2014/12/18

Google aumenta a segurança do Gmail com o CSP


A segurança digital é uma coisa onde não se pode facilitar, e no caso do Google todas as medidas são poucas para manter o seu Gmail em segurança. Agora, o serviço de email do Google fica mais seguro passando a suportar o CSP.

Como ainda recentemente vimos no caso do Wordpress, muitas vezes o problema não está na plataforma em si mas sim em plugins ou extensões adicionais, que podem conter vulnerabilidades que permitem ultrapassar todos os restantes sistemas de segurança. É precisamente esse tipo de vulnerabilidades que o Google quer minimizar no Gmail com o CSP (Content Security Policy).

Com este sistema, um site pode especificar que tipo de conteúdos são permitidos no site, e impedir que um plugin vulnerável tente injectar malware que ponha em risco o serviço.

Como é que isso é feito? O CSP permite que um site possa dizer, por exemplo, que um site não aceita qualquer conteúdo vindo de sites que não estejam expressamente autorizados. Pode ainda especificar que não sejam executados scripts injectados directamente na página, mas somente scripts com origem em ficheiros externos de sites igualmente autorizados (e para além de scripts podem igualmente aplicar-se restrições a imagens, CSS, vídeos, e até tipos de letra). Restrições que por si só impedem que um plugin pudesse carregar um script de um site "externo" para tentar injectar malware no serviço.

Se usarem uma extensão que tenha deixado de funcionar no Gmail nos últimos dias, já saberão que poderá ser este o caso - embora o Google diga que todas as extensões mais populares já se actualizaram para trabalharem com o CSP.

Sem comentários:

Enviar um comentário (problemas a comentar?)