Skelbimas

Maždaug 33% visų „Chromium“ vartotojų turi kažkokį naršyklės papildinį. Priedai yra ne tik niša, bet ir pažangiausia technologija, kurią naudoja tik energijos vartotojai, tačiau jie yra populiarūs, o didžioji jų dalis yra „Chrome“ internetinėje parduotuvėje ir „Firefox“ priedų prekyvietėje.

Bet ar jie saugūs?

Remiantis tyrimais numatytas pateikti IEEE saugumo ir privatumo simpoziume atsakymas yra nelabai. „Google“ finansuotame tyrime nustatyta, kad dešimtys milijonų „Chrome“ naudotojų turi tam tikrą įvairių priedų pagrindu įdiegtų kenkėjiškų programų versiją, kuri sudaro 5% viso „Google“ srauto.

Tyrimo rezultatas - beveik 200 papildinių, kurie buvo pašalinti iš „Chrome App Store“, ir kilo abejonių dėl bendro rinkos saugumo.

Taigi, ką „Google“ daro, kad būtume saugūs, ir kaip pastebėti nesąžiningą priedą? Aš sužinojau.

Iš kur atsiranda priedai

Paskambinkite jiems, ką norėsite - naršyklės plėtiniais, papildiniais ar priedais - jie visi yra iš tos pačios vietos. Nepriklausomi trečiųjų šalių kūrėjai, gaminantys produktus, kurie, jų manymu, patenkina poreikį arba išsprendžia problemą.

plėtiniai-chromas

Naršyklės priedai paprastai rašomi naudojant žiniatinklio technologijas, tokias kaip HTML, CSS, ir „JavaScript“ Kas yra „JavaScript“ ir ar be jo gali egzistuoti internetas?„JavaScript“ yra vienas iš tų dalykų, kuriuos daugelis laiko savaime suprantamu dalyku. Visi tuo naudojasi. Skaityti daugiau , ir paprastai yra sukurti vienai konkrečiai naršyklei, nors yra keletas trečiųjų šalių paslaugų, kurios palengvina kelių platformų naršyklės papildinių kūrimą.

Kai įskiepis yra baigęs naudoti ir yra išbandytas, jis išleidžiamas. Įskiepį galima platinti nepriklausomai, nors didžioji dauguma kūrėjų pasirenka platinti juos per „Mozilla“, „Google“ ir „Microsoft“ plėtinių parduotuves.

Nors, prieš tai kada nors palietus vartotojo kompiuterį, jis turi būti patikrintas, kad būtų užtikrinta jo saugu naudoti. Štai kaip tai veikia „Google Chrome App Store“.

„Chrome“ saugumas

Nuo pratęsimo pateikimo iki jo paskelbimo laukiama 60 minučių. Kas atsitiko čia? Na, užkulisiuose „Google“ įsitikina, kad papildinyje nėra jokios kenksmingos logikos ar nieko, kas galėtų pakenkti vartotojų privatumui ar saugai.

Šis procesas yra žinomas kaip „patobulintas elementų tikrinimas“ (IEV) ir yra griežtų patikrinimų serija, tirianti įskiepio kodą ir jo elgseną diegiant, siekiant nustatyti kenkėjiškas programas.

„Google“ taip pat turi išleido „stiliaus vadovą“ rūšių, kurios kūrėjams nurodo, koks elgesys yra leidžiamas, ir aiškiai atgraso kitus. Pvz., Siekiant sumažinti riziką, susijusią su „Java“, „JavaScript“, kuri nėra saugoma atskirame faile, draudžiama. keliose svetainėse vykdomi scenarijų išpuoliai Kas yra „Cross Scripting“ (XSS) ir kodėl tai yra saugumo grėsmė?Skirtingų svetainių scenarijų pažeidžiamumas yra didžiausia šių dienų svetainių saugos problema. Remiantis naujausia „White Hat Security“ ataskaita, išleista birželio mėn., Tyrimai parodė, kad jos yra šokiruojančios - 55% svetainių 2011 m. Buvo XSS pažeidžiamumas. Skaityti daugiau .

plėtiniai-kodas

„Google“ taip pat griežtai atsisako naudoti „eval“, kuris yra programavimo konstrukcija, leidžianti kodui vykdyti kodą ir galinti kelti įvairius saugumo pavojus. Jie taip pat nelabai nori įskiepių, jungiančių prie nuotolinių, ne „Google“ paslaugų, nes tai kelia pavojų, Žmogaus viduryje (MITM) ataka Kas yra vidurio puolėjas? Saugumo žargonu paaiškintaJei girdėjote apie „vidurio žmogaus“ išpuolius, bet nesate tikri, ką tai reiškia, šis straipsnis skirtas jums. Skaityti daugiau .

