Cet article est la traduction en anglais du post publié sur le blog le 12 janvier .
Quoi de neuf ?
L'année dernière , nous avons amélioré la sécurité côté client pour Google Docs, Sheets, Slides, Forms, Sites, Drawings, Drive et Agenda grâce aux
Trusted Types . Cette fonctionnalité intégrée à l'environnement d'exécution du navigateur limite l'utilisation des API
Document Object Model (DOM) employées par les applications listées ci-dessus ou les extensions tierces. Les Trusted Types limitent également le risque d'attaques par script intersites basées sur le DOM (
DOM XSS ), qui représentent toujours l'une des plus sérieuses menaces en termes de sécurité sur le Web.
Les DOM XSS surviennent lorsqu'un pirate informatique injecte du code malveillant dans une page Web, et que le navigateur de la victime l'exécute. Le pirate informatique peut alors voler des cookies, pirater des sessions, voire même contrôler l'ordinateur de la personne concernée.
Pour lutter contre cette menace, nous sommes heureux d'annoncer que les Trusted Types arrivent sur Gmail. En plus d'offrir une protection contre les DOM XSS, les Trusted Types améliorent encore nos commandes de protection avancée des données pour assurer la sécurité des utilisateurs et des données dans un plus grand nombre d'applications du quotidien.
Qui est concerné ?
Les développeurs (qui utilisent des extensions Chrome modifiant les API DOM)
Informations supplémentaires
Avec ce nouveau mode d'application, les extensions tierces devront utiliser des
objets saisis plutôt que des chaînes lorsqu'elles attribuent des valeurs aux API DOM. Une fois les Trusted Types totalement appliqués, leur directive figurera dans l'en-tête Content Security Policy (CSP) :
Content-Security-Policy: require-trusted-types-for 'script';report-uri https://mail.google.com/mail/cspreport
Comment en profiter ?
Administrateurs : Il n'existe pas de commande d'administration pour cette fonctionnalité.Développeurs :
Pour que le code soit conforme aux Trusted Types, créez un objet spécial Trusted Types afin d'indiquer au navigateur que les données utilisées dans le contexte de ces API DOM sont sûres.
Vous disposez de plusieurs options pour assurer la conformité avec les Trusted Types. Vous pouvez par exemple supprimer le code qui pose problème , utiliser une bibliothèque (comme safevalues ou DOMPurify ) ou créer une règle Trusted Types . Pour offrir une expérience optimale aux utilisateurs, nous vous recommandons de suivre ces techniques avant le déploiement des Trusted Types. Si vous n'assurez pas la conformité du code aux Trusted Types, les fonctionnalités des extensions tierces risquent d'être interrompues, car leurs manipulations du DOM seront bloquées par le navigateur.
Utilisateurs finaux : Aucun paramètre n'est disponible pour cette fonctionnalité.
Quand ?
Qui peut en bénéficier ?
Tous les clients Google Workspace et les utilisateurs de comptes Google personnels
Ressources
