El año pasado, hemos mejorado la seguridad del lado del cliente de Google Docs, Sheets, Slides, Forms, Sites, Drawings, Drive y Calendar con Tipos de confianza. Esta función de ejecución basada en el navegador limita los usos de Modelo de documento objeto (DOM) que utilizan las aplicaciones mencionadas o las extensiones de terceros. Los tipos de confianza también reducen la posibilidad de Cross Site Scripting (DOM XSS), que sigue siendo una de las amenazas más críticas para la seguridad de la web. 

DOM XSS se produce cuando un ciberatacante inyecta código malicioso en una página web, que luego puede ser ejecutado por el navegador de la víctima. Esto puede permitir al ciberatacante robar cookies, secuestrar sesiones e incluso tomar el control del ordenador de la víctima. 

Para defendernos de esta situación, nos complace anunciar la ampliación de Trusted Types a Gmail. Esto proporcionará una defensa contra DOM XSS y mejorará aún más nuestros controles avanzados de protección de datos para mantener a los usuarios y los datos seguros en más de las aplicaciones que utilizan todos los días. 

Desarrolladores (que dependen de cualquier extensión de Chrome que modifique las API de DOM). 

Este nuevo modo de aplicación requerirá que las extensiones de terceros utilicen objetos tipificados en lugar de cadenas al asignar valores a las API de DOM. Una vez que los tipos de confianza se apliquen plenamente, la directiva de tipos de confianza estará presente en el encabezado de la política de seguridad de contenidos (CSP): 

Administradores: No hay control de administrador para esta función. Desarrolladores: Para que el código sea compatible con Trusted Types, hay que indicar al navegador que los datos que se utilizan en el contexto de estas API de DOM son fiables mediante la creación de un objeto especial Trusted Type. Hay varias formas de ser compatible con Trusted Types, por ejemplo eliminar el código infractorutilizando una biblioteca (como valores seguros o DOMPurificar), o creación de una política de tipos de confianza. Para garantizar una experiencia fluida a los usuarios, recomendamos emplear estas técnicas antes de implantar Trusted Types. Si el código no es compatible con Trusted Types, pueden producirse interrupciones en las funciones de las extensiones de terceros, ya que el navegador bloqueará sus manipulaciones del DOM. Usuarios finales: No existe una configuración de usuario final para esta función. 

Dominios de liberación rápida: Despliegue ampliado (potencialmente superior a 15 días para la visibilidad de las funciones) a partir del 12 de febrero de 2024. Dominios de liberación programada: Despliegue gradual (hasta 15 días para la visibilidad de las funciones) a partir del 11 de marzo de 2024. 

Disponible para todos los clientes de Google Workspace y usuarios con cuentas personales de Google.