کمیته رکن چهارم– مایکروسافت اعلام کرده است که از اواخر اکتبر ۲۰۲۶، برای افزایش امنیت در سرویس احراز هویت Entra ID، فقط به اسکریپتهایی اجازه اجرا خواهد داد که از دامنههای مورد تأیید مایکروسافت بارگیری میشوند. این اقدام بخشی از برنامه آینده امن (SFI) این شرکت برای مقابله با تهدیدات فزاینده در فضای سایبری است.
به گزارش کمیته رکن چهارم، این تغییر از طریق بهروزرسانی سیاست امنیت محتوا (CSP) و در دامنه login.microsoftonline.com اعمال میشود. به موجب این سیاست، اجرای اسکریپتهای غیرمجاز و درونخطی در صفحه ورود کاربر، مسدود خواهد شد؛ مگر آنکه از منابع رسمی مایکروسافت بارگیری شده باشند. سرویس Entra External ID از این محدودیت مستثنی خواهد بود.
مایکروسافت از سازمانها خواسته است پیش از اعمال این تغییر، صفحه ورود خود را آزمایش کنند و از استفاده از ابزارهایی که کدهای دلخواه در فرایند ورود تزریق میکنند، اجتناب نمایند. توصیه شده است برای بررسی مغایرتها، از کنسول توسعهدهنده مرورگر استفاده شود تا پیامهایی مانند خطای script-src قابل شناسایی باشند.
در چارچوب ابتکار SFI، مایکروسافت تاکنون اقداماتی نظیر الزام احراز هویت چندمرحلهای، حذف کامل ADFS از محیط تولید، مهاجرت اعتبارسنجی توکنها به SDK رسمی و پرداخت پاداش برای کشف آسیبپذیریها را انجام داده است.
این تصمیم مایکروسافت در راستای اجرای مدل Zero Trust، بر اهمیت مدیریت دقیق کدهای اجراشده در صفحات ورود تأکید دارد و سازمانها را به سمت اجرای سیاستهای امنیتی دقیقتر برای محافظت از کاربران سوق میدهد.
