[1월 12일자 Google Workspace 업데이트 소식]
작년 Google은 신뢰할 수 있는 유형(DOM 기반 교차 사이트 스크립팅 취약점 방지)을 통해 Google Docs, Sheets, Slides, Forms, Sites, Drawings, Drive, Calendar의 클라이언트 측 보안을 개선했습니다.
브라우저 기반 런타임 기능은 위에 나열된 앱이나 타사 확장 프로그램에서 사용하는 DOM (문서 개체 모델) API의 사용을 제한하며
신뢰할 수 있는 유형은 웹 보안에 대한 가장 중요한 위협 중 하나인 DOM XSS (문서 개체 모델 교차 사이트 스크립팅)의 가능성을 줄입니다.
DOM XSS는 사이버 공격자가 웹 페이지에 악성 코드를 삽입할 때 발생하며, 이는 피해자의 브라우저에서 실행될 수 있습니다.
이를 통해 사이버 공격자는 쿠키를 훔치고, 세션을 하이재킹하고 심지어 피해자의 컴퓨터를 제어할 수도 있습니다.
이를 방어하기 위해 Trusted Types를 Gmail로 확장한다는 소식을 발표합니다.
이는 DOM XSS에 대한 방어 기능을 제공하고 고급 데이터 보호 제어 기능을 더욱 강화하여 매일 사용하는 더 많은 앱에서 사용자와 데이터를 안전하게 유지합니다.
새로운 적용 모드에서는 DOM API에 값을 할당할 때 문자열 대신 형식화된 개체를 사용하기 위해 타사 확장이 필요합니다.
신뢰할 수 있는 유형이 완전히 적용되면 CSP (콘텐츠 보안 정책) 헤더에 신뢰할 수 있는 유형 지시문이 표시됩니다.
콘텐츠 보안 정책: ‘스크립트’에 대한 require-trusted-types-;report-uri https://mail.google.com/mail/cspreport
사용 방법 : 개발자
- 코드가 신뢰할 수 있는 유형을 준수하도록 하려면 신뢰할 수 있는 유형 특수 객체를 생성하여 이러한 DOM API의 컨텍스트 내에서 사용되는 데이터를 신뢰할 수 있다는 것을 브라우저에 알립니다.
- 문제가 되는 코드를 제거하거나 , 라이브러리(예: safevalues 또는 DOMPurify )를 사용하거나, 신뢰할 수 있는 유형 정책을 생성하는 등 신뢰할 수 있는 유형을 준수하는 방법에는 여러 가지가 있습니다.
사용자에게 원활한 환경을 보장하려면 신뢰할 수 있는 유형 적용이 출시되기 전에 이러한 기술을 사용하는 것이 좋습니다.
신뢰할 수 있는 유형을 준수하는 코드를 만들지 못하면 확장의 DOM 조작이 브라우저에 의해 차단되기 때문에 타사 확장의 기능이 손상될 수 있습니다.
적용 날짜
- 빠른 출시 도메인 : 2024년 2월 12일부터 확장 배포 (기능 가시성 위해 15일 이상 소요될 수 있음)
- 예정 출시 도메인 : 2024년 3월 11일부터 점진적 배포 (기능 가시성 위해 최대 15일)
관련 링크
∴ 해당 내용은 2024년 1월 12일 Google Workspace Update blog 내용을 번역한 것입니다.
