Kui turvaline on Chrome'i veebipood ikkagi?

Kui turvaline on Chrome'i veebipood ikkagi?

Umbes 33% kõigist Chromiumi kasutajatest on installitud mingi brauseri pistikprogramm. Selle asemel, et lisandmoodulid oleks nišš, vaid tehnoloogia, mida kasutavad ainult elektritarbijad, on nad positiivselt mainstream, enamik pärineb Chrome'i veebipoest ja Firefoxi lisandmoodulite turult.





Aga kui turvalised nad on?



Uuringute kohaselt esitamise tõttu IEEE turvalisuse ja privaatsuse sümpoosionil on vastus mitte väga . Google'i rahastatud uuringust selgus, et kümnetel miljonitel Chrome'i kasutajatel on installitud mitmesuguseid lisapõhiseid pahavara, mis moodustab 5% kogu Google'i liiklusest.





Uuringu tulemusel puhastati Chrome'i rakenduste poest peaaegu 200 pistikprogrammi ja seati kahtluse alla turu üldise turvalisuse.

Niisiis, mida teeb Google meie turvalisuse tagamiseks ja kuidas märgata petturitest lisandmoodulit? Sain teada.



Kust lisandmoodulid tulevad

Helistage neile, kuidas soovite - brauserilaiendid, pistikprogrammid või lisandmoodulid - need kõik pärinevad samast kohast. Sõltumatud kolmanda osapoole arendajad, kes toodavad tooteid, mis nende arvates vajavad või lahendavad probleemi.

Brauseri lisandmoodulid on tavaliselt kirjutatud veebitehnoloogiaid (nt HTML, CSS ja JavaScript) kasutades ning need on tavaliselt loodud ühe kindla brauseri jaoks, kuigi on ka mõningaid kolmanda osapoole teenuseid, mis hõlbustavad platvormidevaheliste brauseri pistikprogrammide loomist.



Kui pistikprogramm on jõudnud valmisoleku tasemele ja seda on testitud, vabastatakse see. Pistikprogrammi on võimalik iseseisvalt levitada, kuigi valdav enamus arendajaid otsustab selle asemel levitada neid Mozilla, Google'i ja Microsofti laienduste poodide kaudu.

Kuigi enne kasutaja arvuti puudutamist tuleb seda testida, et tagada selle kasutamine. See toimib Google Chrome'i rakenduste poes järgmiselt.



Chrome'i turvaline hoidmine

Alates laienduse esitamisest kuni selle lõpliku avaldamiseni tuleb oodata 60 minutit. Mis siin juhtub? Kulisside taga jälgib Google, et pistikprogramm ei sisaldaks pahatahtlikku loogikat ega midagi, mis võiks ohustada kasutajate privaatsust või turvalisust.

Seda protsessi nimetatakse täiustatud üksuste valideerimiseks (IEV) ja see on rida rangeid kontrolle, mis uurivad pistikprogrammi koodi ja selle käitumist installimisel, et tuvastada pahavara.

Google'il on ka avaldas 'stiilijuhendi' mis ütleb arendajatele, milline käitumine on lubatud, ja heidutab selgesõnaliselt teisi. Näiteks on keelatud kasutada inline JavaScripti - JavaScripti, mida ei salvestata eraldi faili -, et vähendada saitidevaheliste skriptirünnakute riski.

Samuti ei soovita Google tungivalt kasutada „eval”, mis on programmeerimiskonstruktsioon, mis võimaldab koodil koodi käivitada ja võib kaasa tuua igasuguseid turvariske. Samuti pole nad väga huvitatud pistikprogrammidest, mis ühenduvad kaugteenustega, mis pole Google'i teenused, kuna see kujutab endast rünnaku ohtu (MITM).

Need on lihtsad sammud, kuid aitavad enamasti kasutajaid turvaliselt hoida. Javvad Malik , Alienware'i turvajurist arvab, et see on samm õiges suunas, kuid märgib, et suurim väljakutse kasutajate turvalisuse tagamisel on haridus.

„Hea ja halva tarkvara vahet teha on üha raskem. Parafraseerides võib öelda, et ühe inimese seaduslik tarkvara on teise inimese identiteeti varastav, privaatsust kahjustav pahatahtlik viirus, mis on kodeeritud põrgu sisemusse. „Ärge saage minust valesti aru, ma tervitan Google'i sammu nende pahatahtlike laienduste eemaldamiseks-mõned neist peaksid pole kunagi avalikuks tehtud. Kuid selliste ettevõtete nagu Google jaoks on edaspidiseks väljakutseks laienduste kontrollimine ja vastuvõetava käitumise piiride määratlemine. Vestlus, mis ulatub kaugemale turvalisusest või tehnoloogiast ja küsimus internetikasutajale ühiskonnale laiemalt. ”

Google'i eesmärk on tagada kasutajate teavitamine brauseri pistikprogrammide installimisega seotud riskidest. Iga Google Chrome'i rakenduste poe laiendus on nõutavate lubade kohta selgesõnaline ega tohi ületada teile antud õigusi. Kui laiendus palub teha asju, mis tunduvad ebatavalised, on teil põhjust kahtlustada.