Tai yra paprasti veiksmai, tačiau jie dažniausiai yra veiksmingi užtikrinant vartotojų saugumą. Javvad Malik, „Alienware“ saugumo advokatas, mano, kad tai yra žingsnis teisinga linkme, tačiau pažymi, kad didžiausias iššūkis išlaikyti vartotojus yra švietimo klausimas.

„Atskirti gerą ir blogą programinę įrangą darosi vis sunkiau. Perfrazuojant, vieno žmogaus teisėta programinė įranga yra kito vyro tapatybės vagystė, privatumą pažeidžiantis kenksmingas virusas, užkoduotas pragaro žarnyne.

Nesupraskite manęs neteisingai, džiaugiuosi „Google“ siekiu pašalinti šiuos kenkėjiškus plėtinius - kai kurie iš jų niekada neturėjo būti skelbiami viešai. Tačiau tokioms įmonėms, kaip „Google“, kylantis iššūkis yra prižiūrėti plėtinius ir apibrėžti priimtino elgesio ribas. Pokalbis, apimantis ne tik saugumą ar technologijas, bet ir visa internetu besinaudojančios visuomenės tema. “

„Google“ siekia užtikrinti, kad vartotojai būtų informuojami apie riziką, susijusią su naršyklės papildinių diegimu. Kiekvienas „Google Chrome App Store“ plėtinys aiškiai nurodo reikalingus leidimus ir negali viršyti jums suteiktų leidimų. Jei plėtinys prašo daryti dalykus, kurie atrodo neįprasti, tuomet turite pagrindo įtarinėti.

Tačiau kartais, kaip visi žinome, kenkėjiškos programos paslysta.

Kai „Google“ suklysta

Keista, kad „Google“ išlaiko gana griežtą laivą. Nelabai paslysta jų laikrodis, bent jau kalbant apie „Google Chrome“ internetinę parduotuvę. Tačiau kai kažkas daro, tai blogai.

  • „AddToFeedly“ buvo „Chrome“ papildinys, leidęs vartotojams pridėti svetainę prie savo Pakankamas RSS skaitytojas „Feedly“, peržiūrėta: kas daro tokį populiarų „Google“ skaitytojų pakeitimą?Dabar, kai „Google Reader“ yra tik tolima atmintis, kova už RSS ateitį išties vyksta. Vienas žymiausių produktų, kovojančių su gera kova, yra „Feedly“. „Google Reader“ nebuvo ... Skaityti daugiau prenumeratos. Tai pradėjo gyvenimą kaip teisėtą produktą išleido mėgėjų kūrėjas, bet buvo nupirktas už keturių skaičių sumą 2014 m. Tuomet naujieji savininkai prisegė papildinį su „SuperFish“ programine įranga, kuri įterpė reklamą į puslapius ir sukūrė iššokančius langus. „SuperFish“ išpopuliarėjo anksčiau šiais metais, kai paaiškėjo „Lenovo“ jį gabeno su visais pigiausiais „Windows“ nešiojamaisiais kompiuteriais „Lenovo“ nešiojamųjų kompiuterių savininkai saugokitės: jūsų įrenginyje gali būti iš anksto įdiegta kenkėjiška programaKinijos kompiuterių gamintojas „Lenovo“ pripažino, kad 2014 m. Pabaigoje parduotuvėse ir vartotojams pristatytuose nešiojamuosiuose kompiuteriuose iš anksto buvo įdiegta kenkėjiška programinė įranga. Skaityti daugiau .
  • „WebPage“ ekrano kopija leidžia vartotojams užfiksuoti viso lankomo tinklalapio vaizdą, kuris yra įdiegtas daugiau nei 1 mln. kompiuterių. Tačiau jis taip pat perduoda vartotojui informaciją vienu IP adresu JAV. „WebPage Screenshot“ savininkai neigė bet kokius pažeidimus ir tvirtino, kad tai buvo jų kokybės užtikrinimo praktikos dalis. Nuo to laiko „Google“ pašalino jį iš „Chrome“ internetinės parduotuvės.
  • „Adicionar Ao“ „Google Chrome“ buvo nesąžiningas plėtinys užgrobtos „Facebook“ paskyros 4 dalykai, kuriuos reikia padaryti nedelsiant, kai jūsų „Facebook“ sąskaita buvo nulaužtaJei įtariate, kad jūsų „Facebook“ paskyra buvo nulaužta, štai ką reikia padaryti norint sužinoti ir atgauti kontrolę. Skaityti daugiau ir bendrino neleistinas būsenas, įrašus ir nuotraukas. Kenkėjiška programa buvo paskleista svetainėje, kuri mėgdžiojo „YouTube“ ir liepė vartotojams įdiegti papildinį, kad būtų galima žiūrėti vaizdo įrašus. Nuo to laiko „Google“ pašalino papildinį.

