dados usados no contexto dessas APIs do DOM são confiáveis.
- Existem várias maneiras de estar em conformidade com os Tipos confiáveis, como removendo o código que apresentou problemas, usando uma biblioteca (safevalues ou DOMPurify, por exemplo) ou criando uma política de Tipos confiáveis. Para garantir uma experiência excelente para os usuários, recomendamos o emprego dessas técnicas antes do lançamento da aplicação obrigatória de Tipos confiáveis. A incompatibilidade do código com os Tipos confiáveis pode causar falha de recursos para extensões de terceiros porque as manipulações de DOM acabam sendo bloqueadas pelo navegador.
- Usuários finais: Este recurso não tem uma configuração específica.
- Domínios com lançamento rápido: Lançamento estendido (possivelmente mais de 15 dias para o recurso ficar disponível) a partir de 12 de fevereiro de 2024
- Domínios com lançamento agendado: Lançamento gradual (até 15 dias para o recurso ficar disponível) a partir de 11 de março de 2024
- Disponível para todos os clientes do Google Workspace e usuários com Contas do Google pessoais.