av Martin Brinkmann på oktober 02, 2018 i Google Chrome – Sist oppdatert: oktober 02, 2018 – 2 kommentarer
Google annonserte en rekke endringer til Google Chrome extensions system utviklet for å gjøre bruk av filtyper sikrere.
Selskapet har vært i en konstant kamp mot misbruk av utvidelser, enten det er direkte skadelig eller problematisk fra et personvern-perspektiv.
Gårsdagens kunngjøring er neste trinn å gjøre extension bruk securer. Jeg vurderte alternativ for å begrense utvidelser med ubegrenset tilgang til nettstedet data i går allerede. Chrome-brukere kan konfigurere utvidelser til “klikk for å aktivere eller et delsett av nettsteder de aktiverer automatisk starter med Chrome 70.
Extension utviklere står overfor en rekke endringer som godt. Utvidelser som bruker forvirrende koden er ikke lenger tillatt på Butikken. Eksisterende utvidelser som bruker koden obfuscation har en frist på 90 dager, mens nye utvidelser kan ikke ha noen forvirrende koden som de vil bli nektet på annen måte.
Google avslørte at over 70% av skadelig og bryter retningslinjene utvidelser gjør bruk av koden obfuscation, ofte for å unngå å bli oppdaget av de Store automatiske skanninger å oppdage ondsinnet eller problematisk utvidelser.
Endringen påvirker ikke minification innsats for å redusere størrelsen av koden. Minification teknikker som fortsatt er tillatt inkluderer fjerning av mellomrom eller kode kommentarer, eller avkorting av variabler og funksjoner.
Eksisterende utvidelser som tilbys i Butikken ved den tid har 90 dager til å laste opp extension kode som ikke er forvirrende. Utvidelser som ikke klarer å oppfylle innen fristen, vil bli fjernet fra Chrome Web Store som en konsekvens.
En annen endring som påvirker extension utviklere direkte er at utviklere må aktivere 2-trinns bekreftelse for utvikleren kontoer i 2019.
Kriminelle har prøvd (og lyktes) i å få tilgang til utvikleren kontoer i fortiden for å kapre kontoer og presse ut extension oppdateringer som fører til skadelig eller problematisk kode
Den tredje og siste endringen påvirker prosessen. Chrome-utvidelser er gjennomgått automatisk når en utvikler sender dem. Mens automatisering er kostnadseffektiv, det gir ikke 100% beskyttelse mot skadelige utvidelser som tidligere har vist.
Utvidelser “som ber om kraftig tillatelser” er nødt til å passere “ekstra garanti” anmeldelser og utvidelser som “bruk eksternt vert koden” vil bli overvåket nøye.
Google planlegger å lansere en oppdatert Manifest for utvidelser i 2019 “for å skape sterkere sikkerhet, personvern og ytelse garantier”. Viktige mål er å gi brukerne flere mekanismer for å kontrollere extension tillatelser, Api-er som er “mer snevert-omfattet”, og innføring av nye kapasiteter.
Avsluttende Ord
Google endelig gjør noe med malware og problematisk utvidelser i Chrome Web Store. Banning utvidelser med forvirrende koden er en velkommen trinn og så er det ekstra oppfølging og vurdering trinn for enkelte utvidelser.
Min personlige favoritt er muligheten til å begrense hvor utvidelser kan kjøres som er designet til å kjøre på alle sider.
Nå er Du: tror du endringene er nok til å gjøre Chrome nettmarked renere?