The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Google внедряет меры для противодействия вредоносным дополнениям к Chrome

01.10.2018 22:54

Компания Google раскрыла планы по дальнейшему повышению защиты дополнений к Chrome и снижению числа вредоносных дополнений в каталоге Chrome Web Store. В последнее время участились случаи захвата контроля за популярными дополнениями в целях подстановки вредоносного кода. Также периодически всплывают факты скрытого добавления авторами дополнений кода для сбора персональных данных или передачи во внешние сервисы сведений о посещениях.

Для защиты пользователей Chrome и предотвращения появления в Chrome Web Store вредоносных дополнений запланированы следующие изменения:

  • В Chrome 70 пользователь сможет ограничить действие дополнения определённым списком сайтов или включить режим активации дополнения на каждой странице только после явного клика на значке дополнения в панели. Указанные возможности позволят защитить пользователя от скрытого совершения нецелевых действий, таких как выуживание со страницы персональных данных или подстановка рекламы. Конечной целью вносимых изменений является предоставление пользователю механизмов для управления доступом и отслеживания ситуаций, когда дополнение может получить доступ к данным просматриваемого сайта.
  • В каталоге дополнений будет модернизирован процесс рецензирования кода. Все дополнения, запрашивающие слишком большие полномочия, будут проходить дополнительную проверку. Отдельное внимание будет уделяться выявлению дополнений, использующих код, загружаемый с внешних серверов. Разработчикам дополнений рекомендовано запрашивать только минимум необходимых полномочий и включать весь код непосредственно в архив с дополнением.
  • В Chrome Web Store запрещено размещение дополнений, в которых применяется техники запутывания кода (obfuscation) с целью приведения его к нечитаемому виду, затрудняющему восстановление алгоритма работы. В том числе запрещено использование кода и ресурсов, загружаемых с внешних хостов. Новые правила применяются с сегодняшнего дня ко всем новым дополнениям. Размещённые ранее дополнения должны избавиться от подобного кода до 1 января 2019 года, в противном случае они будут удалены из каталога.

    По статистике Google более 70% вредоносных и нарушающих правила дополнений, заблокированных в Chrome Web Store, включали нечитаемый код. Наличие запутанного кода существенно усложняет процесс рецензирования, негативно влияет на производительность и повышает расход памяти. Попытка оправдать запутывание защитой проприетарного кода не выдерживает критики, так как подобные техники мало помогают от обратного инжиниринга.

    Отдельно подчёркивается, что минимизация кода (сокращение имён переменных и функций, слияние JavaScript-файлов, удаление лишних пробелов, комментариев, переводов строк и разделителей) по прежнему остаётся разрешённой. Под блокировку подпадает только запутывание кода, например, скрытие кода в блоках base64.

  • В 2019 году для разработчиков дополнений станет обязательным применение двухфакторной аудентификации при доступе к учётным записям в Chrome Web Store. Для достижения ещё большего уровня защиты рекомендуется использовать аутентификацию на базе физических ключей.
  • В 2019 году планируется предложить третью версию формата файла-манифеста, в котором будут предложены новые возможности для усиления безопасности, приватности и производительности. Целью новой версии манифеста является упрощение создания безопасных и высокопроизводительных дополнений, и усложнение возможности создания небезопасных и медленных дополнений.

    Намеченной цели планируют добиться предлагая более узкоспециализированные и декларативные API, позволяющие ограничить потребность в более широком доступе и предлагающие оптимальные с точки зрения производительности решения. Кроме того, в дополнениях ожидается появление возможности фонового выполнения работ при помощи Service Workers и предоставление дополнительных упрощённых механизмов, позволяющих пользователю управлять полномочиями расширений.



  1. Главная ссылка к новости (https://blog.chromium.org/2018...)
  2. OpenNews: В Chrome-дополнении MEGA выявлен вредоносный код для кражи паролей
  3. OpenNews: Компания Mozilla заблокировала 23 дополнения, отсылающих данные о посещениях
  4. OpenNews: В Firefox-дополнении Web Security выявлена отправка информации о посещениях
  5. OpenNews: В 5 браузерных дополнениях и 6 мобильных приложениях обнаружен шпионящий код
  6. OpenNews: Зафиксирована подмена Chrome-дополнения Hola VPN, имеющего 8.7 млн пользователей
Лицензия: CC-BY
Тип: Интересно / К сведению
Ключевые слова: chrome, extension
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (34) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (1), 22:58, 01/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > В том числе запрещено использование кода и ресурсов, загружаемых с внешних хостов.

    прощайте блокировщики рекламы, списки теперь не загрузить.

