Con la cantidad de aplicaciones y servicios con que cuenta Google actualmente raro es el día en que no anuncia media docena de novedades. El turno le ha llegado a Gmail, que pese a que muchos usuarios tienen puesta la mirada en Inbox, sigue siendo el pilar de sus servicios. Una mejora en la seguridad de la aplicación web es lo que nos han anunciado ahora.

Se trata de protección adicional frente a extensiones que puedan contener malware permitiendo el soporte a Content Security Policy (CSP), una recomendación del W3C para mejorar la seguridad de los sitios web frente a ataques de cross-site scripting o inyección de códigoJavaScript desde páginas de terceros. La recomendación está todavía en fase de aprobación, pero es habitual en las empresas tecnológicas que comiencen a implementarlas antes de que se finalicen, como ha sido el caso durante los últimos años de HTML 5.

La implementación de esta directiva CSP bloqueará todo el contenido de sitios webs que no estén especificados en una lista blanca (o bloqueará sólo los que estén en una lista negra), evitando así que puedan ejecutar código JavaScript. El principal objetivo es evitar que las extensiones de terceros que muchos usuarios utilizan en su cuenta de Gmail puedan resultar un problema de seguridad para el usuario o que puedan inyectar malware en su equipo. Es algo habitual y que ha ocurrido recientemente con una extensión de WordPress.

CSP es un componente de las cabeceras intercambiadas entre servidores y navegadores desarrollada para Firefox, pero actualmente Safari y Chrome también la implementan. Internet Explorer sólo implementa una versión antigua de CSP con soporte limitado.

csp-error

Vía: TechCrunch.