Kako varna je Spletna trgovina Chrome?

Kako varna je Spletna trgovina Chrome?

Približno 33% vseh uporabnikov Chromiuma ima nameščen kakšen vtičnik za brskalnik. Namesto, da bi bili niša, vrhunska tehnologija, ki jo uporabljajo izključno izkušeni uporabniki, so dodatki pozitivno razširjeni, večina prihaja iz Spletne trgovine Chrome in tržnice dodatkov Firefox.





Toda kako varni so?



Glede na raziskave je treba predstaviti na simpoziju IEEE o varnosti in zasebnosti je odgovor ne zelo . Študija, ki jo je financiral Google, je pokazala, da ima na desetine milijonov uporabnikov Chroma nameščeno nekaj različnih zlonamerne programske opreme, ki temelji na dodatkih, kar predstavlja 5% celotnega Googlovega prometa.





Raziskava je povzročila, da je bilo skoraj 200 vtičnikov izbrisanih iz trgovine Chrome App Store, in postavilo pod vprašaj splošno varnost trga.

Torej, kaj Google počne, da nas zaščiti, in kako lahko opazite lopov dodatek? Ugotovil sem.



Od kod prihajajo dodatki

Pokličite jih, kakor želite - razširitve brskalnika, vtičnike ali dodatke - vsi prihajajo z istega mesta. Neodvisni razvijalci tretjih oseb, ki proizvajajo izdelke, za katere menijo, da ustrezajo potrebam ali rešujejo težavo.

Dodatki za brskalnike so običajno napisani z uporabo spletnih tehnologij, kot so HTML, CSS in JavaScript, in so običajno zgrajeni za en poseben brskalnik, čeprav obstajajo nekatere storitve tretjih oseb, ki olajšajo ustvarjanje vtičnikov za brskalnike za več platform.



Ko vtičnik doseže stopnjo dokončanosti in je preizkušen, se nato sprosti. Vtičnik je mogoče distribuirati neodvisno, čeprav se velika večina razvijalcev namesto tega odloči za distribucijo prek trgovin z razširitvami Mozilla, Google in Microsoft.

Preden se dotakne uporabnikovega računalnika, ga je treba preizkusiti, da se prepriča, da je varen za uporabo. Tako deluje v trgovini Google Chrome App Store.



Ohranjanje Chroma na varnem

Od oddaje razširitve do njene morebitne objave čaka 60 minut. Kaj se zgodi tukaj? No, v ozadju Google skrbi, da vtičnik ne vsebuje zlonamerne logike ali česar koli, kar bi lahko ogrozilo zasebnost ali varnost uporabnikov.

Ta postopek je znan kot „Izboljšana validacija predmetov“ (IEV) in je vrsta strogih preverjanj, ki preučijo kodo vtičnika in njegovo vedenje, ko je nameščen, da bi odkrili zlonamerno programsko opremo.

Google ima tudi objavil 'stilski priročnik' vrste, ki razvijalcem sporoča, kakšno vedenje je dovoljeno, in izrecno odvrača druge. Na primer, prepovedana je uporaba vdelanega JavaScripta - JavaScript, ki ni shranjen v ločeni datoteki - za zmanjšanje tveganja pred napadi na skriptno ustvarjanje na različnih mestih.

Google odločno odsvetuje tudi uporabo 'eval', ki je konstrukcijski program, ki kodi omogoča izvajanje kode in lahko uvede vse vrste varnostnih tveganj. Prav tako se ne navdušujejo nad vtičniki, ki se povezujejo z oddaljenimi storitvami, ki niso Googlove, saj to predstavlja tveganje za napad človeka v sredini (MITM).

To so preprosti koraki, ki pa so večinoma učinkoviti pri varovanju uporabnikov. Javvad Malik , Zagovornik varnosti pri Alienware, meni, da je to korak v pravo smer, vendar ugotavlja, da je največji izziv pri varovanju uporabnikov vprašanje izobraževanja.

„Vse težje je razlikovati med dobro in slabo programsko opremo. Če parafraziram, legitimna programska oprema enega človeka je zlonamerni virus, ki ukrade identiteto in ogroža zasebnost, kodiran v peklu. 'Ne razumite me narobe, pozdravljam Googlov korak k odstranitvi teh zlonamernih razširitev. za začetek nikoli niso bili objavljeni. Toda izziv za podjetja, kot je Google, je nadzorovanje razširitev in opredelitev meja sprejemljivega vedenja. Pogovor, ki presega varnost ali tehnologijo in je vprašanje za družbo, ki uporablja internet na splošno. '

Google želi zagotoviti, da so uporabniki obveščeni o tveganjih, povezanih z namestitvijo vtičnikov brskalnika. Vsaka razširitev v trgovini Google Chrome App Store izrecno navaja potrebna dovoljenja in ne sme presegati dovoljenj, ki jih dajete. Če razširitev zahteva, da naredite stvari, ki se zdijo nenavadne, potem imate razlog za sum.

