Microsoft blockiert externe Skripteinschleusung bei der Entra-ID-Anmeldung für mehr Sicherheit

/de/images/Microsoft-logo.png

Microsoft hat angekündigt, an einem großen Sicherheitsupdate für Entra ID zu arbeiten, das die externe Skriptinjektion während der Authentifizierung blockiert. Im Rahmen seiner Secure Future Initiative hat das Unternehmen seine Content Security Policy (CSP) aktualisiert, um nur die Ausführung von Skripts von vertrauenswürdigen Microsoft-Domänen auf der Anmeldeseite zuzulassen.

Dank dieser Änderung können häufige Bedrohungen wie Cross-Site-Scripting (XSS) gemindert werden. Für diejenigen, die es nicht wissen: Es handelt sich um eine Technik, mit der Angreifer Schadcode in Anmeldeflüsse einschleusen. Laut Microsoft verfügen Unternehmen über einen stärkeren und zuverlässigeren Schutz bei der Authentifizierung mit robusten Skriptberechtigungen.

Im Ankündigungs-Blogbeitrag wies Microsoft darauf hin, dass die neuen CSP-Regeln ab Mitte bis Ende Oktober 2026 weltweit eingeführt werden und dass vor der Durchsetzung regelmäßig Erinnerungen gesendet werden. „Beachten Sie, dass die aktualisierte Inhaltssicherheitsrichtlinie nur für browserbasierte Anmeldeerfahrungen gilt, nur für URLs, die mit login.microsoftonline.com beginnen“, fügte Microsoft hinzu. „Microsoft Entra External ID wird keine Auswirkungen haben.“

Für die meisten Unternehmen wird sich nichts ändern, es sei denn, sie verlassen sich auf Tools oder Browsererweiterungen, die Code in das Anmeldeerlebnis einschleusen. Microsoft warnt davor, dass diese Tools nicht mehr funktionieren, sobald der neue CSP in Betrieb geht. Allerdings können sich Benutzer weiterhin normal anmelden.

Wenn Sie Administrator sind, können Sie Umgebungen testen, indem Sie einen Anmeldevorgang ausführen, während die Entwicklungskonsole des Browsers geöffnet ist. Alle CSP-Verstöße werden in Rot angezeigt, was den Teams hilft, Erweiterungen oder Skripte zu identifizieren, die nach der Durchsetzung nicht mehr funktionieren.

/de/images/image-6-1-1024x112.png Bild: Microsoft

Laut Microsoft fügt dieser proaktive Schritt eine weitere sinnvolle Verteidigungsebene gegen moderne Sicherheitsbedrohungen hinzu und ermutigt IT-Teams, ihre Anmeldeabläufe vor der Einführung zu validieren, um sicherzustellen, dass weiterhin alles reibungslos funktioniert.

*️⃣ Quelllink:

Blockiert die Einschleusung externer Skripte während der Authentifizierung., login.microsoftonline.com, /de/images/image-6-1-1024x112.png ,