Nul
Google kondigde vandaag vijf nieuwe regels voor de Chrome Web Store, de portal waar gebruikers ga naar download Chrome-extensies. De nieuwe regels zijn vooral bedoeld om te voorkomen dat kwaadaardige extensies van het bereiken van de webwinkel, maar ook tot vermindering van het bedrag van de schade die ze doen client-side.
Niet meer extensies met obfuscated code
De eerste nieuwe regel is dat Google kondigde vandaag is in verband met code leesbaarheid. Volgens Google, is vanaf vandaag de Chrome Web Store zal niet langer toestaan van uitbreidingen met obfuscated code.
Verduistering is de opzet van het creëren van de broncode die moeilijk voor mensen om te begrijpen.
Dit moet niet verward worden met minified (gecomprimeerd) code. Minification of compressie verwijst naar de praktijk van het verwijderen van spaties, nieuwe regels, of verkorting van de variabelen omwille van de prestaties. Minified code kan gemakkelijk worden de minified, terwijl deobfuscating obfuscated code kost veel tijd
Volgens Google, ongeveer 70 procent van alle schadelijke Chrome-extensies het bedrijf blokken code gebruiken verduisteren.
Sinds de code verduistering voegt ook een performance hit, Google pleit er zijn geen voordelen in het gebruik van code verduisteren, en is dus de reden om een verbod op dergelijke extensies helemaal. Ontwikkelaars hebben tot 1 januari 2019 te verwijderen obfuscated code van hun extensie.
Nieuwe extensies review proces
De tweede regel van Google in plaats van vandaag is er een nieuwe review proces voor alle extensies ingediend om opgenomen te worden in de Chrome Web Store.
Google zegt dat alle extensies die toegang vragen tot krachtige browser machtigingen worden onderworpen aan iets dat Google de zogenaamde ‘ extra compliance review.”
Bij voorkeur Google liever als de extensies zijn “eng-bereik” –gevraagd voor alleen de machtigingen die ze nodig hebben om hun werk te doen, zonder het aanvragen van toegang tot extra machtigingen als back-up voor toekomstige functies.
Bovendien, Google heeft ook gezegd dat een extra compliance review zal ook worden geactiveerd als de extensies gebruik van extern gehoste code, een teken dat de ontwikkelaars de mogelijkheid wilt om de code te wijzigen die zij leveren aan gebruikers tijdens runtime, eventueel implementeren van kwaadaardige code na de beoordeling heeft plaatsgevonden. Google zei dat dergelijke uitbreidingen zullen worden onderworpen aan “lopende monitoring.”
Per-machtigingen voor de site
De derde nieuwe regel zal worden ondersteund door een nieuwe functie die land in Chrome 70, ingesteld om te worden uitgebracht deze maand.
Met Chrome 70, Google zegt dat gebruikers hebben de mogelijkheid te beperken extensies voor bepaalde sites alleen, het voorkomen van mogelijk gevaarlijke extensies uit te voeren op de gevoelige pagina ‘ s, zoals e-banking, portals, web cryptocurrency portemonnee, of e-mail inboxen.
Bovendien, Chrome 70 zal ook in staat zijn te beperken uitbreidingen van een gebruiker klik, wat betekent dat de uitbreiding niet uitgevoerd op een pagina nadat de gebruiker op een knop of een optie in Chrome-menu.
Afbeelding: Google
Vereist 2-staps-verificatie
De vierde nieuwe regel is niet voor verlengingen per se, maar voor extensie-ontwikkelaars. Door een groot aantal van phishing campagnes die hebben plaatsgevonden in het afgelopen jaar, te beginnen met 2019, Google zal vereisen dat alle de extensie-ontwikkelaars om gebruik één van de twee-staps-verificatie (2SV) mechanisme dat Google biedt voor de rekeningen (SMS, authenticator-app, of beveiligingssleutel).
Met 2SV ingeschakeld voor accounts, Google hoopt te voorkomen dat gevallen waar hackers over te nemen developer accounts en druk schadelijke code legitieme Chrome-extensies, beschadiging van zowel de Chrome-extensie en de geloofwaardigheid.
Alleen vandaag ZDNet gemeld op één van deze nieuwste phishing campagnes die zijn gericht op ontwikkelaars van Chrome-extensies.
Nieuwe Manifest v3
De vijfde en laatste lijst is een nieuwe richtlijn voor de oprichting van een manifest.json-bestanden. Deze bestanden worden gebruikt om instructies voor de manier waarop Chrome moeten behandelen en interactie met de extensie.
Versie 3 van dit nieuwe Manifest richtsnoer zal worden geïntroduceerd in 2019, en Google wil extensie-ontwikkelaars om klaar te zijn vóór de uitrol.
De wijzigingen te Manifesteren v3 zijn in verband met de nieuwe functies die zijn toegevoegd in Chrome 70, en meer in het bijzonder aan de nieuwe mechanismen die aan gebruikers worden verleend voor het regelen van de uitbreiding van de machtigingen.
Google ‘ s nieuwe Web Winkel-regels komen voor het versterken van de veiligheidsmaatregelen die de browser maker heeft genomen om ervoor te zorgen Chrome in de afgelopen jaren, zoals het verbieden van de installatie van extensies die gehost wordt op externe sites, of het gebruik van out-of-process iframes voor het isoleren van een aantal van de extensie-code van de pagina de extensie draait.
Verwante dekking:
Alfabet lanceert VirusTotal EnterpriseGoogle open-sources interne tool voor het vinden van font-gerelateerde security bugsfranse cyber-security agency open bronnen CLIP OS, een security gehard OSCloudflare eindigt CAPTCHA uitdagingen voor Tor gebruikersVERZENDING watchdog niet heeft uitgegeven een GDPR schending van de beveiliging-gerelateerde boetes nog
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0