The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

01.10.2018 22:54  Google внедряет меры для противодействия вредоносным дополнениям к Chrome

Компания Google раскрыла планы по дальнейшему повышению защиты дополнений к Chrome и снижению числа вредоносных дополнений в каталоге Chrome Web Store. В последнее время участились случаи захвата контроля за популярными дополнениями в целях подстановки вредоносного кода. Также периодически всплывают факты скрытого добавления авторами дополнений кода для сбора персональных данных или передачи во внешние сервисы сведений о посещениях.

Для защиты пользователей Chrome и предотвращения появления в Chrome Web Store вредоносных дополнений запланированы следующие изменения:

  • В Chrome 70 пользователь сможет ограничить действие дополнения определённым списком сайтов или включить режим активации дополнения на каждой странице только после явного клика на значке дополнения в панели. Указанные возможности позволят защитить пользователя от скрытого совершения нецелевых действий, таких как выуживание со страницы персональных данных или подстановка рекламы. Конечной целью вносимых изменений является предоставление пользователю механизмов для управления доступом и отслеживания ситуаций, когда дополнение может получить доступ к данным просматриваемого сайта.
  • В каталоге дополнений будет модернизирован процесс рецензирования кода. Все дополнения, запрашивающие слишком большие полномочия, будут проходить дополнительную проверку. Отдельное внимание будет уделяться выявлению дополнений, использующих код, загружаемый с внешних серверов. Разработчикам дополнений рекомендовано запрашивать только минимум необходимых полномочий и включать весь код непосредственно в архив с дополнением.
  • В Chrome Web Store запрещено размещение дополнений, в которых применяется техники запутывания кода (obfuscation) с целью приведения его к нечитаемому виду, затрудняющему восстановление алгоритма работы. В том числе запрещено использование кода и ресурсов, загружаемых с внешних хостов. Новые правила применяются с сегодняшнего дня ко всем новым дополнениям. Размещённые ранее дополнения должны избавиться от подобного кода до 1 января 2019 года, в противном случае они будут удалены из каталога.

    По статистике Google более 70% вредоносных и нарушающих правила дополнений, заблокированных в Chrome Web Store, включали нечитаемый код. Наличие запутанного кода существенно усложняет процесс рецензирования, негативно влияет на производительность и повышает расход памяти. Попытка оправдать запутывание защитой проприетарного кода не выдерживает критики, так как подобные техники мало помогают от обратного инжиниринга.

    Отдельно подчёркивается, что минимизация кода (сокращение имён переменных и функций, слияние JavaScript-файлов, удаление лишних пробелов, комментариев, переводов строк и разделителей) по прежнему остаётся разрешённой. Под блокировку подпадает только запутывание кода, например, скрытие кода в блоках base64.

  • В 2019 году для разработчиков дополнений станет обязательным применение двухфакторной аудентификации при доступе к учётным записям в Chrome Web Store. Для достижения ещё большего уровня защиты рекомендуется использовать аутентификацию на базе физических ключей.
  • В 2019 году планируется предложить третью версию формата файла-манифеста, в котором будут предложены новые возможности для усиления безопасности, приватности и производительности. Целью новой версии манифеста является упрощение создания безопасных и высокопроизводительных дополнений, и усложнение возможности создания небезопасных и медленных дополнений.

    Намеченной цели планируют добиться предлагая более узкоспециализированные и декларативные API, позволяющие ограничить потребность в более широком доступе и предлагающие оптимальные с точки зрения производительности решения. Кроме того, в дополнениях ожидается появление возможности фонового выполнения работ при помощи Service Workers и предоставление дополнительных упрощённых механизмов, позволяющих пользователю управлять полномочиями расширений.



  1. Главная ссылка к новости (https://blog.chromium.org/2018...)
  2. OpenNews: В Chrome-дополнении MEGA выявлен вредоносный код для кражи паролей
  3. OpenNews: Компания Mozilla заблокировала 23 дополнения, отсылающих данные о посещениях
  4. OpenNews: В Firefox-дополнении Web Security выявлена отправка информации о посещениях
  5. OpenNews: В 5 браузерных дополнениях и 6 мобильных приложениях обнаружен шпионящий код
  6. OpenNews: Зафиксирована подмена Chrome-дополнения Hola VPN, имеющего 8.7 млн пользователей
Лицензия: CC-BY
Тип: Интересно / К сведению
Ключевые слова: chrome, extention
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (1), 22:58, 01/10/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +4 +/
    > В том числе запрещено использование кода и ресурсов, загружаемых с внешних хостов.

