Reklama
Približne 33% všetkých používateľov prehliadača Chromium má nainštalovaný nejaký doplnok prehliadača. Doplnky nie sú len výklenkom, okrajovou technológiou, ktorú využívajú výhradne používatelia energie, ale väčšinou sú hlavnými prúdmi, pričom väčšina pochádza z Internetového obchodu Chrome a Market Add-Ons Marketplace.
Ale ako bezpečné sú?
Podľa prieskumu má byť predložený Odpoveď je na sympóziu IEEE o bezpečnosti a ochrane osobných údajov nie veľmi. Štúdia financovaná spoločnosťou Google zistila, že desiatky miliónov používateľov prehliadača Chrome majú nainštalovaných niekoľko rôznych doplnkov škodlivého softvéru, čo predstavuje 5% celkovej návštevnosti Google.
Výsledkom prieskumu bolo, že z obchodu App Store Chrome bolo vyradených takmer 200 doplnkov a spochybnilo to celkovú bezpečnosť trhu.
Čo robí spoločnosť Google, aby nás udržala v bezpečí a ako si môžete všimnúť nečestný doplnok? Som zistil.
Odkiaľ pochádzajú doplnky
Zavolajte im, čo chcete - rozšírenia prehliadača, doplnky alebo doplnky - všetky pochádzajú z rovnakého miesta. Nezávislí vývojári tretích strán vyrábajúci produkty, ktoré podľa ich názoru slúžia potrebám alebo riešia problém.
Doplnky prehliadača sa zvyčajne píšu pomocou webových technológií, ako sú HTML, CSS, a JavaScript Čo je to JavaScript a môže bez neho existovať internet?JavaScript je jednou z tých vecí, ktoré mnohí považujú za samozrejmé. Každý to používa. Čítaj viac , a zvyčajne sú vytvorené pre jeden konkrétny prehliadač, aj keď existujú služby tretích strán, ktoré uľahčujú vytváranie doplnkov prehliadača medzi platformami.
Akonáhle doplnok dosiahne úroveň dokončenia a je otestovaný, bude vydaný. Je možné distribuovať doplnok nezávisle, hoci veľká väčšina vývojárov sa namiesto toho rozhodne ich distribuovať prostredníctvom skladov rozšírení Mozilla, Google a Microsoft.
Aj keď predtým, ako sa dotkne počítača používateľa, musí sa otestovať, či je bezpečné jeho používanie. Takto to funguje v obchode Google Chrome App Store.
Zabezpečenie prehliadača Chrome v bezpečí
Od predloženia rozšírenia až po jeho prípadné zverejnenie bude 60 minút čakať. Čo sa tu deje? V zákulisí sa spoločnosť Google ubezpečuje, že doplnok neobsahuje žiadnu škodlivú logiku alebo nič, čo by mohlo ohroziť súkromie alebo bezpečnosť používateľov.
Tento proces je známy ako „Enhanced Item Validation“ (IEV) a predstavuje sériu dôkladných kontrol, ktoré skúmajú kód doplnku a jeho správanie pri inštalácii s cieľom identifikovať škodlivý softvér.
Google tiež uverejnil „príručku štýlu“ druhov, ktoré vývojárom povedia, aké správanie sú povolené, a výslovne odrádza ostatných. Napríklad je zakázané používať inline JavaScript - JavaScript, ktorý nie je uložený v samostatnom súbore - na zmiernenie rizika proti útoky na skriptovanie viacerých stránok Čo je skriptovanie medzi servermi (XSS) a prečo je to bezpečnostná hrozbaSlabiny skriptovania na viacerých stránkach sú najväčším problémom zabezpečenia webových stránok v súčasnosti. Štúdie zistili, že sú otrasne bežné - podľa najnovšej správy White Hat Security, ktorá bola vydaná v júni..., 55% webových stránok obsahovalo zraniteľné miesta XSS v roku 2011 ... Čítaj viac .
