Mở rộng Trusted Types sang Gmail

Tháng 1 13, 2024


Tính năng mới:

Năm ngoái, Google đã cải thiện tính bảo mật phía máy khách của GoogleDocs, Sheets, Slides, Forms, Sites, Drawings, Drive, và Calendar bằng Trusted Types. Tính năng thời gian chạy dựa trên trình duyệt này giới hạn việc sử dụng Document Object Model (DOM) APIs được sử dụng bởi các ứng dụng được liệt kê ở trên hoặc tiện ích mở rộng của bên thứ ba. Các loại đáng tin cậy cũng làm giảm khả năng tập lệnh chéo trang web của mô hình đối tượng tài liệu (DOM XSS), vốn tiếp tục là một trong những mối đe dọa nghiêm trọng nhất đối với bảo mật web.

 

DOM XSS xảy ra khi kẻ tấn công mạng tiêm mã độc vào một trang web, sau đó trình duyệt của nạn nhân có thể thực thi mã này. Điều này có thể cho phép kẻ tấn công mạng đánh cắp cookie, chiếm quyền điều khiển phiên và thậm chí chiếm quyền kiểm soát máy tính của nạn nhân.

 

Để chống lại điều này, Google mở rộng Trusted Types sang Gmail. Điều này sẽ cung cấp khả năng bảo vệ chống lại DOM XSS và tăng cường hơn nữa các biện pháp kiểm soát bảo vệ dữ liệu nâng cao để giữ an toàn cho người dùng và dữ liệu trên nhiều ứng dụng họ sử dụng hàng ngày.

 

Ảnh hưởng:

Lập trình viên (dựa vào mọi tiện ích mở rộng của Chrome sửa đổi API DOM.)

 

Thông tin chi tiết:

Chế độ thực thi mới này sẽ yêu cầu tiện ích mở rộng của bên thứ ba sử dụng các đối tượng được nhập thay vì chuỗi khi gán giá trị cho API DOM. Sau khi Trusted Types được thực thi đầy đủ, chỉ thị Trusted Type sẽ xuất hiện trong tiêu đề Chính sách bảo mật nội dung (CSP):

Content-Security-Policy: require-trusted-types-for 'script';report-uri https://mail.google.com/mail/cspreport 

 

Làm thế nào để bắt đầu:

  • Quản trị viên: không có quyền kiếm soát đối với tính năng này

  • Lập trình viên:

    • Để làm cho mã tuân thủ Trusted Types, hãy báo hiệu cho trình duyệt rằng dữ liệu đang được sử dụng trong ngữ cảnh của các API DOM này là đáng tin cậy bằng cách tạo một đối tượng đặc biệt Trusted Types

    • Có một số cách để tuân thủ Trusted Types, chẳng hạn như xóa mã vi phạm, sử dụng thư viện (chẳng hạn như giá trị an toàn hoặc DOMPurify) hoặc tạo chính sách Trusted Types. Để đảm bảo trải nghiệm liền mạch cho người dùng, lập trình viên nên sử dụng các kỹ thuật này trước khi triển khai thực thi Trusted Types. Việc không tuân thủ Mã đáng tin cậy có thể gây ra sự cố tính năng cho các tiện ích mở rộng của bên thứ ba vì các thao tác DOM của chúng sẽ bị trình duyệt chặn.

  • Người dùng cuối: Không có cài đặt người dùng cuối cho tính năng này.

Thời gian triển khai:

  • Bản phát hành nhanh: Đang mở rộng triển khai (có thể kéo dài hơn 15 ngày để hiển thị tính năng) bắt đầu từ ngày 12/02/2024.

  • Bản phát hành theo định kỳ: đang dần triển khai (tối đa 15 ngày đối với khả năng hiển thị tính năng), bắt đầu từ ngày 11/03/2024.

Phiên bản phát hành:

  • Khả dụng cho tất cả khách hàng Google Workspace và người dùng có Tài khoản Google cá nhân

Nguồn: LVtech

← Previous Post
Next Post →
 
Chat với chúng tôi