Oglas

Oko 33% svih Chromium korisnika ima instaliran nekakav dodatak za preglednik. Umjesto da predstavljaju nišu, rubna tehnologija koju koriste isključivo korisnici napajanja, dodaci su pozitivno usmjereni, a većina dolazi iz Chrome web-trgovine i na tržište Firefox dodataka.

Ali koliko su sigurni?

Prema istraživanju treba biti predstavljeno na IEEE simpoziju o sigurnosti i privatnosti odgovor je Ne baš. Studija koju je financirala Google utvrdila je da deseci milijuna korisnika Chromea imaju instaliran niz različitih zlonamjernog softvera koji se temelji na dodacima, što predstavlja 5% ukupnog Google prometa.

Istraživanje je rezultiralo tako da su gotovo 200 dodataka pročišćeni iz Chrome App Store-a i doveli u pitanje ukupnu sigurnost na tržištu.

Dakle, što Google radi kako bi nas zaštitio i kako možete uočiti nelegalni dodatak? Saznao sam.

Odakle dolaze dodaci

Nazovite ih što hoćete - proširenja preglednika, dodatke ili dodatke - svi oni dolaze s istog mjesta. Nezavisni, treći programeri koji proizvode proizvode za koje smatraju da služe potrebama ili rješavaju problem.

ekstenzije-krom

Dodaci za preglednike uglavnom se pišu korištenjem web tehnologija poput HTML, CSS, i JavaScript Što je JavaScript i može li Internet postojati bez njega?JavaScript je jedna od onih stvari koje mnogi uzimaju zdravo za gotovo. Svi ga koriste. Čitaj više , i obično su izrađeni za jedan određeni preglednik, iako postoje neke usluge treće strane koje olakšavaju stvaranje dodataka za preglednik više platformi.

Nakon što dodatak dosegne razinu završetka i testira se, zatim se pušta. Dodatak je moguće samostalno distribuirati, iako ih velika većina programera odlučuje distribuirati preko Mozilla, Googleova i Microsoftovih prodavaonica.

Iako se prije nego što dotakne korisničko računalo, mora biti testirano kako bi se osiguralo njegovu sigurnu upotrebu. Evo kako to funkcionira u trgovini Google Chrome App.

Čuvanje Chromea

Od podnošenja proširenja do njegove eventualne objave čeka se 60 minuta. Što se ovdje događa? Pa, iza scene, Google se osigurava da dodatak ne sadrži zlonamjernu logiku ili bilo što što bi moglo ugroziti privatnost ili sigurnost korisnika.

Ovaj je postupak poznat kao "Poboljšana provjera predmeta" (IEV) i predstavlja niz strogih provjera koje proučavaju kôd dodatka i njegovo ponašanje kada su instalirani radi utvrđivanja zlonamjernog softvera.

Google je također objavio je "Vodič za stil" o vrstama koje poručuju programerima koja su dopuštena ponašanja i izričito obeshrabruju druge. Na primjer, zabranjena je upotreba umetnutog JavaScript-a, koji nije pohranjen u zasebnoj datoteci, kako bi se umanjio rizik protiv krizni napadi na više mjesta Što je skripta na više mjesta (XSS) i zašto to predstavlja sigurnosnu prijetnjuRanjivosti skripte na različitim web lokacijama danas su najveći sigurnosni problem web stranice. Studije su otkrile da su šokantno česte - prema posljednjem izvješću White Hat Security-a, objavljenom u lipnju, 55% web-lokacija sadrži XSS ranjivosti u 2011. godini ... Čitaj više .

ekstenzije-koda

Google također snažno odvraća od upotrebe 'eval', programske konstrukcije koja omogućuje izvršenje koda i može uvesti sve vrste sigurnosnih rizika. Oni također nisu jako zainteresirani za dodatke koji se povezuju s udaljenim, ne Googleovim uslugama, jer to predstavlja rizik od Napad Čovjek u sredini (MITM) Što je napad Čovjeka u sredini? Objasnio sigurnosni žargonAko ste čuli za napade "čovjeka u sredini", ali niste baš sigurni što to znači, ovo je članak za vas. Čitaj više .

Ovo su jednostavni koraci, ali većinom učinkoviti u zaštiti korisnika. Javvad Malik, Sigurnosni odvjetnik u Alienware-u, smatra da je to korak u pravom smjeru, ali napominje da je najveći izazov u održavanju sigurnosti sigurno pitanje obrazovanja.

"Razlikovanje dobrog i lošeg softvera postaje sve teže. Ako parafraziramo, jedan mans legitiman softver drugi je mans krađa identiteta i štetni virus koji oštećuje privatnost kodiran u utrobu pakla.

"Nemojte me krivo shvatiti. Pozdravljam poteze Googlea da ukloni ova zlonamjerna proširenja - neka od njih nikada ne bi trebala biti javno objavljena. Ali izazov koji slijedi za tvrtke poput Googlea je nadzor nad proširenjima i definiranje ograničenja prihvatljivog ponašanja. Razgovor koji se proteže izvan sigurnosti ili tehnologije i pitanje za društvo koje koristi internet u cjelini. "

Google ima za cilj osigurati informiranje korisnika o rizicima povezanima s instaliranjem dodataka preglednika. Svako proširenje u aplikaciji Google Chrome App Store izričito je o potrebnim dozvolama i ne može premašiti dozvole koje mu date. Ako ekstenzija traži da učinite stvari koje izgledaju neobično, tada imate razloga za sumnju.