     
     
  • 2.2, rstp14 (ok), 23:07, 01/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Почему? Просто будет каждый день обновление блокировщика.
     
  • 2.4, Аноним (4), 23:08, 01/10/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Будут в основой пакет правила включать и обновления выпускать каждый день.
     
  • 2.5, Бабка на базаре (?), 23:09, 01/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ясно.
     
  • 2.14, Аноним (14), 00:34, 02/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >не отличает код и ресурсы от данных

    1 код: разраб внутри аддона (в манифесте или хтмлках) прописал URL внешнего js скрипта. В привилегированный контекст грузится код из внешнего источника, что есть риск безопасности.
    2 ресурсы: разраб внутри аддона (в манифесте или хтмлках) прописал URL внешнего css или картинки. В интерфейс браузера грузится внешний контент, что необоснованная угроза приватности (можно отслеживать запуски браузера по логам) и показ рекламы - конкуренция Гуглу.
    3 то же самое, но с подгрузкой аяксом


    Списки блокировки и юзерскрипты сюда не попадают: юзерскрипты пользователь ставит сам, а списки блокировки активным когтентом не являются и домой не звонят.

     
     
  • 3.25, Аноним (25), 02:16, 02/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    а чем отличается картинка от списка с правилами блокировки?
     
     
  • 4.31, Аноним (31), 05:31, 02/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В исходный код картинки при желании можно запихнуть скрытый код, который будет незаметен.
     
  • 4.48, Адекватный Аноним (?), 10:51, 02/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Тем, что картинку не имеет никакого смысла, кроме слежки и рекламы, выносить во внешний ресурс и потом хотлинкить.

    Т.е. если дополнение так делает, значит разработчик его либо недостаточно квалифицирован, либо намерен либо трекать, либо рекламировать, либо помогать это делать.

    Списки же uBlockа - это то, что должно регулярно обновляться, и в этом в том числе смысл этого дополнения.

    Я просто предполагаю, что правила интерпретируются адекватными людьми, а не теми, кто хочет прикопаться к каждой букве и интерпретировать правила чисто формально, что приведёт к нарушению работы стора и такого работника просто переведут на другую работу, не требующую здравого смысла, либо вообще уволят нахрен.

     
     
  • 5.52, Пнннонььри (?), 18:49, 02/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Либо ублок выкинут из магзика.
     
     
  • 6.53, Аноним (14), 21:13, 02/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Если бы μBlock хотели выкинуть из каталога, то уже бы выкинули, пользуясь пунктом ToS, разрешающем владельцу сайта так делать, как выкинули XPrivacy и AdAway из Маркета.  Его не выкинули по одной простой причине - если так сделать, то народ ломанётся на ФФ.
     
  • 2.34, Emily (ok), 06:58, 02/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Может, просто не пользоваться Гугл Хренью? Есть другие достойные браузеры на основе Хромиума.
     
     
  • 3.36, paulus (ok), 07:16, 02/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >Есть другие достойные браузеры на основе Хромиума.

    Так ты же сам ответил, что эта хрень появится во всех хромоногих ;)

     
     
  • 4.37, Emily (ok), 07:25, 02/10/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Хром и Хромиум одно и тоже? Вы уверены?
    P.S. Совет: ещё раз прочитайте мой ник.
     
     
  • 5.49, Аноним (49), 13:22, 02/10/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Максим - певица (говорят)), извинити )
     
  • 3.41, Annoynymous (ok), 09:20, 02/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ты сам-то понимаешь, что другие достойные браузеры на базе хромого используются только потому, что совместимы с расширениями хромого? Без расширений браузеры оказываются никому не нужны.
     

  • 1.7, Аноним (7), 23:13, 01/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    Ничего личного, просто собирать ваши личные данные право имеет только гугл.
     
  • 1.8, Аноним (8), 23:26, 01/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Пацаны, что думаете про ungoogled-chromium?
     
     
  • 2.10, Аноним (10), 23:28, 01/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Работает как следует
     
  • 2.12, dimqua (ok), 00:21, 02/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Our favorite infosec expert (whom we’ve cited before on a few matters) SwiftOnSecurity, let us know today that Ungoogled Chromium is a student project and doesn’t have the ability to update itself (and likely hasn’t been updated.) In that regard, we can’t recommend it.
    > https://lifehacker.com/ungoogled-chromium-strips-away-the-privacy-invading-fea

    Последнее время правда обновляется более-менее регулярно. А Inox помер и Iridium еле дышит. :-(

     
     
  • 3.47, Аноним (8), 10:51, 02/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Ungoogled Chromium is a student project

    С заменой по регекспу всех вшитых в браузер доменов и урлов справится любой студент. А патчи там отнюдь не только лишь авторства вышеназванного "student", но и от debian, inox, iridium, bromite etc. Т.е. проект опирается на уже имеющиеся, не "student project"-овские патчи.

