Szigorúbb védelmet kap a Microsoft bejelentkező oldala

​A Microsoft újabb szigorítás bevezetését tervezi az Entra ID authentikáció kapcsán.
 

A Microsoft jelezte, hogy a hitelesítésekre szolgáló weboldalain olyan módosításokat fog eszközölni, amelyek a CSP (Content Security Policy) megerősítésével, kiterjesztésével járnak, és megnehezítik a külső forrásból származó scriptekkel történő visszaéléseket.
 
Az új védelmi eljárás bevezetését követően jelentősen csökkenni fog az XSS (cross-site scripting) típusú támadások kockázata, ezáltal a hitelesítő adatok ellopásának és az azokkal történő visszaéléseknek is kisebb lesz a valószínűsége.
 
A biztonsági frissítés kizárólag a webböngészőkből történő hitelesítési folyamtokra terjed majd ki a "login.microsoftonline.com" URL-ek esetében. A Microsoft Entra External ID nem lesz érintett.
 
"Ez a frissítés egy további biztonsági réteget fog jelenteni, amely biztosítja, hogy csak olyan scriptek futhassanak a hitelesítések során, amelyek megbízható, Microsoft domainek alól származnak. A nem hiteles és befecskendezett kódok blokkolása meg fog történni a bejelentkezések során" - közölte a Microsoft.
 
Az új védelmi megoldás bevezetésére 2026 októberében fog sor kerülni. Addig a Microsoft azt kéri a szervezetektől, hogy ellenőrizzék, nem okoz-e fennakadásokat ez a fajta kiterjesztett biztonság. Különösen egyes webböngészők bővítményei esetén lehetnek problémák, amelyek használatát amúgy a Microsoft nem is ajánlja.