Ali povremeno, kao što svi znamo, zlonamjerni softver prolazi.

Kad Google shvati da nije u redu

Google, začudo, drži prilično tijesan brod. Ni malo ne klizi mimo njihovog sata, barem kad je riječ o web-trgovini Google Chrome. Međutim, kad nešto ipak učini, to je loše.

  • AddToFeedly bio je dodatak za Chrome koji je korisnicima omogućio dodavanje web lokacije Feed RSS čitač Feedly, recenzirano: Što je čini toliko zamjenu Google Reader-a?Budući da je Google Reader samo daleka uspomena, borba za budućnost RSS-a zaista je započeta. Feedly je jedan od najvažnijih proizvoda koji se bori protiv dobre borbe. Google Reader nije bio ... Čitaj više pretplata. Započeo je život kao legitimni proizvod izdao hobistički programer, ali je kupljen za četveroznamenkasti iznos 2014. godine. Novi su vlasnici potom dodatak dodali reklamnim programom SuperFish, koji je ubrizgavao oglašavanje u stranice i stvarao skočne prozore. SuperFish stekao je notoru ranije ove godine kada je proizašao Lenovo ga je isporučio sa svim svojim prijenosnim računalima s niskim dnom cijene Vlasnici prijenosnog računala Lenovo pripazite: vaš je uređaj možda unaprijed instalirao zlonamjerni softverKineski proizvođač računala Lenovo priznao je da su prijenosna računala isporučena trgovinama i potrošačima krajem 2014. imala unaprijed instaliran zlonamjerni softver. Čitaj više .
  • Snimak web stranice omogućava korisnicima snimanje slike cijele web stranice koju posjećuju, a instalirana je na preko milijun računala. Međutim, ona također prenosi korisničke informacije na jednu IP adresu u Sjedinjenim Državama. Vlasnici WebPage Screenshot-a negirali su bilo kakvu pogrešku i tvrde da je to bilo dio njihove prakse osiguranja kvalitete. Google ju je uklonio iz Chrome web-trgovine.
  • Adicionar Ao Google Chrome bio je lukavo proširenje koje oteli Facebook račune 4 stvari koje treba učiniti odmah kada vam je hakiran Facebook računAko sumnjate da je vaš Facebook račun hakiran, evo što treba učiniti kako biste saznali i vratili kontrolu. Čitaj više i dijeliti neovlaštene statuse, postove i fotografije. Zlonamjerni softver se širio web-lokacijom koja oponaša YouTube i poručio korisnicima da instaliraju dodatak za gledanje videozapisa. Google je otada uklonio dodatak.

S obzirom na to da većina ljudi koristi Chrome za veliku većinu računanja, zabrinjavajuće je što su ovi dodaci uspjeli proći kroz pukotine. Ali barem je bilo postupak ne uspjeti. Kad instalirate proširenja negdje drugdje, niste zaštićeni.

Kao što Android korisnici mogu instalirati bilo koju aplikaciju, Google vam dozvoljava instalirajte sve Chrome proširenje koje želite Kako ručno instalirati proširenja ChromeaGoogle je nedavno odlučio onemogućiti instalaciju Chromeovih proširenja s web stranica trećih strana, no neki korisnici i dalje žele instalirati ta proširenja. Evo kako to učiniti. Čitaj više , uključujući one koje ne dolaze iz Chrome web-trgovine. Ovo nije samo da bi potrošačima dalo dodatni izbor, već da programerima omogući testiranje koda na kojem rade prije nego što ga pošalju na odobrenje.

ekstenzije-za upotrebu

Međutim, važno je zapamtiti da nijedno ručno instalirano proširenje nije prošlo stroge Googleove postupke testiranja i može sadržavati sve vrste nepoželjnih ponašanja.

Kako ste u riziku?

U 2014. godini Google je pretekao Microsoftov Internet Explorer kao dominantni web preglednik i sada predstavlja gotovo 35% korisnika interneta. Kao rezultat, za sve koji žele napraviti brzi dolar ili distribuirati zlonamjerni softver ostaje primamljiva meta.

Google se, uglavnom, uspio izboriti. Bilo je incidenata, ali su bili izolirani. Kad su zlonamjerni softver uspjeli proći, oni se s njim postupaju brzo i s profesionalizmom koji očekujete od Googlea.

Međutim, jasno je da su proširenja i dodaci potencijalni vektor napada. Ako planirate raditi bilo što osjetljivo, kao što je prijava u internetsko bankarstvo, možda biste to željeli učiniti u zasebnom pregledniku bez dodataka ili anonimnom prozoru. Ako imate neko od gore navedenih proširenja, upišite chrome: // extensions / u Chromeovoj adresnoj traci, zatim ih pronađite i izbrišite, samo da budete sigurni.

Jeste li ikad slučajno instalirali neki Chromeov zlonamjerni softver? Uživo da ispričam priču? Želim čuti o tome. Ispusti mi komentar u nastavku i razgovarat ćemo.

Slikovni krediti: Čekić na razbijeno staklo Via Shutterstock

Matthew Hughes je programer i pisac softvera iz Liverpoola u Engleskoj. Rijetko se nađe bez šalice jake crne kave u ruci i apsolutno obožava svoj Macbook Pro i svoj fotoaparat. Njegov blog možete pročitati na http://www.matthewhughes.co.uk i slijedite ga na twitteru na @matthewhughes.