    прощайте блокировщики рекламы, списки теперь не загрузить.

     
     
  • 2.2, rstp14 (ok), 23:07, 01/10/2018 [^] [ответить]    [к модератору]
  • +/
    Почему? Просто будет каждый день обновление блокировщика.
     
  • 2.4, Аноним (4), 23:08, 01/10/2018 [^] [ответить]    [к модератору]
  • +2 +/
    Будут в основой пакет правила включать и обновления выпускать каждый день.
     
  • 2.5, Бабка на базаре (?), 23:09, 01/10/2018 [^] [ответить]    [к модератору]
  • +/
    Ясно.
     
  • 2.14, Аноним (14), 00:34, 02/10/2018 [^] [ответить]     [к модератору]
  • +/
    1 код разраб внутри аддона в манифесте или хтмлках прописал URL внешнего js с... весь текст скрыт [показать]
     
     
  • 3.25, Аноним (25), 02:16, 02/10/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    а чем отличается картинка от списка с правилами блокировки?
     
     
  • 4.31, Аноним (31), 05:31, 02/10/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    В исходный код картинки при желании можно запихнуть скрытый код, который будет незаметен.
     
  • 4.48, Адекватный Аноним (?), 10:51, 02/10/2018 [^] [ответить]     [к модератору]  
  • +/
    Тем, что картинку не имеет никакого смысла, кроме слежки и рекламы, выносить во ... весь текст скрыт [показать]
     
     
  • 5.52, Пнннонььри (?), 18:49, 02/10/2018 [^] [ответить]    [к модератору]  
  • +/
    Либо ублок выкинут из магзика.
     
     
  • 6.53, Аноним (14), 21:13, 02/10/2018 [^] [ответить]     [к модератору]  
  • +/
    Если бы 956 Block хотели выкинуть из каталога, то уже бы выкинули, пользуясь п... весь текст скрыт [показать]
     
  • 2.34, Emily (ok), 06:58, 02/10/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Может, просто не пользоваться Гугл Хренью? Есть другие достойные браузеры на основе Хромиума.
     
     
  • 3.36, paulus (ok), 07:16, 02/10/2018 [^] [ответить]    [к модератору]  
  • +/
    >Есть другие достойные браузеры на основе Хромиума.

    Так ты же сам ответил, что эта хрень появится во всех хромоногих ;)

     
     
  • 4.37, Emily (ok), 07:25, 02/10/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    Хром и Хромиум одно и тоже? Вы уверены?
    P.S. Совет: ещё раз прочитайте мой ник.
     
     
  • 5.49, Аноним (49), 13:22, 02/10/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Максим - певица (говорят)), извинити )
     
  • 3.41, Annoynymous (ok), 09:20, 02/10/2018 [^] [ответить]    [к модератору]  
  • +/
    Ты сам-то понимаешь, что другие достойные браузеры на базе хромого используются только потому, что совместимы с расширениями хромого? Без расширений браузеры оказываются никому не нужны.
     
  • 1.7, Аноним (7), 23:13, 01/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +11 +/
    Ничего личного, просто собирать ваши личные данные право имеет только гугл.
     
  • 1.8, Аноним (8), 23:26, 01/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    Пацаны, что думаете про ungoogled-chromium?
     
     
  • 2.10, Аноним (10), 23:28, 01/10/2018 [^] [ответить]    [к модератору]  
  • +/
    Работает как следует
     
  • 2.12, dimqua (ok), 00:21, 02/10/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    Последнее время правда обновляется более-менее регулярно А Inox помер и Iridium... весь текст скрыт [показать]
     
     
  • 3.47, Аноним (8), 10:51, 02/10/2018 [^] [ответить]     [к модератору]  
  • +/
    С заменой по регекспу всех вшитых в браузер доменов и урлов справится любой студ... весь текст скрыт [показать]
     
     
  • 4.51, dimqua (ok), 17:14, 02/10/2018 [^] [ответить]    [к модератору]  
  • +/
    Может и так, но при наличии времени и желания. Автор уже один раз, как минимум, долгое время не обновлял патчи:

    >Update as of September 2016: I, Eloston, am in a period of time where I do not have as much time as I had before to work on this project.

