20:28
18/10/2018

Od wprowadzenia systemu rozszerzeń do Google Chrome minęło już prawie 10 lat. Obecnie w sklepie dostępnych jest ponad 180 000 dodatków. Wraz z popularnością systemu, rośnie także liczba zagrożeń z nim związanych, więc Google postanowiło coś z tym zrobić.

Kontrola użytkownika

Obecnie, rozszerzenia mają dostęp do wszystkich danych i zawartości stron, które są przeglądane przez użytkownika. Startując od Google Chrome w wersji 70, użytkownik będzie mógł to kontrolować i na przykład ograniczyć dostęp rozszerzenia do konkretnych stron lub aktywować je po kliknięciu.

Warto jednak nadmienić, że ta zmiana nie wpłynie na ustawienia obecnie zainstalowanych aplikacji i te trzeba będzie zmienić ręcznie. Dla developerów przygotowano poradnik w tej kwestii.

Dodatkowa weryfkacja

Niebawem wszelkie aplikacje wymagające zaawansowanych uprawnień będą podlegały dodatkowej weryfikacji działania oraz zgodności. Google zwraca uwagę, że uprawnienia aplikacji powinny być zminimalizowane do poziomu, który jest wymagany do jej działania, jak również, że aplikacja powinna w jak najmniejszym stopniu korzystać ze zdalnie hostowanego kodu.

Obfuskacja jest zła

Od 1 października, Chrome Web Store nie zezwala też na rozszerzenia z zaciemnionym kodem. Zasada ta dotyczy zarówno kodu w samej aplikacji, jak i tego zewnętrznego z którego korzysta rozszerzenie. Obostrzenie to odnosi się do wszystkich nowo zgłaszanych dodatków, a istniejące dostały 90-dniowy okres czasu na wprowadzenie zmian wykluczających zaciemniony kod. Ci, którzy się nie zastosują, zostaną usunięci ze “sklepu” na początku 2019 roku.

Google wyjaśnia, że obecnie ponad 70% złośliwych i naruszających zasady rozszerzeń, które następnie są blokowane w Chrome Web Store, zawiera zaciemniony kod. Dodatkowo, wpływa to znacząco na wydłużenie czasu recenzji i oceny aplikacji przed dodaniem do sklepu.

Wymagane 2FA

Od 2019 roku każde konto dewelopera będzie także musiało mieć aktywowane dwuskładnikowe uwierzytelnianie (2FA). Ma to na celu zapewnienie dodatkowej ochrony, zwłaszcza dla twórców najpopularniejszych aplikacji, są narażeni na próby przejęcia kont. A takie przejęcie kończy się tragicznie — podmiana kodu, automatyczna aktualizacja dodatku w dziesiątkach jeśli nie setkach tysięcy przeglądarek i tyle samo “zainfekowanych” ofiar. Tu warto wspomnieć o googlowym Advanced Protection Program, dzięki któremu użytkownik dodatkowo korzysta z klucza fizycznego w celu zapewnienia dodatkowej ochrony swojego konta.

Takim działaniom ze strony Google możemy tylko przyklasnąć. Bezpieczeństwo rozszerzeń w Google Chrome jest istotne, bo korzystają z nich miliony użytkowników, a podrzucić tam “zgniłe jajo” jest bardzo łatwo. Oby takie same porządki objęły też sklep z aplikacjami na Androida…

Przeczytaj także:

18 komentarzy

Dodaj komentarz
  1. ej, co to jest zaciemniony kod? pytam poważnie, to nie jest zarzutka

    • Kod, który został poddany temu: https://en.wikipedia.org/wiki/Obfuscation_(software) albo cokolwiek napisane w perlu (nawet bez “zaciemnienia”).

    • “Panie władzo, to nie ja pisałem, to kot!”

    • Słaby żart z tym Perl’em.

    • > “Słaby żart z tym Perl’em.”

      Właśnie, że bardzo dobry ;-D Choć ja napisałbym raczej o Java ;-P

    • Właśnie w tym rzecz, że każdy może to napisać o języku, na którym się słabo zna. Dla kogoś, kto nie programuje nawet tyci-tyci (wliczając w to shell script’y), każdy kod będzie “zaciemniony”…

    • Z tym ze to napisal etatowy programista perla :)

    • OK, odszczekuję :D Żarty na temat własnej specjalizacji zyskują przez kontekst.

    • Perl -> write only language :-)

  2. Z tą obfuskacją to powinni zacząć od samych siebie

    • Co wolno wojewodzie, to nie tobie…

  3. A gdyby tak dodać do przeglądarek opcję blokowania stron z “zaciemnionym” kodem? To powszechna praktyka przy wstrzykiwaniu reklam, ale także próba ukrycia np. bezpośrednich linków do streamów… Nie byłoby fajniej? Połowa sieci utonęłaby w niebycie ;)

    • A zaglądałeś kiedyś w źródła google.com?

    • Praktycznie każda w miarę nowoczesna aplikacja webowa ma kod “zaciemniony”. Mało kto pisze w tej chwili docelowy kod, większość JS i często również HTML/CSS przelatuje przez transpilację, usuwanie whitespace’u, zmianę nazw zmiennych na krótsze itp. itd.

  4. Z tego Google Chrome, to się robi w miarę znośny system operacyjny. Tylko, przegładarkę ma słabą w standardzie.

  5. Drogi Niebezpieczniku, śmiejecie się z autentykacji, a piszecie o “obfuskacji”? Poza tym, co jeszcze mierzy się w dniach, że zaznaczacie, że chodzi o czas?

    • Odległość: 25 902 068 371 200 metrów

  6. mam nadzieję, że to wstęp do sprzątania syfu w Google play

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.