Spoločnosť Google dôrazne odrádza od používania „eval“, čo je programovací program, ktorý umožňuje kódu vykonať kód a môže predstavovať najrôznejšie bezpečnostné riziká. Tiež sa veľmi nezaujímajú o doplnky, ktoré sa pripájajú k vzdialeným službám, ktoré nepatria spoločnosti Google, pretože to predstavuje riziko Útok Man-In-The-Middle (MITM) Čo je to útok typu Človek v strede? Vysvetlenie bezpečnostného žargónuAk ste už počuli o útokoch typu „človek v strede“, ale nie ste si úplne istí, čo to znamená, toto je článok pre vás. Čítaj viac .
Sú to jednoduché kroky, ale z väčšej časti sú účinné pri zabezpečovaní bezpečnosti používateľov. Javvad Malik, Advokát pre bezpečnosť na Alienware, si myslí, že je to krok správnym smerom, ale poznamenáva, že najväčšou výzvou na zaistenie bezpečnosti používateľov je otázka vzdelávania.
„Rozlišovanie medzi dobrým a zlým softvérom je čoraz zložitejšie. Aby som parafrázoval, jeden z mansovských legitímnych programov je iný zlovoľný vírus, ktorý ohrozuje súkromie a ktorý ohrozuje súkromie, kódovaný v útrobách pekla.
„Nenechajte sa mýliť, vítam krok spoločnosti Google na odstránenie týchto škodlivých rozšírení - niektoré z nich by sa na začiatku nemali nikdy zverejniť. Ďalšou výzvou pre spoločnosti, ako je Google, je strážiť rozšírenia a definovať hranice prijateľného správania. Rozhovor, ktorý presahuje bezpečnosť alebo technológiu a je otázkou pre spoločnosť využívajúcu internet ako celok. “
Cieľom spoločnosti Google je zabezpečiť, aby používatelia boli informovaní o rizikách spojených s inštaláciou doplnkov prehliadača. Každé rozšírenie v obchode Google Chrome App Store sa výslovne týka požadovaných povolení a nesmie prekročiť povolenia, ktoré ste mu udelili. Ak rozšírenie požaduje, aby robil veci, ktoré sa zdajú nezvyčajné, máte dôvod na podozrenie.
Ale občas, ako všetci vieme, malware prechádza.
Keď Google zistí, že je zlé
Google prekvapivo udržiava dosť tesnú loď. Okolo hodiniek nie je veľa prekĺzaviek, aspoň pokiaľ ide o internetový obchod Google Chrome. Keď však niečo urobí, je to zlé.
- AddToFeedly bol doplnok Chrome, ktorý používateľom umožňoval pridať na svoje webové stránky Feedly RSS reader Feedly, Recenzia: Čo z neho robí populárnu náhradu aplikácie Google Reader?Teraz, keď je Google Reader iba vzdialenou pamäťou, boj o budúcnosť RSS je skutočne zapnutý. Jedným z najvýznamnejších produktov bojujúcich za dobrý boj je Feedly. Google Reader nebol ... Čítaj viac predplatné. Život začal ako legitímny produkt vydané vývojárom fandov, ale v roku 2014 bol zakúpený za štvormiestnu sumu. Noví vlastníci potom doplnili doplnok o adware SuperFish, ktorý vložil reklamu na stránky a vytvoril vyskakovacie okná. SuperFish získal známosť začiatkom tohto roka, keď sa to stalo Spoločnosť Lenovo ju dodávala so všetkými svojimi low-end Windows notebookmi Pozor na vlastníkov notebookov Lenovo: Vaše zariadenie môže mať predinštalovaný malvérČínsky výrobca počítačov Lenovo pripustil, že prenosné počítače dodávané do obchodov a spotrebiteľov koncom roka 2014 mali predinštalovaný malware. Čítaj viac .
- Screenshot webovej stránky umožňuje používateľom zachytiť obraz celej webovej stránky, ktorú navštevujú, a bola nainštalovaná na viac ako milióne počítačov. V Spojených štátoch však zasielala aj informácie o používateľovi na jednu adresu IP. Majitelia aplikácie WebPage Screenshot odmietli akékoľvek priestupky a trvajú na tom, že to bolo súčasťou ich postupov zabezpečenia kvality. Spoločnosť Google ho medzitým odstránila z Internetového obchodu Chrome.