Toda občasno, kot vsi vemo, zlonamerna programska oprema zdrsne.

kako se profesionalno opravičiti po e -pošti

Ko Google naredi napako

Google presenetljivo drži precej tesno ladjo. Ne zdrsne veliko mimo njihove ure, vsaj ko gre za Spletno trgovino Google Chrome. Ko pa se kaj zgodi, je slabo.

  • AddToFeedly je bil vtičnik za Chrome, ki je uporabnikom omogočal dodajanje spletnega mesta v svoje naročnine na bralnik RSS Feedly. Začelo se je kot zakonit izdelek ki ga je izdal razvijalec hobist , vendar je bil kupljen za štirimestno vsoto leta 2014. Novi lastniki so nato dodali vtičnik z oglaševalsko programsko opremo SuperFish, ki je vbrizgala oglase na strani in ustvarila pojavna okna. SuperFish je dobil sloves v začetku tega leta, ko se je izkazalo, da ga je Lenovo dobavljal z vsemi prenosnimi računalniki Windows z nizko ceno.
  • Posnetek zaslona spletne strani uporabnikom omogoča zajem slike celotne spletne strani, ki jo obiščejo, in je bila nameščena na več kot milijon računalnikov. Vendar pa je tudi prenašal podatke o uporabnikih na en sam naslov IP v Združenih državah. Lastniki spletnega mesta WebPage Screenshot so zanikali kakršno koli kršitev in vztrajajo, da je to del njihove prakse zagotavljanja kakovosti. Google ga je od takrat odstranil iz Spletne trgovine Chrome.
  • Dodaj v Google Chrome je bila lažna razširitev, ki ugrabljeni računi Facebook in delili nepooblaščene statuse, objave in fotografije. Zlonamerna programska oprema se je širila prek spletnega mesta, ki je posnemalo YouTube, uporabnikom pa je naročilo, naj namestijo vtičnik za ogled videoposnetkov. Google je od takrat odstranil vtičnik.

Glede na to, da večina ljudi uporablja Chrome za veliko večino računalništva, je zaskrbljujoče, da so ti vtičniki uspeli zdrsniti skozi razpoke. Ampak vsaj obstajal je a postopku neuspeti. Ko nameščate razširitve od drugod, niste zaščiteni.

Podobno kot lahko uporabniki Androida namestijo katero koli želeno aplikacijo, vam Google omogoča, da namestite poljubno razširitev za Chrome, vključno s tistimi, ki ne prihajajo iz Spletne trgovine Chrome. To ne samo zato, da potrošnikom damo malo dodatne izbire, ampak razvijalcem omogočimo, da preizkusijo kodo, na kateri so delali, preden jo pošljejo v odobritev.

Pomembno pa je vedeti, da nobena razširitev, ki je nameščena ročno, ni bila podvržena Googlovim strogim postopkom testiranja in lahko vsebuje vse vrste nezaželenega vedenja.

Kako ogroženi ste?

Leta 2014 je Google prehitel Microsoftov Internet Explorer kot prevladujoči spletni brskalnik in zdaj predstavlja skoraj 35% uporabnikov interneta. Posledično ostaja skušnjava za vsakogar, ki želi hitro zaslužiti ali distribuirati zlonamerno programsko opremo.

Google se je večinoma zmogel. Incidenti so bili, vendar so bili izolirani. Ko se je zlonamerni programski opremi uspelo prebiti, so se z njo spopadli smotrno in s strokovnostjo, ki bi jo pričakovali od Googla.

Jasno pa je, da so razširitve in vtičniki potencialni vektor napada. Če nameravate narediti kaj občutljivega, na primer prijaviti se v spletno bančništvo, lahko to storite v ločenem brskalniku brez vtičnikov ali oknu brez beleženja zgodovine. Če imate katero od zgoraj navedenih razširitev, vnesite chrome: // razširitve/ v naslovni vrstici Chroma, nato pa jih poiščite in izbrišite.

Ste kdaj pomotoma namestili nekaj zlonamerne programske opreme Chrome? V živo povedati pravljico? Želim slišati o tem. Spodaj mi napišite komentar in klepetali bomo.

Zasluge za slike: Kladivo na razbitem steklu Prek Shutterstock

Deliti Deliti Cvrkutati E-naslov Dark Web vs Deep Web: Kakšna je razlika?

Temni splet in globoki splet se pogosto zamenjujeta kot eno in isto. Ampak temu ni tako, torej kakšna je razlika?

Preberite Naprej Sorodne teme
  • Brskalniki
  • Varnost
  • Google Chrome
  • Spletna varnost
O avtorju Matthew Hughes(386 objavljenih člankov)

Matthew Hughes je razvijalec programske opreme in pisatelj iz angleškega Liverpoola. Redko ga najdemo brez skodelice močne črne kave v roki in popolnoma obožuje svoj Macbook Pro in fotoaparat. Njegov blog lahko preberete na http://www.matthewhughes.co.uk in mu sledite na twitterju na @matthewhughes.

Več od Matthewa Hughesa

Naročite se na naše novice

Pridružite se našemu glasilu za tehnične nasvete, ocene, brezplačne e -knjige in ekskluzivne ponudbe!

Kliknite tukaj, če se želite naročiti