O que muda?
Estamos melhorando a segurança do lado do cliente no YouTube com os Tipos confiáveis. Isso vai fornecer uma camada extra de proteção para as APIs do Modelo de objeto de documentos (DOM) usadas por extensões de terceiros.
Os Tipos confiáveis exigem que as extensões de navegador de terceiros usem objetos tipados em vez de strings para atribuir valores às APIs do DOM. A partir de 25 de julho de 2024, as extensões do navegador que não estiverem em conformidade com os requisitos de segurança dos Tipos confiáveis poderão parar de funcionar após a aplicação. Por isso, incentivamos os desenvolvedores correspondentes a seguir o guia Evitar vulnerabilidades de scripting em vários sites baseados em DOM para garantir que as extensões de navegador sejam compatíveis com os novos padrões de segurança do YouTube.
Por que isso é importante
Ativar Tipos confiáveis no YouTube protege nossos usuários contra um amplo conjunto de ataques de scripting em vários locais (XSS). Ela melhora ainda mais nossos controles avançados de proteção de dados para manter usuários e dados seguros em mais extensões que eles usam todos os dias no YouTube.
O que devo fazer?
Espectadores e criadores de conteúdo
Você não precisa fazer nada. Os usuários com problemas podem desativar temporariamente as extensões do navegador que causam problemas e informar os desenvolvedores correspondentes. Se estiver com problemas para reproduzir um vídeo do YouTube, recomendamos que você abra o YouTube em uma janela anônima com todas as extensões desativadas. Para mais etapas de solução de problemas, consulte nosso artigo da Central de Ajuda.
Desenvolvedores
- Se sua extensão modificar o HTML e um usuário puder usá-la no youtube.com, recomendamos que você siga estas etapas para verificar se suas extensões são compatíveis e se funcionarão corretamente após a aplicação do recurso:
- Substitua cabeçalhos de resposta com a ajuda das Ferramentas para desenvolvedores do Chrome. Para isso, adicione o seguinte às substituições de cabeçalho local para youtube.com:
Content-Security-Policy: require-trusted-types-for 'script' - Ignorar o YouTube Service Worker. Abra as ferramentas para desenvolvedores, acesse a guia "Application" e selecione "Service workers" na seção "Application". Marque "Ignorar para a rede" nas configurações dos Service Workers.
- Para ajudar, você pode ativar pontos de interrupção automáticos em violações de tipo confiável. Por padrão, os Tipos confiáveis causarão um erro de tempo de execução se uma violação de Tipos confiáveis for detectada.
- Teste os fluxos de trabalho de extensões. Você receberá um erro no console do desenvolvedor do Chrome DevTools se ocorrer uma violação de Tipos confiáveis (bem como um hit de ponto de interrupção, se você tiver ativado esse recurso).
- Substitua cabeçalhos de resposta com a ajuda das Ferramentas para desenvolvedores do Chrome. Para isso, adicione o seguinte às substituições de cabeçalho local para youtube.com:
- Se o código de extensão tiver violações de Tipos confiáveis, siga o guia Evitar vulnerabilidades de scripting em vários sites baseado em DOM para resolver as violações. Existem várias maneiras de estar em conformidade com os Tipos confiáveis, como remover o código com problemas, usar uma biblioteca (como safevalues ou DOMPurify) ou criar uma política de Tipos confiáveis.
Confira também esta lista de estruturas e bibliotecas que podem ajudar a deixar sua extensão em conformidade com os Tipos confiáveis. Talvez você esteja usando uma biblioteca de terceiros antiga que vale a pena atualizar.
Para garantir uma experiência perfeita aos usuários, recomendamos que as extensões dos navegadores sejam compatíveis com os Tipos confiáveis antes do lançamento do recurso de segurança no YouTube. A não conformidade do código com os Tipos confiáveis pode causar falhas nos recursos de extensões de terceiros, já que as manipulações de DOM delas serão bloqueadas pelo navegador.