Kako varna je spletna trgovina Chrome?

Oglas

Približno 33% vseh Chromium uporabnikov ima nameščen nekakšen vtičnik za brskalnik. Namesto da so niša, robne tehnologije, ki jih uporabljajo izključno uporabniki električne energije, so dodatki pozitivno usmerjeni, večina jih prihaja iz spletne trgovine Chrome in tržnice dodatkov Firefox.

Toda kako varni so?

Glede na raziskave zaradi predstavitve na simpoziju IEEE o varnosti in zasebnosti je odgovor ne zelo. Raziskava, ki jo je financirala Google, je pokazala, da je na več deset milijonov uporabnikov Chroma nameščena različna zlonamerna programska oprema, ki temelji na dodatkih, kar predstavlja 5% celotnega Googlovega prometa.

Rezultat raziskave je bil, da so iz trgovine Chrome App Store odpravili skoraj 200 vtičnikov in postavili pod vprašaj splošno varnost na trgu.

Torej, kaj počne Google, da nas varuje in kako lahko opazite lopov dodatek? Ugotovil sem.

Od kod prihajajo dodatki

Pokličite jih, kar boste - razširitve brskalnika, vtičnike ali dodatke - vsi prihajajo z istega mesta. Neodvisni zunanji razvijalci, ki izdelujejo izdelke, za katere menijo, da ustrezajo potrebam, ali rešujejo težavo.

Dodatki za brskalnike so običajno napisani s pomočjo spletnih tehnologij, kot so HTML, CSS, in JavaScript Kaj je JavaScript in ali lahko internet obstaja brez njega?JavaScript je ena tistih stvari, ki jih mnogi jemljejo kot samoumevne. Vsi ga uporabljajo. Preberi več in so navadno zgrajeni za en določen brskalnik, čeprav obstajajo nekatere storitve drugih proizvajalcev, ki olajšajo ustvarjanje vtičnikov za brskalnike za več platform.

Ko je vtičnik dosegel stopnjo dokončanosti in je preizkušen, se nato sprosti. Vtičnik je mogoče distribuirati neodvisno, čeprav se velika večina razvijalcev namesto tega odloči za distribucijo prek trgovin Mozilla, Google in Microsoftovih razširitev.

Čeprav se kdaj dotakne uporabniškega računalnika, ga je treba preizkusiti, da se prepriča, da je varen za uporabo. Tukaj je opisano, kako deluje v Google Chrome App Store.

Ohranjanje Chroma

Od predložitve razširitve do njene morebitne objave je na voljo 60 minutno čakanje. Kaj se zgodi tukaj? No, Google v zakulisju skrbi, da vtičnik ne vsebuje zlonamerne logike ali česar koli, kar bi lahko ogrozilo zasebnost ali varnost uporabnikov.

Ta postopek je znan kot „izboljšana validacija predmeta“ (IEV) in predstavlja vrsto strogih pregledov, ki pregledujejo kodo vtičnika in njegovo vedenje, ko je nameščen, da bi ugotovili zlonamerno programsko opremo.

Tudi Google je objavil „vodnik po slogu“ vrst, ki razvijalcem sporočajo, kakšno vedenje je dovoljeno, in izrecno odvračajo druge. Na primer, prepovedano je uporabljati vgrajeni JavaScript - JavaScript, ki ni shranjen v ločeni datoteki - da bi zmanjšali tveganje zaradi skriptni napadi skript Kaj je skriptno skripta (XSS) in zakaj je grožnja varnostiRanljivosti medkriptnih skriptov so največja varnostna težava spletnih strani danes. Študije so pokazale, da so šokantno pogoste - 55% spletnih mest je vsebovalo ranljivosti XSS v letu 2011, kaže najnovejše poročilo White Hat Security, objavljeno junija ... Preberi več .

Google prav tako močno odvrača od uporabe 'eval', ki je programerski konstrukt, ki omogoča kodo izvrševanja kode in lahko uvaja vse vrste varnostnih tveganj. Prav tako se ne zanimajo vtičniki, ki se povezujejo na oddaljene storitve, ki niso Googlove, saj to pomeni tveganje za Napad človeka v sredini (MITM) Kaj je napad človeka v sredini? Pojasnjen varnostni žargonČe ste slišali za napade "človek v sredini", vendar niste povsem prepričani, kaj to pomeni, je to članek za vas. Preberi več .

To so preprosti koraki, ki pa so večinoma učinkoviti pri varovanju uporabnikov. Javvad Malik, Varnostni zagovornik pri Alienware, meni, da je to korak v pravo smer, vendar ugotavlja, da je največji izziv pri varovanju uporabnikov vprašanje izobraževanja.

»Razlikovanje med dobro in slabo programsko opremo postaja vse težje. Če parafraziramo, ena od legitimnih programske opreme je druga, ki krade identiteto in škoduje zlonamernim virusom, ki so kodirani v črevesju.

"Ne razumite me narobe, pozdravljam potezo Googla, da odstrani te zlonamerne razširitve - nekatere od teh ne bi smele biti javno objavljene. Izziv za podjetja, kot je Google, pa je nadziranje razširitev in določanje meja sprejemljivega vedenja. Pogovor, ki presega varnost ali tehnologijo in vprašanje družbe, ki uporablja internet, na splošno. "

Google želi zagotoviti, da so uporabniki obveščeni o tveganjih, povezanih z nameščanjem vtičnikov brskalnika. Vsaka razširitev v aplikaciji Google Chrome App Store je izrecna glede potrebnih dovoljenj in ne sme presegati dovoljenj, ki jih imate. Če podaljšek zahteva, da naredi stvari, ki se zdijo nenavadne, potem imate razlog za sum.

Toda občasno, kot vsi vemo, zlonamerna programska oprema zdrsne.

Ko Google to ugotovi narobe

Google presenetljivo drži precej tesno ladjo. Ni veliko drsi mimo njihove ure, vsaj ko gre za spletno trgovino Google Chrome. Kadar pa kaj počne, je hudo.

• AddToFeedly je bil vtičnik za Chrome, ki je uporabnikom omogočil dodajanje spletnega mesta na svoje RSS bralnik Feedly, pregledan: Kaj je to tako priljubljena zamenjava Google Readerja?Ker je Google Reader le še oddaljen spomin, se boj za prihodnost RSS resnično loti. Eden najpomembnejših izdelkov, ki se borijo proti dobri borbi, je Feedly. Google Reader ni bil ... Preberi več naročnine. Začelo je življenje kot zakonit izdelek izdala hobiistična razvijalka, a je bila leta 2014 kupljena za štirištevilčno vsoto. Novi lastniki so nato vtičnik nataknili z oglaševalsko programsko opremo SuperFish, ki je vbrizgavala oglaševanje na strani in sprožila pojavna okna. SuperFish je v začetku letošnjega leta, ko se je izkazal, pridobil razglas Lenovo ga je dobavljal z vsemi svojimi prenosniki Windows Lastniki prenosnih računalnikov Lenovo Pazite: vaša naprava je morda prednameščena zlonamerne programske opremeKitajski proizvajalec računalnikov Lenovo je priznal, da so imeli prenosniki, ki so jih konec leta 2014 dobavljali trgovinam in potrošnikom, prednameščeno zlonamerno programsko opremo. Preberi več .
• Posnetek zaslona spletne strani uporabnikom omogoča zajem slike celotne spletne strani, ki jo obiskujejo, in je nameščena na več kot milijon računalnikov. Vendar pa tudi v Združenih državah Amerike pošilja informacije o uporabniku na en sam naslov IP. Lastniki zaslona WebPage so zanikali kakršno koli kršitev in vztrajajo, da je to del njihove prakse zagotavljanja kakovosti. Google ga je odtlej odstranil iz spletne trgovine Chrome.
• Adicionar Ao Google Chrome je bil lopov podaljšek ugrabili Facebook račune 4 stvari, ki jih je treba storiti takoj, ko je bil vaš Facebook račun krampČe sumite, da je bil vaš Facebook račun zlomljen, tukaj je, kaj storiti, če želite izvedeti in si povrniti nadzor. Preberi več ter delili nepooblaščene statuse, objave in fotografije. Zlonamerna programska oprema se je širila po spletnem mestu, ki je posnemalo YouTube, in uporabnikom reklo, naj namestijo vtičnik za ogled videoposnetkov. Google je odtlej odstranil vtičnik.

Glede na to, da večina ljudi uporablja Chrome pri veliki večini računalništva, je zaskrbljujoče, da so ti vtičniki uspeli zdrsniti skozi razpoke. Ampak vsaj bilo je a postopek neuspeti. Ko namestite razširitve od drugod, niste zaščiteni.

Tako kot Android uporabniki lahko namestijo katero koli aplikacijo, ki jo želijo, vam Google dovoli namestite kakršno koli razširitev za Chrome Kako ročno namestiti razširitve za ChromeGoogle se je nedavno odločil, da bo onemogočil namestitev razširitev Chroma s spletnih mest drugih proizvajalcev, vendar nekateri uporabniki še vedno želijo namestiti te razširitve. Tukaj je, kako to storiti. Preberi več , vključno s tistimi, ki ne prihajajo iz spletne trgovine Chrome. To ni samo zato, da bi potrošnikom ponudili dodatno izbiro, temveč da bi razvijalcem omogočili, da preizkusijo kodo, ki jo delajo, preden jo pošljejo v odobritev.

Pomembno pa je zapomniti, da vsaka ročno nameščena razširitev ni šla skozi stroge Googlove stroge postopke testiranja in lahko vsebuje vse vrste nezaželenega vedenja.

Kako tvegate?

Leta 2014 je Google prehitel Microsoftov Internet Explorer kot prevladujoči spletni brskalnik in zdaj predstavlja skoraj 35% uporabnikov interneta. Posledično za vsakogar, ki želi hitro pospraviti ali distribuirati zlonamerno programsko opremo, ostaja mamljiva tarča.

Google se večinoma ni spoprijel. Prihajalo je do incidentov, vendar so bili osamljeni. Ko vam je zlonamerna programska oprema uspela spodleteti, se z njo ukvarjajo primerno in s strokovnostjo, ki jo pričakujete od Googla.

Vendar je jasno, da so razširitve in vtičniki potencialni vektor napada. Če nameravate narediti karkoli občutljivega, na primer prijavo v spletno bančništvo, boste to morda želeli storiti v ločenem brskalniku brez vtičnikov ali v oknu brez beleženja zgodovine. Če imate katero od zgoraj navedenih razširitev, vnesite krom: // razširitve / v svoji Chromovi naslovni vrstici, nato jih poiščite in izbrišite, samo da ste varni.

Ste že kdaj slučajno namestili kakšno zlonamerno programsko opremo Chrome? V živo pripovedovati zgodbo? Rad bi slišal o tem. Spodaj mi dodajte komentar in poklepetali bomo.

Slikovni krediti: Kladivo na razbitem steklu Via Shutterstock