Kuinka turvallinen Chrome Web Store on joka tapauksessa?

Kuinka turvallinen Chrome Web Store on joka tapauksessa?

Noin 33 prosentilla kaikista Chromiumin käyttäjistä on asennettu jonkinlainen selainlaajennus. Sen sijaan, että lisäosat olisivat markkinarako, yksinomaan virrankäyttäjien käyttämä huipputeknologia, ne ovat positiivisesti valtavirtaa, ja suurin osa tulee Chrome Web Storesta ja Firefoxin lisäosamarkkinoista.





Mutta kuinka turvallisia ne ovat?



Tutkimusten mukaan esitettäväksi IEEE: n turvallisuutta ja yksityisyyttä käsittelevässä symposiumissa vastaus on ei kovinkaan . Googlen rahoittaman tutkimuksen mukaan kymmenillä miljoonilla Chrome-käyttäjillä on asennettu erilaisia ​​lisäpohjaisia ​​haittaohjelmia, mikä edustaa 5% Googlen kokonaisliikenteestä.





Tutkimuksen tuloksena Chrome App Storesta poistettiin lähes 200 laajennusta ja kyseenalaistettiin markkinapaikan yleinen turvallisuus.

Joten mitä Google tekee turvatakseen meidät, ja miten huomaat petollisen lisäosan? Sain selville.



Mistä lisäosat tulevat

Soita heille miten haluat - selainlaajennukset, laajennukset tai lisäosat - ne kaikki tulevat samasta paikasta. Riippumattomat, kolmannen osapuolen kehittäjät, jotka tuottavat tuotteita, joiden he katsovat tarpeellisiksi tai ratkaisevat ongelman.

Selaimen lisäosat kirjoitetaan yleensä verkkotekniikoilla, kuten HTML, CSS ja JavaScript, ja ne on yleensä rakennettu yhdelle tietylle selaimelle.



Kun laajennus on saavuttanut valmiustason ja testattu, se julkaistaan. Laajennusta on mahdollista jakaa itsenäisesti, vaikka valtaosa kehittäjistä päättää sen sijaan jakaa ne Mozillan, Googlen ja Microsoftin laajennusten kautta.

Vaikka se on koskematta käyttäjän tietokoneeseen, se on testattava sen käytön varmistamiseksi. Näin se toimii Google Chrome App Storessa.



Chromen suojaaminen

Laajennuksen lähettämisestä sen mahdolliseen julkaisemiseen on odotettava 60 minuuttia. Mitä täällä tapahtuu? Kulissien takana Google varmistaa, että laajennus ei sisällä haitallista logiikkaa tai mitään, joka voisi vaarantaa käyttäjien yksityisyyden tai turvallisuuden.

Tämä prosessi tunnetaan nimellä 'Enhanced Item Validation' (IEV), ja se on sarja tarkkoja tarkistuksia, joissa tarkastellaan laajennuksen koodi ja sen toiminta asennuksen aikana haittaohjelmien tunnistamiseksi.

Googlella on myös julkaisi tyylioppaan sellainen, joka kertoo kehittäjille, mikä käyttäytyminen on sallittua, ja nimenomaan lannistaa muita. Esimerkiksi on kiellettyä käyttää sisäistä JavaScriptiä - JavaScriptiä, jota ei ole tallennettu erilliseen tiedostoon - pienentääkseen riskiä sivustojen välisistä komentosarjojen hyökkäyksistä.

Google ei myöskään suosittele voimakkaasti 'eval': n käyttöä, joka on ohjelmointirakenne, jonka avulla koodi voi suorittaa koodin ja joka voi aiheuttaa kaikenlaisia ​​tietoturvariskejä. He eivät myöskään ole kovin kiinnostuneita laajennuksista, jotka muodostavat yhteyden etäisiin Googlen ulkopuolisiin palveluihin, koska tämä aiheuttaa keskellä tapahtuvan ihmisen (MITM) hyökkäyksen riskin.

Nämä ovat yksinkertaisia ​​vaiheita, mutta ne ovat suurelta osin tehokkaita pitämään käyttäjät turvassa. Javvad Malik , Alienwaren tietoturva -asianajaja, uskoo, että se on askel oikeaan suuntaan, mutta toteaa, että suurin haaste käyttäjien turvaamisessa on koulutus.

”Hyvien ja huonojen ohjelmistojen erottaminen on yhä vaikeampaa. Toisin sanoen yhden ihmisen laillinen ohjelmisto on toisen ihmisen identiteettiä varastava, yksityisyyttä vaarantava haittaohjelma, joka on koodattu helvetin suolistoon. ei ole alun perin julkistettu. Mutta Googlen kaltaisille yrityksille tuleva haaste on laajennusten valvonta ja hyväksyttävän käyttäytymisen rajojen määrittäminen. Keskustelu, joka ulottuu tietoturvaa tai teknologiaa pidemmälle ja kysymys internetin yhteiskunnalle yleensä. ''

Google pyrkii varmistamaan, että käyttäjät ovat tietoisia selainlaajennusten asentamiseen liittyvistä riskeistä. Jokainen Google Chrome App Storen laajennus sisältää nimenomaisesti tarvittavat käyttöoikeudet, eikä se voi ylittää sille annettuja käyttöoikeuksia. