Este artículo es la traducción del blog inglés publicado el 12 de enero .
¿Qué cambios implementamos?
El año pasado, mejoramos la seguridad de los clientes de Sites, Drive, Documentos, Hojas de cálculo, Presentaciones, Formularios, Dibujos y Calendario de Google con
Trusted Types . Esta función de entorno de ejecución basada en el navegador limita los usos de las APIs de
Modelo de objetos del documento (DOM) que utilizan las apps ya mencionadas o extensiones de terceros. Trusted Types también disminuye las posibilidades de un ataque de secuencia de comandos entre sitios del Modelo de objetos del documento (
XSS del DOM ), que sigue siendo una de las mayores amenazas a la seguridad web.
La XSS del DOM se produce cuando un atacante cibernético inserta código malicioso en una página web. Este puede ejecutarse posteriormente mediante el navegador de la víctima. Esto puede permitirle al atacante cibernético robar cookies, secuestrar sesiones o, incluso, tomar el control de la computadora de la víctima.
Para ofrecer protección contra estos ataques, nos complace anunciar la expansión de Trusted Types a Gmail. Esta función proporcionará una defensa contra la XSS del DOM y mejorará aún más nuestros controles de protección de datos avanzada para mantener seguros a los usuarios y los datos en más de las apps que usan a diario.
¿A quiénes afecta este cambio?
A los desarrolladores (que utilicen cualquier extensión de Chrome que modifique las APIs del DOM).
Detalles adicionales
Este nuevo modo de aplicación forzosa requerirá extensiones de terceros para usar
objetos escritos en lugar de cadenas cuando se asignen valores a las APIs del DOM. Una vez que Trusted Types se aplique por completo, su directiva estará presente en el encabezado de la Política de Seguridad del Contenido (CSP):
Content-Security-Policy: require-trusted-types-for 'script';report-uri https://mail.google.com/mail/cspreport
Primeros pasos
Si eres administrador: No hay ningún control de administrador para esta función.
Si eres desarrollador:
Para hacer que el código cumpla con Trusted Types, indícale al navegador que los datos que se usan en el contexto de estas APIs del DOM son confiables. Para ello, crea un objeto especial de Trusted Types.
Existen varias formas de cumplir con Trusted Types, como quitar el código infractor , usar una biblioteca (por ejemplo, safevalues o DOMPurify ) o crear una política de Trusted Types . Para garantizar una experiencia fluida para los usuarios, recomendamos usar estas técnicas antes de que se implemente la aplicación forzosa de Trusted Types. Si el código no cumple con Trusted Types, se pueden generar fallas en las funciones de las extensiones de terceros, ya que el navegador bloqueará sus manipulaciones del DOM.
Si eres usuario final: No hay ningún parámetro de configuración para los usuarios finales en relación con esta función.
Ritmo de lanzamiento
Disponibilidad
Estará disponible para todos los clientes de Google Workspace y para los usuarios que tengan Cuentas de Google personales.
Recursos