    Не факт, что это не случится снова. Да и т.к. сборки делают волонтеры, на деле выходит, что задержка между обновлениями еще больше и не зависит от автора.

    Не говоря уж о том, что патчи от сторонних разработчиков не панацея в принципе:

    >Although it is the top priority to eliminate bugs and privacy-invading code, there will be those that slip by due to the fast-paced growth and evolution of the Chromium project.

     
  • 1.15, Аноним (14), 00:35, 02/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Мозилла убирает модерацию каталога, гугл вводит. ппц.
     
     
  • 2.46, Твоя мама (?), 10:46, 02/10/2018 [^] [ответить]    [к модератору]  
  • +4 +/
    Это не совсем так. Mozilla убрала обязательную ручную модерацию *всех* дополнений, оставила только выборочную. Google же добавила выборочную, то есть сделала как Mozilla.
     
  • 1.17, AnonPlus (?), 00:36, 02/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Вот возможность ограничить действие дополения определёнными сайтами, это круто. Надеюсь, в Firefox добавят такую фичу. Бывают случаи, когда какое-либо дополнение ломает работу сайта, сейчас приходится ждать, пока автор дополнения это исправит (если исправит), а тут можно самому добавить сайт в исключения.
     
     
  • 2.39, пох (?), 09:02, 02/10/2018 [^] [ответить]     [к модератору]  
  • +/
    мозильные дополнения уже сто лет как умеют включаться-выключаться на ходу, не тр... весь текст скрыт [показать]
     
     
  • 3.55, AnonPlus (?), 00:34, 03/10/2018 [^] [ответить]    [к модератору]  
  • +/
    Чуешь разницу между "включать-выключать руками каждый раз" и "добавить в исключение"?
     
     
  • 4.56, пох (?), 14:30, 04/10/2018 [^] [ответить]    [к модератору]  
  • +/
    ну да, первое ты можешь себе обеспечить самостоятельно, или вообще запустить отдельную копию именно для этого чудо-сайта, второе требует изменений кода, баги в которых затронут всех, а нужно оно почти никому. Выводы о вероятности реализации подобной фичи желающие да сделают.


     
  • 1.22, Аноним (22), 01:37, 02/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    как я понимаю, совместимость гугловских дополнений с мозилловскими webextensions станет от этих нововведений ещё меньше
     
     
  • 2.43, Аноним (43), 09:33, 02/10/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    С учетом того, как нужно извернуться, чтобы добавить аддон из гугла в фф, проще сказать, что никакой совместимости не было изначально. Ну а с технической точки зрения ничего не поменяется.
     
     
  • 3.45, Аноним (45), 10:45, 02/10/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Совместимость есть - она позволяет портировать аддоны между браузерами с небольшими издержками.
     
  • 1.30, Kuromi (ok), 05:10, 02/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    "В 2019 году для разработчиков дополнений станет обязательным применение двухфакторной аудентификации при доступе к учётным записям в Chrome Web Store. Для достижения ещё большего уровня защиты рекомендуется использовать аутентификацию на базе физических ключей."

    Они выставляют такое требование только сейчас? Ну пусть с ними с физическими ключами, их еще купить надо, но скорее всего софтовую 2FA любой разработчик может сейчас включить.

     
     
  • 2.50, Аноним (-), 14:23, 02/10/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    В этом деле им главное - номера телефонов, а там уже пойдёт - локация, триальтерация и т.п.
     
  • 1.38, Аноним (38), 07:52, 02/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Как теперь будут работать радио-онлайн плееры?
     
  • 1.44, Аноним (44), 09:43, 02/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    противодействует ЧУЖИМ вредоносным дополнениям. // вот так правильно
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor