Supravegherea codului care rulează în browsere a devenit din ce în ce mai importantă de la apariția primelor pagini web dinamice și până la autentificările online moderne; Microsoft anunță că va întări protecția în sistemul de autentificare Entra ID pentru accesările web la adresele care încep cu login.microsoftonline.com, printr-un val de modificări programat să pornească la mijlocul până la sfârșitul lunii octombrie 2026. Măsura are ca scop reducerea riscului ca scripturi externe sau injectate să fie executate în timpul autentificării, o problemă cunoscută demult ca vector pentru atacuri de tip cross-site scripting, când cod malițios este inserat într-o pagină pentru a fura credențiale sau a compromite sisteme.
Actualizarea impune o politică Content Security Policy mai strictă care va permite descărcarea scripturilor doar de pe domenii CDN aprobate de Microsoft și va autoriza execuția scripturilor inline numai dacă provin din surse Microsoft de încredere în timpul semnărilor. Practic, browserul va respinge orice cod care nu provine din surse aprobate, reducând astfel semnificativ suprafața de atac pentru paginile de autentificare găzduite la login.microsoftonline.com. Restricția se aplică exclusiv experiențelor de autentificare bazate pe browser la acele URL-uri; Microsoft Entra External ID nu este afectat.
Impactul estimat include protecție sporită împotriva unor riscuri de securitate, în special cele legate de injectarea de cod și furtul de credențiale. Administratorii IT sunt rugați să testeze scenariile de autentificare înainte de termenul din octombrie 2026 pentru a identifica dependențele de instrumente care injectează cod. Problemele pot fi detectate din consola de dezvoltare a browserului, unde încălcările politicii CSP vor apărea ca mesaje roșii, cu detalii despre scripturile blocate, un semnal clar al problemelor ce trebuie remediate.
Microsoft a recomandat și renunțarea la utilizarea extensiilor de browser sau a unor tooluri care injectează cod în paginile de autentificare, pentru că după implementarea noii politici aceste soluții nu vor mai fi acceptate și vor înceta să funcționeze; utilizatorii vor putea în continuare să se autentifice, dar extensiile care modifică pagina nu vor mai avea efect. Reprezentanta produsului pentru Microsoft Identity and Authentication Experiences, Megna Kokkalera, a explicat că schimbarea adaugă un strat suplimentar de protecție prin blocarea scripturilor neautorizate, sprijinind organizațiile în apărarea împotriva amenințărilor în continuă evoluție.
Măsura face parte din Secure Future Initiative, un program lansat de Microsoft în noiembrie 2023, ca răspuns la concluziile Cyber Safety Review Board al Departamentului pentru Securitate Internă din SUA, care a constatat că cultura de securitate a companiei necesita revizuire. Ca parte a aceleiași inițiative, Microsoft a actualizat implicit setările de securitate din Microsoft 365 pentru a bloca accesul la fișiere SharePoint, OneDrive și Office folosind protocoale de autentificare vechi, a dezactivat toate controalele ActiveX în versiunile Windows ale aplicațiilor Microsoft 365 și Office 2024 și a început recent implementarea unei funcții Teams menite să împiedice capturile de ecran în timpul întâlnirilor.
Pentru organizații, provocarea practică este să verifice fluxurile de autentificare și să elimine dependențele de injectarea de scripturi sau de extensii care modifică pagina de login. Testarea timpurie în medii de pre-producție va oferi timp pentru modificări de cod sau reconfigurări ale fluxurilor de autentificare, astfel încât utilizatorii finali să nu întâmpine surprize la aplicarea noii politici. Dacă sunteți administrator, deschideți consola de dezvoltator, simulați scenariile de login și urmăriți erorile roșii, este cea mai rapidă metodă de a vedea ce trebuie corectat.
Octombrie 2026 este termenul la care Microsoft intenționează să lanseze această actualizare majoră a CSP. Măsurile anterioare menționate, blocarea protocoalelor vechi în Microsoft 365, dezactivarea ActiveX și noile funcții Teams, indică un trend clar: protecție mai riguroasă la nivel de platformă și preferința pentru politici care limitează executarea codului nesigur direct în browser sau aplicații. Aceste schimbări încurajează echipele IT să acorde prioritate testării autentificărilor pe login.microsoftonline.com și să elimine orice dependență de instrumente de injectare a scripturilor înainte de termen. Cum intenționează echipa dumneavoastră să verifice și să adapteze fluxurile de autentificare până în octombrie 2026?
Fii primul care comentează