เมื่อต้นปีนี้ Gmail ประกาศใช้การเชื่อมต่อแบบ HTTPS ในทุกกรณี เพื่อความปลอดภัยและความเป็นส่วนตัวของผู้ใช้งาน

อย่างไรก็ตาม นโยบายนี้ยังมีช่องโหว่จากการใช้งานส่วนเสริมของเบราว์เซอร์ที่ออกแบบมาสำหรับปรับแต่ง Gmail ให้มีฟีเจอร์มากขึ้น เพราะส่วนเสริมหลายตัวใช้วิธีโหลดเนื้อหาของตัวเองผ่าน HTTP เข้าไปแทรกในเพจ Gmail ซึ่งเสี่ยงต่อการถูกฝังมัลแวร์ระหว่างทาง (เช่น cross site scripting)

ล่าสุดกูเกิลแก้ปัญหาด้วยการเปิดใช้ Content Security Policy (CSP) ซึ่งเป็นมาตรฐานที่กำลังเสนอเข้า W3C ที่กำหนดข้อมูลใน HTTP header บอกเบราว์เซอร์ว่าเพจนั้นอนุญาตดึงข้อมูลจากโดเมนใดได้บ้าง ผลคือส่วนเสริมบางตัวที่ไม่ปฏิบัติตามมาตรฐานของกูเกิลจะใช้งานไม่ได้อีกต่อไป

กูเกิลบอกว่าส่วนเสริมยอดฮิตส่วนใหญ่รองรับ CSP หมดแล้ว ผู้ใช้ไม่น่าจะมีปัญหาอะไร และนโยบายนี้จะช่วยป้องกันผู้ใช้จากส่วนเสริมแย่ๆ (ทั้งจงใจแทรกโค้ดมัลแวร์และสะเพร่าไม่ตรวจสอบช่องโหว่) ได้มากขึ้น

ที่มา - Gmail Blog, VentureBeat