เมื่อต้นปีนี้ Gmail ประกาศใช้การเชื่อมต่อแบบ HTTPS ในทุกกรณี เพื่อความปลอดภัยและความเป็นส่วนตัวของผู้ใช้งาน
อย่างไรก็ตาม นโยบายนี้ยังมีช่องโหว่จากการใช้งานส่วนเสริมของเบรา ว์เซอร์ที่ออกแบบมาสำหรับปรับแต่ง Gmail ให้มีฟีเจอร์มากขึ้น เพราะส่วนเสริมหลายตัวใช้วิธีโหลดเนื้อหาของตัวเองผ่ าน HTTP เข้าไปแทรกในเพจ Gmail ซึ่งเสี่ยงต่อการถูกฝังมัลแวร์ระหว่างทาง (เช่น cross site scripting)
ล่าสุดกูเกิลแก้ปัญหาด้วยการเปิดใช้ Content Security Policy (CSP) ซึ่งเป็นมาตรฐานที่กำลังเสนอเข้า W3C ที่กำหนดข้อมูลใน HTTP header บอกเบราว์เซอร์ว่าเพจนั้นอนุญาตดึงข้อมูลจากโดเมนใดไ ด้บ้าง ผลคือส่วนเสริมบางตัวที่ไม่ปฏิบัติตามมาตรฐานของกูเก ิลจะใช้งานไม่ได้อีกต่อไป
กูเกิลบอกว่าส่วนเสริมยอดฮิตส่วนใหญ่รองรับ CSP หมดแล้ว ผู้ใช้ไม่น่าจะมีปัญหาอะไร และนโยบายนี้จะช่วยป้องกันผู้ใช้จากส่วนเสริมแย่ๆ (ทั้งจงใจแทรกโค้ดมัลแวร์และสะเพร่าไม่ตรวจสอบช่องโห ว่) ได้มากขึ้น
ที่มา - Gmail Blog, VentureBeat
Gmail, Google, Security




อ่านต่อ...