Este artigo é a tradução do Blog em inglês do dia 12 de Janeiro .
O que vai mudar?
No ano passado, melhoramos a segurança do lado do cliente dos apps Documentos, Planilhas, Apresentações, Formulários, Sites, Desenhos, Drive e Agenda com os
Tipos confiáveis . Esse recurso de tempo de execução baseado em navegador limita o uso das APIs do
Modelo de objeto de documentos (DOM) usadas pelos apps listados acima ou por extensões de terceiros. Os Tipos confiáveis também diminuem a possibilidade de scripting em vários sites do Modelo de objeto de documentos (
DOM XSS ), que continua a ser uma das ameaças mais perigosas à segurança da Web.
O DOM XSS acontece quando um invasor cibernético injeta código malicioso em uma página da Web, que pode então ser executado pelo navegador da vítima. Isso permite que o invasor roube cookies, sequestre sessões e até mesmo assuma o controle do computador da vítima.
Para aumentar a proteção contra esses ataques, estamos lançando a expansão dos Tipos confiáveis para o Gmail. Eles vão criar uma defesa contra o DOM XSS e melhorar ainda mais nossos controles avançados de proteção de dados para manter usuários e informações seguros em mais apps do dia a dia.
Para quem isso é válido?
Desenvolvedores que usam extensões do Chrome para modificar APIs do DOM.
Mais detalhes
O novo modo restrito vai exigir que as extensões de terceiros usem
objetos tipados em vez de strings para atribuir valores às APIs do DOM. Quando o uso de Tipos confiáveis se tornar obrigatório, a diretiva relacionada será incluída no cabeçalho da Política de Segurança de Conteúdo (CSP):
Política de segurança de conteúdo: require-trusted-types-for 'script';report-uri https://mail.google.com/mail/cspreport
Como começar
Admins : Este recurso não tem um controle específico. Desenvolvedores:
Para tornar códigos compatíveis com esse recurso, crie um objeto especial de Tipo confiável. Ele indica ao navegador que os dados usados no contexto dessas APIs do DOM são confiáveis.
Existem várias maneiras de estar em conformidade com os Tipos confiáveis, como removendo o código que apresentou problemas , usando uma biblioteca (safevalues ou DOMPurify , por exemplo) ou criando uma política de Tipos confiáveis . Para garantir uma experiência excelente para os usuários, recomendamos o emprego dessas técnicas antes do lançamento da aplicação obrigatória de Tipos confiáveis. A incompatibilidade do código com os Tipos confiáveis pode causar falha de recursos para extensões de terceiros porque as manipulações de DOM acabam sendo bloqueadas pelo navegador.
Usuários finais : Este recurso não tem uma configuração específica.
Opções de lançamento
Disponibilidade
Disponível para todos os clientes do Google Workspace e usuários com Contas do Google pessoais.
Recursos
