Nul
Google annoncerede i dag fem nye regler for Chrome webshop, portal, hvor brugerne gå til download Chrome udvidelser. De nye regler er primært beregnet til at forhindre skadelig extensions fra at nå Web-Butikken, men også til at reducere mængden af skader, de gør, klient-side.
Ikke flere udvidelser med uklar kode
Den første nye regel om, at Google annoncerede i dag, er med hensyn til kodens læsbarhed. Ifølge Google, der starter i dag, Chrome Web Store vil ikke længere tillade udvidelser med uklar kode.
Formørkelse er den bevidste handling, for at skabe kildekode, der er svært for mennesker at forstå.
Dette skal ikke forveksles med minified (komprimeret) kode. Minification eller komprimering henviser til praksis for at fjerne mellemrum, linjeskift, eller afkortning variabler med hensyn til ydeevne. Minified kode kan nemt blive de-minified, mens deobfuscating uklar kode, der tager en masse af tid
Ifølge Google, omkring 70 procent af alle skadelige Chrome udvidelser virksomheden blokerer brug kode formørkelse.
Siden kode formørkelse tilføjer også en performance hit, Google argumenterer for, at der er ingen fordele i ved hjælp af kode formørkelse på alle, derfor grund til at forbyde sådanne udvidelser helt. Udviklerne har indtil 1 januar 2019 for at fjerne enhver uklar kode fra deres udvidelse.
Nye udvidelser review-processen
Den anden regel Google sat på plads i dag, er en ny gennemgang for alle udvidelser er indsendt for at blive opført på Chrome webshop.
Google siger, at alle udvidelser, der beder om adgang til kraftfuld browser tilladelser vil blive udsat for noget, som Google kaldet en “ekstra compliance review.”
Sørg helst for, at Google ville foretrække, hvis udvidelser blev “snævert virkefelt” –spurgte kun de tilladelser, de har brug for at gøre deres arbejde, uden at anmode om adgang til ekstra tilladelser som en backup til fremtidige funktioner.
Desuden, Google sagde også, at en yderligere overensstemmelse gennemgang vil også blive udløst, hvis udvidelser bruge eksternt hostet kode, et tegn på, at udviklerne vil have mulighed for at ændre den kode, de leverer til brugerne på runtime, muligvis installere skadelig kode, efter at anmeldelse har fundet sted. Google sagde, at sådanne udvidelser ville blive udsat for “løbende overvågning.”
Per-site tilladelser
Den tredje nye regel vil være understøttet af en ny funktion, som vil lande i Chrome 70, indstillet til at blive frigivet i denne måned.
Med Chrome 70, Google siger, at brugerne vil have mulighed for at begrænse udvidelser til bestemte lokaliteter kun, forhindre potentielt farlige extensions fra fuldbyrdelsesstaten på følsomme sider, såsom e-banking-hjemmesider, web cryptocurrency tegnebøger, eller e-mail-indbakker.
Desuden, Chrome 70 vil også være i stand til at begrænse extensions til en bruger, klik, hvilket betyder, at udvidelsen ikke vil udføre på en side, indtil brugeren klikker på en knap eller indstilling i Chrome-menuen.
Billede: Google
Der kræves 2-trins bekræftelse
Den fjerde nye regel er ikke til udvidelser per se, men for en udvidelse udviklere. På grund af et stort antal phishing-kampagner, der har fundet sted i løbet af de seneste år, startende med 2019, vil Google kræver alle udvidelser udviklere at bruge en af de to-trins verifikation (2SV) mekanisme, som Google stiller til rådighed for sine konti (SMS, authenticator app, eller sikkerhedsnøgle).
Med 2SV aktiveret for konti, Google håber at forhindre, at sager, hvor hackere overtage udvikler-konti, og tryk ondsindet kode til lovlige Chrome-extensions, til skade for både udvidelse og Chrome ‘ s troværdighed.
Netop i dag ZDNet rapporterede om et af disse seneste phishing-kampagner, der er målrettet udviklere af Chrome udvidelser.
Nye Manifest v3
Den femte og sidste liste er en ny retningslinje for oprettelsen af manifestet.json-filer. Disse filer bruges til at holde instruktioner til, hvordan Chrome skal behandle og interagere med udvidelsen.
Version 3 af denne nye Manifest retningslinje vil blive indført i 2019, og Google ønsker en udvidelse udviklere til at være klar på forhånd af udrulningen.
De ændringer, for at Manifestere v3 er relateret til de nye funktioner tilføjet i Chrome 70, og mere præcist til den nye mekanismer, der kan gives til brugere for at kontrollere udvidelse tilladelser.
Google ‘ s nye Web-Butik regler kommer til at styrke de sikkerhedsforanstaltninger, som browseren kaffefaciliteter har taget for at sikre Chrome i de seneste år, såsom forbud mod installation af udvidelser på eksterne websteder, eller brug af out-of-proces iframes til at isolere nogle af de forlængelse kode fra side udvidelse kører på.
Relaterede dækning:
Alfabet lancerer VirusTotal VirksomhedenGoogle open-kilder internt redskab til at finde font-relaterede sikkerhed bugsfransk cyber-security agency åbne kilder KLIP OS, en sikkerhed hærdet OSCloudflare ender CAPTCHA udfordringer for Tor-brugereUK vagthund har ikke udstedt nogen GDPR data, brud-relaterede bøder endnu
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0