Kuid mõnikord, nagu me kõik teame, libiseb pahavara läbi.

võrgus tasuta telefoni avamiseks

Kui Google eksib

Google hoiab üllataval kombel üsna tihedat laeva. Vähemalt Google Chrome'i veebipoest rääkides ei libise nende kellast palju mööda. Kui aga midagi juhtub, on see halb.

  • AddToFeedly oli Chrome'i pistikprogramm, mis võimaldas kasutajatel lisada veebisaidi oma Feedly RSS -lugeja tellimustele. See alustas elu seadusliku tootena vabastas harrastajate arendaja , kuid osteti neljakohalise summa eest 2014. aastal. Seejärel sidusid uued omanikud pistikprogrammi SuperFishi reklaamvaraga, mis süstis reklaami lehtedele ja tekitas hüpikaknaid. SuperFish sai tuntust selle aasta alguses, kui selgus, et Lenovo oli selle kõigi oma odavate Windowsi sülearvutitega saatnud.
  • Veebilehe ekraanipilt võimaldab kasutajatel jäädvustada pilti külastatavast veebilehest ja see on installitud enam kui miljonile arvutile. Kuid see on edastanud ka kasutajateavet Ameerika Ühendriikides ühele IP -aadressile. WebPage Screenshot'i omanikud on eitanud oma õigusrikkumisi ja väidavad, et see oli osa nende kvaliteedi tagamise tavadest. Google eemaldas selle Chrome'i veebipoest.
  • Google Chrome'i lisamine oli petturlik laiendus kaaperdatud Facebooki kontod ja jagasid volitamata olekuid, postitusi ja fotosid. Pahavara levis saidi kaudu, mis jäljendas YouTube'i ja käskis kasutajatel videote vaatamiseks pistikprogrammi installida. Pärast seda on Google pistikprogrammi eemaldanud.

Arvestades, et enamik inimesi kasutab enamiku arvutuste tegemiseks Chrome'i, on murettekitav, et need pistikprogrammid suutsid pragudest läbi libiseda. Aga vähemalt oli a protseduuri ebaõnnestuda. Kui installite laiendusi mujalt, pole te kaitstud.

Sarnaselt Androidi kasutajatele saab installida mis tahes rakenduse, mida nad soovivad, lubab Google installida mis tahes soovitud Chrome'i laienduse, sealhulgas need, mis ei pärine Chrome'i veebipoest. See ei ole ainult selleks, et anda tarbijatele natuke lisavõimalusi, vaid pigem võimaldada arendajatel enne heakskiitmiseks saatmist katsetada koodi, millega nad on töötanud.

Siiski on oluline meeles pidada, et kõik käsitsi installitud laiendused ei ole läbinud Google'i rangeid testimisprotseduure ja võivad sisaldada igasugust soovimatut käitumist.

Kui ohtlik sa oled?

2014. aastal edestas Google domineeriva veebibrauserina Microsofti Internet Explorerit ja esindab nüüd peaaegu 35% Interneti -kasutajatest. Selle tulemusel jääb see kõigile, kes soovivad kiiresti raha teenida või pahavara levitada, ahvatlev sihtmärk.

Google on enamjaolt hakkama saanud. Juhtumeid on olnud, kuid need on isoleeritud. Kui pahavara on suutnud sealt läbi lipsata, on nad sellega otstarbekalt tegelenud ja seda professionaalsust, mida Google'ilt oodata võiks.

Siiski on selge, et laiendused ja pistikprogrammid on potentsiaalne rünnakuvektor. Kui plaanite teha midagi tundlikku, näiteks logida sisse oma internetipanka, võiksite seda teha eraldi pistikprogrammivabas brauseris või inkognito aknas. Ja kui teil on mõni ülaltoodud laienditest, tippige chrome: // extensions/ oma Chrome'i aadressiribal, seejärel otsige ja kustutage need turvalisuse huvides.

Kas olete kunagi kogemata mõne Chrome'i pahavara installinud? Elada, et lugu jutustada? Ma tahan sellest kuulda. Kirjutage mulle allpool kommentaar ja me räägime.

Pildi autorid: Haamer purunenud klaasil Shutterstocki kaudu

Jaga Jaga Piiksuma E -post Tume veeb vs sügav veeb: mis vahe on?

Tume veeb ja sügav võrk on sageli ekslikult üks ja seesama. Aga see pole nii, mis vahet seal on?

Loe edasi Seotud teemad
  • Brauserid
  • Turvalisus
  • Google Chrome
  • Turvalisus Internetis
Autori kohta Matthew Hughes(Avaldatud 386 artiklit)

Matthew Hughes on tarkvaraarendaja ja kirjanik Inglismaalt Liverpoolist. Teda leidub harva ilma tassitäie tugeva musta kohvita ja jumaldab absoluutselt oma Macbook Pro'd ja kaamerat. Tema ajaveebi saate lugeda aadressil http://www.matthewhughes.co.uk ja jälgida teda Twitteris aadressil @matthewhughes.

Veel Matthew Hughesilt

Telli meie uudiskiri

Liituge meie uudiskirjaga, et saada tehnilisi näpunäiteid, ülevaateid, tasuta e -raamatuid ja eksklusiivseid pakkumisi!

Tellimiseks klõpsake siin