Entra ID

Microsoft Entra ID CSP Güncellemesi XSS Riskini Azaltacak

3 dk okuma

Özet

Microsoft, Entra ID oturum açma sayfalarında XSS ve harici script enjeksiyonu riskini azaltmak için login.microsoftonline.com üzerinde daha sıkı bir Content Security Policy uygulayacağını duyurdu. Ekim 2026 ortası-sonu arasında küresel olarak zorunlu olacak bu değişiklik, yalnızca güvenilir Microsoft CDN’lerinden script yüklenmesine ve nonce tabanlı inline script çalıştırılmasına izin verecek; bu da tarayıcı tabanlı kimlik doğrulama güvenliğini artırırken kurumsal oturum açma entegrasyonlarının önceden gözden geçirilmesini önemli hale getiriyor.

Entra ID konusunda yardıma mı ihtiyacınız var?Bir uzmanla konuşun

Giriş

Microsoft, Secure Future Initiative (SFI) kapsamında Microsoft Entra ID oturum açma deneyimini güçlendiriyor. Yaklaşan Content Security Policy (CSP) zorunlu uygulaması, saldırganların sık hedeflediği bir alan olan kimlik doğrulama sırasında harici script injection’ını önlemek için, oturum açma sayfasında hangi script’lerin yüklenip çalıştırılabileceğini sınırlandıracak.

Neler değişiyor

Microsoft, login.microsoftonline.com üzerindeki Entra ID oturum açma deneyimi için daha sıkı bir CSP header’ı ekleyip uygulayacak. Temel değişiklikler şunlar:

  • Script indirmeleri güvenilir Microsoft CDN domain’leri ile sınırlandırılacak Yalnızca Microsoft tarafından onaylanan content delivery network’lerden kaynaklanan script’lerin yüklenmesine izin verilecek.

  • Inline script çalıştırma güvenilir Microsoft kaynaklarıyla sınırlandırılacak (nonce tabanlı) Inline script’ler CSP nonce desenleriyle yönetilecek; bu sayede rastgele inline kodun çalışması engellenecek.

  • Kapsam login.microsoftonline.com üzerindeki tarayıcı tabanlı oturum açmalarla sınırlı Bu, tarayıcıdaki etkileşimli oturum açma sayfalarına özeldir.

  • Microsoft Entra External ID için etkisi yok Microsoft, Entra External ID deneyimlerinin bu güncellemeden etkilenmediğini belirtiyor.

Zaman çizelgesi

  • Küresel zorunlu uygulama: Microsoft Entra ID, güncellenen CSP’yi Ekim 2026 ortası ile sonu arasında zorunlu kılacak.
  • İletişim: Microsoft, yaygınlaştırma öncesinde periyodik güncellemeler gönderecek.

IT yöneticileri ve son kullanıcılar üzerindeki etkisi

Çoğu kuruluş için bu, “sessiz” bir güvenlik iyileştirmesi olacak. Ancak oturum açma sayfasına kod enjekte eden tarayıcı uzantıları, script’ler veya üçüncü taraf araçlar kullanan ortamlarda, enjekte edilen bu işlevlerin bozulması beklenmeli.

Önemli bir ayrıntı: Microsoft, enjekte eden araçlar çalışmayı durdursa bile kullanıcıların yine de oturum açabileceğini belirtiyor; ancak injection’a bağlı her türlü overlay, enstrümantasyon, özelleştirme veya yardımcı mantık başarısız olabilir.

Gözden geçirilmesi gereken tipik öğeler:

  • Oturum açma sayfalarını değiştiren parola yöneticileri veya “güvenlik” uzantıları
  • Helpdesk veya SSO sorun giderme overlay’leri
  • Injection ile uygulanan özel branding veya UX değişiklikleri
  • Tarayıcı scripting ile oturum açma UI’sine bağlanan izleme veya analytics araçları

Önerilen aksiyonlar / sonraki adımlar

  1. Oturum açma sayfası injection bağımlılıklarını envanterleyin ve azaltın Microsoft, Entra oturum açma deneyimine kod enjekte eden uzantı veya araçlardan kaçınılmasını açıkça öneriyor.

  2. Developer Tools açıkken oturum açma akışlarını test edin Yaygın oturum açma senaryolarınızı (yönetilen cihazlar, yönetilmeyen cihazlar, farklı tarayıcılar, conditional access varyasyonları) tarayıcı dev console açıkken çalıştırın ve CSP ihlallerini (genellikle kırmızı görünür) kontrol edin.

  3. Farklı kullanıcı profillerini ve akışları değerlendirin İhlaller yalnızca belirli ekipler veya kullanıcı kurulumları için (uzantılar veya yerel araçlar nedeniyle) ortaya çıkabileceğinden, birden fazla kullanıcı grubu ve cihaz yapılandırmasıyla test edin.

  4. Etkilenen araçları injection kullanmayan alternatiflerle değiştirin Script injection’a dayanan iş açısından kritik araçlar tespit ederseniz, şimdiden alternatifleri değerlendirmeye başlayın—zorunlu uygulama başladığında oturum açma sayfasına script injection artık desteklenmeyecek.

Neden önemli

Kimlik doğrulama sayfaları yüksek değerli hedeflerdir. Oturum açma sınırında CSP’yi zorunlu kılmak, enjekte edilmiş veya kötü amaçlı script’ler için saldırı yüzeyini azaltmaya yönelik anlamlı bir adımdır; uyumlu yapılandırmalarda kullanıcı oturum açma deneyimini korurken modern web tabanlı identity saldırılarına karşı dayanıklılığı artırır.

Entra ID konusunda yardıma mı ihtiyacınız var?

Uzmanlarımız Microsoft çözümlerinizi uygulamanıza ve optimize etmenize yardımcı olabilir.

Bir uzmanla konuşun

Microsoft teknolojileri hakkında güncel kalın

AnkurPatel tarafından orijinal makaleyi oku
Entra IDauthenticationContent Security PolicyCSPSecure Future Initiative

İlgili Yazılar

Entra ID

Microsoft Entra Backup and Recovery Enters Preview

Microsoft has launched Microsoft Entra Backup and Recovery in public preview, giving organizations a Microsoft-managed way to restore critical identity objects and configurations to a known-good state. The service helps IT teams recover faster from accidental admin changes, provisioning errors, and malicious modifications that could otherwise disrupt access and security.

Entra ID

Microsoft Entra External MFA Now Generally Available

Microsoft has announced general availability of external MFA in Microsoft Entra ID, allowing organizations to integrate trusted third-party MFA providers using OpenID Connect. The feature lets IT teams keep Microsoft Entra ID as the central identity control plane while maintaining Conditional Access, risk evaluation, and unified authentication method management.

Entra ID

Microsoft Entra RSAC 2026 Identity Security Updates

At RSAC 2026, Microsoft announced major Microsoft Entra updates aimed at securing not only users and devices but also AI agents, workloads, and modern multi-tenant environments. The new capabilities—such as expanded Entra Agent ID governance, shadow AI detection, prompt injection protection, passkey enhancements, and adaptive risk-based access—matter because they strengthen Zero Trust identity security as organizations adopt AI and face more dynamic access risks.

Entra ID

Microsoft Entra Secure Access Report 2026 on AI Risk

Microsoft’s Entra Secure Access Report 2026 says AI adoption is significantly increasing identity and network access risk, with 97% of organizations reporting an access-related incident in the past year and 70% tying incidents to AI activity. The report argues that fragmented identity and network tools are making the problem worse, which matters because more organizations are now moving toward consolidated access platforms to better secure AI tools, agents, and machine identities.

Entra ID

Microsoft Entra Conditional Access'ta Tüm Kaynaklar Değişikliği

Microsoft, Entra Conditional Access’ta “Tüm kaynaklar”ı hedefleyen politikaların, kaynak hariç tutmaları olsa bile belirli OIDC veya sınırlı dizin scope’larıyla yapılan oturum açmalarda da tutarlı şekilde uygulanacağını duyurdu. 27 Mart 2026’da başlayıp Haziran 2026’ya kadar kademeli tamamlanacak bu değişiklik, daha önce politika değerlendirmesinden kaçabilen akışları kapatarak MFA, cihaz uyumluluğu ve diğer erişim kontrollerinin daha güvenilir uygulanmasını sağlayacak.

Entra ID

Microsoft Entra Access Priorities ile Güvenli AI Erişimi

Microsoft, kimlik ve ağ erişimini Access Fabric yaklaşımıyla birleştiren stratejisini sahaya taşımak için dört oturumluk Microsoft Entra Access Priorities Series’i duyurdu. Seri; phishing-resistant authentication, adaptive access, least privilege ve AI hizmetlerine güvenli erişim gibi başlıklarda demolar, şablonlar ve kontrol listeleri sunarak BT ekiplerinin Zero Trust ve güvenli AI erişimini daha hızlı ve ölçeklenebilir biçimde uygulamasını hedefliyor.