    > doesn’t have the ability to update itself

    Впрочем, как и ванильный хромиум (не путать с хромом). В мире GNU/Linux обновлениями традиционно занимается пакетный менеджер, а не само приложение: осталось лишь оформить репозиторий для популярных дистров.

     
     
  • 4.51, dimqua (ok), 17:14, 02/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Может и так, но при наличии времени и желания. Автор уже один раз, как минимум, долгое время не обновлял патчи:

    >Update as of September 2016: I, Eloston, am in a period of time where I do not have as much time as I had before to work on this project.

    Не факт, что это не случится снова. Да и т.к. сборки делают волонтеры, на деле выходит, что задержка между обновлениями еще больше и не зависит от автора.

    Не говоря уж о том, что патчи от сторонних разработчиков не панацея в принципе:

    >Although it is the top priority to eliminate bugs and privacy-invading code, there will be those that slip by due to the fast-paced growth and evolution of the Chromium project.

     

  • 1.15, Аноним (14), 00:35, 02/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Мозилла убирает модерацию каталога, гугл вводит. ппц.
     
     
  • 2.46, Твоя мама (?), 10:46, 02/10/2018 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Это не совсем так. Mozilla убрала обязательную ручную модерацию *всех* дополнений, оставила только выборочную. Google же добавила выборочную, то есть сделала как Mozilla.
     

  • 1.17, AnonPlus (?), 00:36, 02/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Вот возможность ограничить действие дополения определёнными сайтами, это круто. Надеюсь, в Firefox добавят такую фичу. Бывают случаи, когда какое-либо дополнение ломает работу сайта, сейчас приходится ждать, пока автор дополнения это исправит (если исправит), а тут можно самому добавить сайт в исключения.
     
     
  • 2.39, пох (?), 09:02, 02/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    мозильные дополнения уже сто лет как умеют включаться-выключаться на ходу, не требуя рестарта браузера. Если ты жить не можешь без какого-то уродца на каком-то суперуникальном сайте - ты и сейчас можешь это себе организовать.

    а нужна такая фича, как обычно, десятой процента от всех нормальных пользователей мурзилы.

     
     
  • 3.55, AnonPlus (?), 00:34, 03/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Чуешь разницу между "включать-выключать руками каждый раз" и "добавить в исключение"?
     
     
  • 4.56, пох (?), 14:30, 04/10/2018 [^] [^^] [^^^] [ответить]  
  • +/
    ну да, первое ты можешь себе обеспечить самостоятельно, или вообще запустить отдельную копию именно для этого чудо-сайта, второе требует изменений кода, баги в которых затронут всех, а нужно оно почти никому. Выводы о вероятности реализации подобной фичи желающие да сделают.


     

  • 1.22, Аноним (22), 01:37, 02/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    как я понимаю, совместимость гугловских дополнений с мозилловскими webextensions станет от этих нововведений ещё меньше
     
     
  • 2.43, Аноним (43), 09:33, 02/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    С учетом того, как нужно извернуться, чтобы добавить аддон из гугла в фф, проще сказать, что никакой совместимости не было изначально. Ну а с технической точки зрения ничего не поменяется.
     
     
  • 3.45, Аноним (45), 10:45, 02/10/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Совместимость есть - она позволяет портировать аддоны между браузерами с небольшими издержками.
     

  • 1.30, Kuromi (ok), 05:10, 02/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    "В 2019 году для разработчиков дополнений станет обязательным применение двухфакторной аудентификации при доступе к учётным записям в Chrome Web Store. Для достижения ещё большего уровня защиты рекомендуется использовать аутентификацию на базе физических ключей."

    Они выставляют такое требование только сейчас? Ну пусть с ними с физическими ключами, их еще купить надо, но скорее всего софтовую 2FA любой разработчик может сейчас включить.

     
     
  • 2.50, Аноним (-), 14:23, 02/10/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В этом деле им главное - номера телефонов, а там уже пойдёт - локация, триальтерация и т.п.
     

  • 1.38, Аноним (38), 07:52, 02/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как теперь будут работать радио-онлайн плееры?
     
  • 1.44, Аноним (44), 09:43, 02/10/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    противодействует ЧУЖИМ вредоносным дополнениям. // вот так правильно
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру