Колко безопасен е уеб магазина на Chrome все пак?

реклама

Около 33% от всички потребители на Chromium имат инсталиран някакъв плъгин за браузър. Вместо да са ниша, крайни технологии, използвани изключително от енергийни потребители, добавките са положително разпространени, като по-голямата част идва от уеб магазина на Chrome и пазара на добавки Firefox.

Но колко са безопасни?

Според изследвания трябва да бъдат представени на IEEE симпозиума за сигурност и поверителност, отговорът е не много. Проучването, финансирано от Google, установи, че десетки милиони потребители на Chrome имат инсталиран набор от зловреден софтуер, базиран на добавки, което представлява 5% от общия трафик на Google.

Изследването доведе до измиване на почти 200 плъгини от магазина за приложения на Chrome и постави под въпрос цялостната сигурност на пазара.

И така, какво прави Google, за да ни пази и как можете да забележите измамна добавка? Аз разбрах.

Откъде идват добавки

Обадете им се какво искате - разширения на браузъра, плъгини или добавки - всички те идват от едно и също място. Независими, трети страни разработчици, произвеждащи продукти, които смятат, че обслужват нужда или решават проблем.

Добавките на браузъра обикновено се пишат с помощта на уеб технологии, като HTML, CSS, и JavaScript Какво е JavaScript и може ли интернет да съществува без него?JavaScript е едно от онези неща, които мнозина приемат за даденост. Всички го използват. Прочетете още и обикновено са построени за един конкретен браузър, въпреки че има някои услуги на трети страни, които улесняват създаването на приставки за браузъри на много платформи.

След като плъгинът достигне ниво на завършеност и се тества, след това се освобождава. Възможно е да разпространявате плъгин независимо, въпреки че по-голямата част от разработчиците избират вместо това да ги разпространяват през магазините за разширения на Mozilla, Google и Microsoft.

Въпреки че преди да се докосне до компютъра на потребителя, той трябва да бъде тестван, за да се гарантира, че е безопасен за употреба. Ето как работи в Google Chrome App Store.

Запазване на Chrome

От изпращането на разширение до евентуалното му публикуване има 60 минути чакане. какво става тук? Е, зад кулисите, Google се уверява, че приставката не съдържа злонамерена логика или нещо, което би могло да наруши поверителността или безопасността на потребителите.

Този процес е известен като „Подобрено валидиране на артикули“ (IEV) и представлява поредица от строги проверки, които изследват кода на приставката и нейното поведение при инсталиране, за да се идентифицира злонамерен софтуер.

Google също има публикува „ръководство за стил“ от сортове, които казват на разработчиците какво поведение е позволено и изрично обезкуражава другите. Например, забранено е използването на вграден JavaScript - JavaScript, който не се съхранява в отделен файл - с цел намаляване на риска от кръстосани скриптови атаки Какво е скрипт на различни сайтове (XSS) и защо това е заплаха за сигурносттаУязвимостите за скрипт на различни сайтове са най-големият проблем за сигурността на уебсайтовете днес. Според проучванията те са шокиращо често срещани - 55% от уебсайтовете съдържат XSS уязвимости през 2011 г., според последния доклад на White Hat Security, публикуван през юни ... Прочетете още .

Google също силно обезсърчава използването на 'eval', която е програмна конструкция, която позволява на кода да изпълнява код и може да въвежда всякакви рискове за сигурността. Те също така не са силно заинтересовани от плъгини, свързващи се с отдалечени услуги, които не са Google, тъй като това крие риск от Атака Man-In-The Middle (MITM) Какво е атака на човек в средата? Обяснен жаргон за сигурностАко сте чували за атаки "човек в средата", но не сте съвсем сигурни какво означава това, това е статията за вас. Прочетете още .

Това са прости стъпки, но в по-голямата си част са ефективни за запазване на потребителите. Javvad Malik, Advocate Security в Alienware, смята, че това е стъпка в правилната посока, но отбелязва, че най-голямото предизвикателство за запазването на потребителите е проблем с образованието.

„Разграничаването между добър и лош софтуер става все по-трудно. Ако перифразираме, един легален софтуер е друг, който злоупотребява с идентичност, нарушаващ личния живот зловреден вирус, кодиран в недрата на ада.

„Не ме разбирайте погрешно, приветствам хода на Google да премахне тези злонамерени разширения - някои от тях никога не трябваше да бъдат публично достояние. Но предизвикателството пред компании като Google е да контролират разширенията и да определят границите на приемливото поведение. Разговор, който се простира извън сигурността или технологиите и въпрос за обществото, използващо интернет като цяло. “

Google цели да гарантира, че потребителите са информирани за рисковете, свързани с инсталирането на плъгини на браузъра. Всяко разширение в Google Chrome App Store е изрично относно необходимите разрешения и не може да надвишава разрешенията, които му давате. Ако разширението иска да правите неща, които изглеждат необичайни, тогава имате причина за подозрение.

Но понякога, както всички знаем, зловредният софтуер се промъква.

Когато Google получи грешно

Google изненадващо поддържа доста стегнат кораб. Малко не се изплъзва покрай часовника им, поне що се отнася до уеб магазина на Google Chrome. Когато нещо се случи, обаче е лошо.

• AddToFeedly беше плъгин за Chrome, който позволи на потребителите да добавят уебсайт към своя Feedly RSS четец Feedly, Рецензиран: Какво го прави толкова популярна замяна на Google Reader?Сега, когато Google Reader е само далечен спомен, борбата за бъдещето на RSS наистина е приключила. Един от най-забележителните продукти, които се борят с добрата битка, е Feedly. Google Reader не беше ... Прочетете още абонаменти. Той стартира живота като законен продукт пуснат от хобистки разработчик, но е купена за четирицифрена сума през 2014 г. След това новите собственици навързаха приставката с рекламния софтуер SuperFish, който инжектираше реклама в страници и породи изскачащи прозорци. SuperFish спечели известност по-рано тази година, когато се появи Lenovo го доставяше с всичките си лаптопи от нисък клас на Windows Собствениците на лаптопи Lenovo Внимавайте: Вашето устройство може да е инсталирало предварително зловреден софтуерКитайският производител на компютри Lenovo призна, че лаптопите, изпращани до магазини и потребители в края на 2014 г., са имали предварително инсталиран зловреден софтуер. Прочетете още .
• Снимка на уеб страница позволява на потребителите да снимат изображение на цялата уеб страница, която посещават, и е инсталирана на над 1 милион компютри. Въпреки това той също предава информация на потребителите на един IP адрес в Съединените щати. Собствениците на WebPage Screenshot отрекоха всякакви неправомерни действия и настояват, че това е част от техните практики за осигуряване на качество. Оттогава Google го премахна от уеб магазина на Chrome.
• Adicionar Ao Google Chrome беше измамно разширение, което отвлечени акаунти във Facebook 4 неща, които трябва да направите веднага, когато вашият Facebook акаунт беше хакнатАко подозирате, че акаунтът ви във Facebook е хакнат, ето какво да направите, за да разберете и да си върнете контрола. Прочетете още и споделя неоторизирани статуси, публикации и снимки. Зловредният софтуер беше разпространен през сайт, имитиращ YouTube, и каза на потребителите да инсталират приставката, за да гледат видеоклипове. Оттогава Google премахна приставката.

Като се има предвид, че повечето хора използват Chrome, за да правят по-голямата част от своите компютри, е тревожно, че тези плъгини успяха да се промъкнат през пукнатините. Но поне имаше един процедура да се провали. Когато инсталирате разширения от другаде, не сте защитени.

Подобно на потребителите на Android могат да инсталират всяко приложение, което пожелаят, Google ви позволява инсталирайте всяко разширение за Chrome, което искате Как да инсталирате разширенията на Chrome ръчноНаскоро Google реши да деактивира инсталирането на разширения на Chrome от уебсайтове на трети страни, но някои потребители все още искат да инсталират тези разширения. Ето как да го направите. Прочетете още , включително такива, които не идват от уеб магазина на Chrome. Това не е просто да се даде на потребителите малко по-голям избор, а по-скоро да се даде възможност на разработчиците да тестват кода, над който работят, преди да го изпратят за одобрение.

Важно е обаче да запомните, че всяко разширение, което е инсталирано ръчно, не е преминало през строги процедури на тестване на Google и може да съдържа всякакъв вид нежелателно поведение.

Как сте в риск?

През 2014 г. Google изпревари Internet Explorer на Microsoft като доминиращ уеб браузър и сега представлява почти 35% от интернет потребителите. В резултат на това всеки, който иска да направи бърз долар или разпространява злонамерен софтуер, остава изкушаваща цел.

Google в по-голямата си част успя да се справи. Имало е инциденти, но те са били изолирани. Когато злонамерен софтуер е успял да се измъкне, те се справят с него целесъобразно и с професионализма, който очаквате от Google.

Ясно е обаче, че разширенията и плъгините са потенциален вектор за атака. Ако планирате да правите нещо чувствително, като например да влезете в онлайн банкирането си, може да искате да го направите в отделен браузър без приставки или инкогнито. И ако имате някое от изброените по-горе разширения, въведете хром: // разширения / в своята адресна лента на Chrome, след това ги намерете и изтрийте, само за да сте сигурни.

Случвало ли ви се е да инсталирате случайно някой злонамерен софтуер на Chrome? На живо да разкажа приказката? Искам да чуя за това. Пуснете ми коментар по-долу и ще си поговорим.

Кредити за изображения: Чук върху разбито стъкло Via Shutterstock