- Adicionar Ao Google Chrome bol nečestné rozšírenie, ktoré unesený účty Facebook 4 Čo je potrebné urobiť okamžite, keď bol váš účet Facebook napadnutýAk máte podozrenie, že váš účet Facebook bol napadnutý hackermi, tu je postup, ako zistiť a znovu získať kontrolu. Čítaj viac a zdieľali neoprávnené stavy, príspevky a fotografie. Malvér sa šíril webom, ktorý napodobňoval službu YouTube, a vyzval používateľov, aby si doplnok nainštalovali, aby mohli sledovať videá. Google odvtedy doplnok odstránil.
Vzhľadom na to, že väčšina ľudí používa prehliadač Chrome na vykonávanie väčšiny svojich výpočtov, je znepokojujúce, že sa týmto doplnkom podarilo prekĺznuť cez trhliny. Ale aspoň tam bol procedúra zlyhanie. Keď inštalujete rozšírenia odkiaľkoľvek, nie ste chránení.
Podobne ako používatelia systému Android si môžu nainštalovať ľubovoľnú aplikáciu, ktorú chcú, Google vám to umožní nainštalujte požadované rozšírenie prehliadača Chrome Ako nainštalovať rozšírenia prehliadača Chrome ručneSpoločnosť Google sa nedávno rozhodla zakázať inštaláciu rozšírení prehliadača Chrome z webových stránok tretích strán, niektorí používatelia však stále chcú tieto rozšírenia nainštalovať. Tu je návod, ako to urobiť. Čítaj viac , vrátane tých, ktoré nepochádzajú z Internetového obchodu Chrome. Nejde iba o to, aby sa spotrebiteľom poskytla možnosť výberu, ale aby sa vývojárom umožnilo otestovať kód, na ktorom pracujú, a až potom ho odoslať na schválenie.
Je však dôležité pamätať na to, že akékoľvek rozšírenie, ktoré je nainštalované manuálne, neprešlo náročnými testovacími postupmi spoločnosti Google a môže obsahovať všetky druhy nežiaduceho správania.
Ako ste v ohrození?
V roku 2014 spoločnosť Google prevzala program Microsoft Internet Explorer ako dominantného webového prehľadávača a teraz predstavuje takmer 35% používateľov internetu. Výsledkom je, že pre každého, kto chce rýchlo zarobiť alebo distribuovať malware, zostáva to lákavý cieľ.
Spoločnosť Google sa z väčšej časti dokázala vyrovnať. Vyskytli sa incidenty, ale boli izolované. Keď sa malwaru podarilo prekĺznuť, riešili ho účelne a profesionalitu, ktorú od spoločnosti Google očakávate.
Je však zrejmé, že rozšírenia a doplnky sú potenciálnym vektorom útoku. Ak plánujete robiť niečo citlivé, napríklad prihlásiť sa do svojho online bankovníctva, môžete to urobiť v samostatnom prehliadači bez doplnkov alebo v okne inkognito. A ak máte niektoré z vyššie uvedených rozšírení, napíšte chrome: // extensions / na paneli s adresou prehliadača Chrome, potom ich vyhľadajte a odstráňte, aby ste boli v bezpečí.
Už ste niekedy omylom nainštalovali nejaký malware prehliadača Chrome? Žijete rozprávať príbeh? Chcem o tom počuť. Pošlite mi komentár nižšie a my sa zhovárate.
Kredity obrázkov: Kladivo na rozbitom pohári Cez Shutterstock
Matthew Hughes je vývojár a spisovateľ softvéru z anglického Liverpoolu. Málokedy ho nájde bez šálky silnej čiernej kávy v ruke a úplne zbožňuje jeho Macbook Pro a fotoaparát. Jeho blog si môžete prečítať na stránke http://www.matthewhughes.co.uk a sledujte ho na Twitteri na adrese @matthewhughes.