Microsoft’ın Entra ID Güvenlik Güncellemesi
Microsoft, Entra ID kimlik doğrulama sisteminin dışarıdan script enjeksiyon saldırılarına karşı güvenliğini artırmayı planlıyor. Bu güncellemenin, Ekim 2026 ortasından sonlarına kadar kullanıma sunulması hedefleniyor.
Geliştirilmiş İçerik Güvenlik Politikası
Güncelleme, sadece Microsoft’un güvenilir içerik dağıtım ağı (CDN) alanlarından script indirilmesine izin veren, ve kimlik doğrulama sırasında yalnızca güvenilir Microsoft kaynaklarından inline script kullanımını mümkün kılan kuvvetlendirilmiş bir İçerik Güvenlik Politikası (CSP) uygulayacak.
Bu değişiklik ile kullanıcılar, kimlik bilgilerini çalmak veya sistemleri tehlikeye atmak için kötü amaçlı kodların web sitelerine enjekte edildiği cross-site scripting (XSS) gibi çeşitli güvenlik risklerine karşı korunacak.
Web Tabanlı Giriş Deneyimleri
Güncelleme politikası, yalnızca login.microsoftonline.com ile başlayan URL’lerdeki tarayıcı tabanlı giriş deneyimlerine uygulanacak. Microsoft Entra Dış ID ise bu değişiklikten etkilenmeyecek.
Microsoft’un Ürün Yöneticisi Megna Kokkalera, “Bu güncelleme, kimlik doğrulama sırasında yalnızca güvenilir Microsoft alanlarından gelen scriptlerin çalışmasına izin vererek, izin verilmeyen veya enjekte edilen kodların çalışmasını engelleyerek güvenliği güçlendiriyor,” dedi.
Ön Hazırlık ve Test Süreci
Microsoft, organizasyonları Ekim 2026 tarihinden önce giriş senaryolarını test etmeye çağırıyor. Bu, kod enjeksiyon araçlarına olan bağımlılıkları belirleyip ele almak için kritik öneme sahip. IT yöneticileri, tarayıcı geliştirici konsolunu inceleyerek olası etkileri değerlendirebilir; burada engellenen scriptler hakkında detaylar kırmızı metinle gösterilecektir.
Güvenlik Uygulamaları ve Tavsiyeler
Microsoft, kurumsal müşterilere giriş sayfalarına kod veya script enjekte eden tarayıcı uzantılarını ve araçlarını kullanmayı bırakmalarını öneriyor. Güncelleme yürürlüğe girdikten sonra, bu araçlar desteklenmeyecek ve işlevlerini yitirecek, fakat kullanıcılar yine de giriş yapabilecek.
“Güvenlik politikamızda yapılan bu güncelleme, izinsiz scriptleri engelleyerek ek bir koruma katmanı sağlıyor ve organizasyonunuzu gelişen tehditlere karşı daha iyi koruyor,” diyen Kokkalera, kullanıcıların güvenliği için atılan adımların önemine dikkat çekti.
Gelecek Vizyonu ve Girişimler
Bu hamle, Microsoft’un 2023 yılı Kasım ayında başlattığı Secure Future Initiative (SFI) çerçevesine dahil. Bu girişim, ABD İç Güvenlik Bakanlığı’nın Siber Güvenlik İnceleme Kurulu’ndan gelen bir rapora yanıt olarak başlatıldı; raporda şirketin güvenlik kültürünün “yetersiz olduğu” vurgulanmıştı.
Microsoft, aynı inisiyatif kapsamında Microsoft 365 güvenlik varsayımlarını güncelleyerek, SharePoint, OneDrive ve Ofis dosyalarına eski kimlik doğrulama protokolleri aracılığıyla erişimi engelledi. Ayrıca, Windows versiyonlarındaki Microsoft 365 ve Ofis 2024 uygulamalarında tüm ActiveX kontrollerini devre dışı bıraktı.
Tüm bu değişiklikler, işletmelerin ve bireylerin çevrimiçi ortamda daha güvenli bir deneyim yaşamasını sağlamayı amaçlıyor. Microsoft’un güvenlik konusundaki kararlılığı, kullanıcı verilerini koruma çabalarında önemli bir adım olarak değerlendiriliyor.
