A Microsoft 2026. októbertől tovább kívánja növelni az Entra ID hitelesítési rendszer biztonságát az external script injection elleni védelem erősítése érdekében. A tervezett frissítés egy továbbfejlesztett Content Security Policy (CSP) bevezetését tartalmazza, amely a hitelesítési folyamat során kizárólag a Microsoft által megbízhatónak minősített content delivery network domainekről engedélyezi a szkriptek betöltését, valamint csak Microsoft által hitelesített forrásból származó inline szkriptek futtatását.
A módosítás életbe lépését követően a rendszer többféle biztonsági fenyegetéssel szemben nyújt védelmet, különösen a cross-site scripting típusú támadások ellen, amelyek során a támadók rosszindulatú kódot injektálnak weboldalakba, hitelesítési adatok megszerzése vagy rendszerek kompromittálása céljából.
A frissített házirend kizárólag a login[.]microsoftonline[.]com URL-lel kezdődő, böngészőalapú bejelentkezési felületekre vonatkozik, a Microsoft Entra External ID szolgáltatást nem érinti.
A Microsoft arra kéri a szervezeteket, hogy még a 2026. októberi határidő előtt vizsgálják át és teszteljék bejelentkezési folyamataikat annak érdekében, hogy azonosítsák az esetleges függéseket olyan eszközökkel vagy megoldásokkal kapcsolatban, amelyek code-injection technikát alkalmaznak.
Az IT-adminok a böngésző Developer Console felületén ellenőrizhetik az érintettséget: a szabályszegéseket a rendszer piros figyelmeztetéssel jeleníti meg, részletes információt adva a blokkolt szkriptekről.
A Microsoft azt is javasolta a vállalati ügyfeleknek, hogy még a változtatás életbe lépése előtt szüntessék meg minden olyan böngészőbővítmény vagy eszköz használatát, amely kódot vagy szkripteket injektál a bejelentkezési oldalakba. Ezek a jövőben nem lesznek támogatottak és működésképtelenné válnak, ugyanakkor a felhasználók továbbra is képesek lesznek bejelentkezni.
A lépés a Microsoft Secure Future Initiative (SFI) programjának része, amelyet a vállalat 2023. novemberében indított el. Ugyanezen kezdeményezés keretében a Microsoft frissítette a Microsoft 365 biztonsági alapértelmezéseit is, többek között blokkolva a SharePoint-, OneDrive- és Office-fájlok elérését a régi hitelesítési protokollokon keresztül, valamint letiltotta az összes ActiveX-vezérlőt a Microsoft 365 és Office 2024 Windows-verzióiban. A hónap elején a vállalat elkezdte bevezetni az új Teams-funkciót is, amely a megbeszélések alatt megakadályozza a képernyőrögzítési kísérleteket.