Noll
Google meddelade idag fem nya regler för Chrome Web Store, en portal där användare går att ladda ner Chrome-tillägg. De nya reglerna är främst avsedda att förhindra att skadlig tillägg från att nå Web Butik, men också för att minska mängden skada de gör på klient-sidan.
Inga fler förlängningar med krypterat kod
Den första nya regel som Google meddelade idag är att det gäller att läsa av koden. Enligt Google, med start idag, Chrome Web Store kommer inte längre att tillåta tillägg med krypterat kod.
Förvirring är avsiktlig handling för att skapa kod som är svår för människor att förstå.
Detta ska inte förväxlas med minified (komprimerat) – kod. Minification eller kompression hänvisar till praxis för att ta bort blanksteg, nya rader eller förkorta variabler för den skull prestanda. Minified kod kan vara lätt att de-minified, medan deobfuscating krypterat kod tar en hel del tid
Enligt Google, runt 70 procent av alla skadliga Chrome-tillägg företaget block använd kod förvirring.
Eftersom kod förvirring lägger också en prestanda hit, Google hävdar att det inte finns några fördelar med att använda kod förvirring på alla, därav anledningen till att förbjuda sådana förlängningar helt och hållet. Utvecklare har fram till och med den 1 januari 2019 till att ta bort alla krypterat kod från sin förlängning.
Nya tillägg översyn
Den andra regeln är att Google infört idag är en ny process för alla som inkommer för att vara noterad på Chrome Web Store.
Google säger att alla tillägg att begära att få tillgång till kraftfull webbläsare behörigheter kommer att utsättas för något som kallas Google en “extra överensstämmelse översyn.”
Helst, Google skulle föredra om förlängningar “snävt begränsad” –frågade bara de behörigheter de behöver för att göra sitt jobb, utan att begära tillgång till extra behörigheter som en backup för framtida funktioner.
Dessutom kan Google också sagt att en extra överensstämmelse översyn kommer också utlösas om extensions använder värd distans kod, ett tecken på att utvecklarna vill ha möjlighet att ändra den kod som de levererar till användare vid körning, möjligen för att distribuera skadlig kod efter den översyn som har skett. Google säger sådant tillägg skulle utsättas för att “fortlöpande övervakning.”
Per-webbplatsbehörigheter
Den tredje nya regeln kommer att stödjas av en ny funktion som kommer att landa i Chrome 70, som släpps den här månaden.
Med Chrome 70, säger Googles användare kommer att ha möjlighet att begränsa tillägg till vissa platser bara, förhindra att potentiellt farliga tillägg från att köra på känsliga sidor, såsom e-banking portaler, web cryptocurrency plånböcker, eller e-post inkorgar.
Dessutom, Krom 70 kommer också att kunna begränsa tillägg till en användare klickar på, vilket innebär att förlängning inte kommer att köra på en sida tills användaren klickar på en knapp eller ett alternativ i Chrome-menyn.
Bild: Google
Krävs 2-step verification
Den fjärde nya regeln är inte för tillägg per se, men för förlängning utvecklare. På grund av ett stort antal phishing-kampanjer som har ägt rum under det senaste året, från och med 2019, Google kommer att kräva att alla förlängning utvecklare att använda en av de två-stegs-verifiering (2SV) mekanism som Google tillhandahåller för sina konton (SMS, authenticator, eller säkerhetsnyckel).
Med 2SV aktiverat för konton, hoppas Google att förhindra fall där hackare kan ta över utvecklare konton och tryck skadlig kod till legitima Chrome-tillägg, vilket skadar både förlängning och Chrome: s trovärdighet.
Bara idag ZDNet rapporterade om en av dessa senaste phishing-kampanjer som riktade utvecklare av tillägg för Chrome.
Nya Manifest v3
Den femte och sista listan är en ny riktlinje för skapandet av manifestet.json-filer. Dessa filer används för att hålla instruktioner för hur Chrome ska hantera och interagera med förlängning.
Version 3 av detta nya Manifest riktlinje kommer att införas i och med 2019, och Google vill att förlängning utvecklare för att vara redo i förväg av utbyggnaden.
De förändringar att Manifestera v3 är relaterade till de nya funktionerna i Chrome 70, och mer exakt till de nya mekanismer som ges till användare för att kontrollera förlängning av behörigheter.
Google ‘ s nya Web Store regler kommer att stärka säkerheten åtgärder att webbläsaren tekokare har vidtagits för att säkra Chrome under de senaste åren, såsom förbud mot installation av tillägg på avlägsna platser, eller användning av out-of-process iframes för att isolera vissa av förlängningen koden från sidan förlängning löper på.
Relaterade täckning:
Alfabetet lanserar VirusTotal FöretagetGoogle öppna källor internt verktyg för att hitta font-relaterade säkerhetsproblemfranska cyber-security agency öppna källor KLIPP OS, en säkerhet härdat OSCloudflare slutar CAPTCHA utmaningar för Tor-användareSTORBRITANNIEN vakthund har inte utfärdat några GDPR dataintrång-relaterade böter ännu
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0