Letztes Jahr, Wir haben die clientseitige Sicherheit von Google Docs, Sheets, Slides, Forms, Sites, Drawings, Drive und Calendar mit Vertrauenswürdige Typen. Diese browserbasierte Laufzeitfunktion schränkt die Verwendung von Dokument-Objektmodell (DOM) APIs, die von den oben genannten Anwendungen oder Erweiterungen Dritter verwendet werden. Vertrauenswürdige Typen verringern auch die Möglichkeit von Document Object Model Cross Site Scripting (DOM XSS), die nach wie vor eine der größten Bedrohungen für die Sicherheit im Internet darstellt. 

DOM XSS tritt auf, wenn ein Cyber-Angreifer bösartigen Code in eine Webseite einschleust, der dann vom Browser des Opfers ausgeführt werden kann. Dadurch kann der Cyber-Angreifer Cookies stehlen, Sitzungen entführen und sogar die Kontrolle über den Computer des Opfers übernehmen. 

Um uns dagegen zu schützen, freuen wir uns, die Erweiterung von Trusted Types auf Google Mail anzukündigen. Dies bietet einen Schutz gegen DOM XSS und verbessert unsere fortschrittlichen Datenschutzkontrollen, um Nutzer und Daten in immer mehr Apps, die sie täglich nutzen, zu schützen. 

Entwickler (die sich auf Chrome-Erweiterungen verlassen, die DOM-APIs verändern). 

Dieser neue Durchsetzungsmodus erfordert die Verwendung von Erweiterungen von Drittanbietern typisierte Objekte anstelle von Strings bei der Zuweisung von Werten an DOM-APIs. Sobald die vertrauenswürdigen Typen vollständig durchgesetzt sind, wird die Richtlinie für vertrauenswürdige Typen in der Kopfzeile der Content Security Policy (CSP) enthalten sein: 

Admins: Es gibt keine Admin-Kontrolle für diese Funktion. Entwickler: Um Code Trusted Types-konform zu machen, signalisieren Sie dem Browser, dass Daten, die im Kontext dieser DOM-APIs verwendet werden, vertrauenswürdig sind, indem Sie ein spezielles Trusted Type-Objekt erstellen. Es gibt mehrere Möglichkeiten, Trusted-Types-konform zu sein, z. B. Entfernen des beanstandeten Codesunter Verwendung einer Bibliothek (wie z. B. Safevalues oder DOMPurify), oder Erstellen einer Richtlinie für vertrauenswürdige Typen. Um ein nahtloses Erlebnis für die Benutzer zu gewährleisten, empfehlen wir die Anwendung dieser Techniken, bevor die Durchsetzung von Trusted Types eingeführt wird. Wenn der Code nicht mit Trusted Types konform ist, kann dies zu Funktionsstörungen bei Erweiterungen von Drittanbietern führen, da deren DOM-Manipulationen vom Browser blockiert werden. Endbenutzer: Es gibt keine Endbenutzereinstellung für diese Funktion. 

Rapid Release Domains: Erweiterte Einführung (möglicherweise länger als 15 Tage für die Sichtbarkeit der Funktionen) ab dem 12. Februar 2024 Geplante Freigabedomänen: Schrittweise Einführung (bis zu 15 Tage für die Sichtbarkeit der Funktion) ab dem 11. März 2024 

Verfügbar für alle Google Workspace-Kunden und Nutzer mit persönlichen Google-Konten