Was ändert sich?
Wir verbessern die clientseitige Sicherheit von YouTube mithilfe von vertrauenswürdigen Typen. Dies bietet zusätzlichen Schutz um DOM-APIs (Document Object Model), die von Erweiterungen von Drittanbietern verwendet werden.
Für „Vertrauenswürdige Typen“ müssen Browsererweiterungen von Drittanbietern typisierte Objekte anstelle von Strings verwenden, wenn Werte zu DOM APIs zugewiesen werden. Ab dem 25. Juli 2024 funktionieren Browsererweiterungen, die nicht den Sicherheitsanforderungen für vertrauenswürdige Typen entsprechen, nach der Durchsetzung möglicherweise nicht mehr. Wir empfehlen daher entsprechenden Entwicklern, dem Leitfaden zum Vermeiden von DOM-basierten Cross-Site-Scripting-Sicherheitslücken zu folgen, um sicherzustellen, dass Browsererweiterungen mit den neuen YouTube-Sicherheitsstandards kompatibel sind.
Warum ist das wichtig?
Durch die Aktivierung von vertrauenswürdigen Typen auf YouTube werden unsere Nutzer vor einer Vielzahl von Cross-Site-Scripting-Angriffen (XSS) geschützt. Die erweiterten Datenschutzeinstellungen werden weiter optimiert, um Nutzer und Daten in noch mehr Erweiterungen zu schützen, die sie täglich auf YouTube verwenden.
Was soll ich tun?
Zuschauer und Creator
Es sind keine weiteren Schritte erforderlich. Nutzer, bei denen Probleme auftreten, können die problematischen Browsererweiterungen vorübergehend deaktivieren und die entsprechenden Entwickler informieren. Wenn du Probleme bei der Wiedergabe eines YouTube-Videos hast, empfehlen wir dir, YouTube in einem Inkognitofenster zu öffnen und alle Erweiterungen zu deaktivieren. Weitere Schritte zur Fehlerbehebung finden Sie in diesem Hilfeartikel.
Entwickler
- Wenn durch Ihre Erweiterung HTML geändert wird und ein Nutzer sie auf youtube.com verwenden könnte, empfehlen wir Ihnen, die folgenden Schritte auszuführen, um zu prüfen, ob Ihre Erweiterungen kompatibel sind und nach der Erzwingung der Funktion ordnungsgemäß funktionieren:
- Antwortheader mithilfe der Chrome-Entwicklertools überschreiben Füge dazu den lokalen Header-Überschreibungen für youtube.com Folgendes hinzu:
Content-Security-Policy: require-trusted-types-for 'script' - YouTube Service Worker umgehen Öffnen Sie die Entwicklertools, gehen Sie zum Tab „Anwendung“ und wählen Sie im Bereich „Anwendung“ die Option „Service-Worker“ aus. Aktivieren Sie in den Service Worker-Einstellungen die Option „Umgehen für Netzwerk“.
- Als Hilfestellung können Sie automatische Haltepunkte bei Verstößen gegen die vertrauenswürdigen Typen aktivieren. Vertrauenswürdige Typen verursachen standardmäßig einen Laufzeitfehler, wenn ein Verstoß gegen vertrauenswürdige Typen festgestellt wird.
- Testen Sie die Workflows Ihrer Erweiterung. Im Falle eines Verstoßes gegen die vertrauenswürdigen Typen (und ggf. einem Haltepunkt) wird in der Entwicklerkonsole der Chrome-Entwicklertools eine Fehlermeldung angezeigt.
- Antwortheader mithilfe der Chrome-Entwicklertools überschreiben Füge dazu den lokalen Header-Überschreibungen für youtube.com Folgendes hinzu:
- Wenn Ihr Erweiterungscode Verstöße gegen vertrauenswürdige Typen enthält, folgen Sie der Anleitung unter DOM-basierte Sicherheitslücken beim Cross-Site-Scripting verhindern, um diese zu beheben. Es gibt verschiedene Möglichkeiten, die Compliance mit vertrauenswürdigen Typen zu gewährleisten,z. B. durch Entfernen des problematischen Codes, Verwendung einer Bibliothek (z. B. safevalues oder DOMPurify) oder durch Erstellen einer Richtlinie für vertrauenswürdige Typen.
Sie können sich auch diese Liste mit Frameworks und Bibliotheken ansehen, um Ihre vertrauenswürdigen Typen Ihrer Erweiterung konform zu machen. Möglicherweise verwenden Sie eine alte Bibliothek von Drittanbietern, die aktualisiert werden sollte.
Um eine optimale Nutzererfahrung zu gewährleisten, empfehlen wir, Browsererweiterungen vor der Einführung der Sicherheitsfunktion auf YouTube mit vertrauenswürdigen Typen konform zu machen. Wenn der Code für vertrauenswürdige Typen nicht konform ist, kann es zu Funktionsstörungen bei Erweiterungen von Drittanbietern kommen, da ihre DOM-Manipulationen vom Browser blockiert werden.