Atsižvelgiant į tai, kad dauguma žmonių naudoja „Chrome“ didžiąją dalį savo skaičiavimo, kelia nerimą tai, kad šie papildiniai sugebėjo praslysti pro plyšius. Bet bent jau buvo procedūra žlugti. Įdiegdami plėtinius iš kitur, nesate apsaugoti.

Panašiai kaip „Android“ vartotojai gali įdiegti bet kurią norimą programą, „Google“ leidžia jums įdiekite bet kurį norimą „Chrome“ plėtinį Kaip rankiniu būdu įdiegti „Chrome“ plėtiniusNeseniai „Google“ nusprendė neleisti diegti „Chrome“ plėtinių iš trečiųjų šalių svetainių, tačiau kai kurie vartotojai vis tiek nori įdiegti šiuos plėtinius. Štai kaip tai padaryti. Skaityti daugiau , įskaitant tuos, kurie nėra iš „Chrome“ internetinės parduotuvės. Tai reiškia ne tik suteikti vartotojams šiek tiek papildomų pasirinkimo galimybių, bet ir leisti kūrėjams išbandyti kodą, kurį jie dirbo, prieš išsiunčiant jį patvirtinti.

plėtiniai-rankinis

Tačiau svarbu atsiminti, kad bet kokiam rankiniu būdu įdiegtam plėtiniui nebuvo taikytos griežtos „Google“ bandymo procedūros ir jame gali būti įvairių nepageidaujamų veiksmų.

Kaip jūs rizikuojate?

2014 m. „Google“ aplenkė „Microsoft Internet Explorer“ kaip dominuojančią interneto naršyklę ir dabar atstovauja beveik 35% interneto vartotojų. Todėl visiems, norintiems greitai atsipirkti ar išplatinti kenkėjiškas programas, tai tebėra viliojantis taikinys.

„Google“ didžiąja dalimi sugebėjo susitvarkyti. Incidentų buvo, tačiau jie buvo atskirti. Kai kenkėjiška programa sugebėjo paslysti, jie su ja elgėsi operatyviai ir su profesionalumu, kurio tikėjotės iš „Google“.

Tačiau akivaizdu, kad plėtiniai ir įskiepiai yra potencialus atakos vektorius. Jei ketinate daryti bet kokius slaptus veiksmus, pvz., Prisijungti prie internetinės bankininkystės, galbūt norėsite tai padaryti naudodami atskirą naršyklę be papildinių arba inkognito langą. Ir jei turite kurį nors iš išvardytų plėtinių, įveskite chromas: // plėtiniai / „Chrome“ adreso juostoje, tada juos raskite ir ištrinkite, kad tik būtumėte saugūs.

Ar kada nors netyčia įdiegėte kokią nors „Chrome“ kenkėjišką programą? Gyvai pasakoja pasaką? Aš noriu apie tai išgirsti. Pameskite man komentarą žemiau ir mes kalbėsimės.

Vaizdo kreditai: Plaktukas ant sudužusio stiklo Per „Shutterstock“

Matthew Hughes yra programinės įrangos kūrėjas ir rašytojas iš Liverpulio, Anglijos. Jis retai randamas be stiprios juodos kavos puodelio rankoje ir absoliučiai dievina savo „Macbook Pro“ ir fotoaparatą. Jo dienoraštį galite perskaityti http://www.matthewhughes.co.uk ir sekite jį „Twitter“ adresu @matthewhughes.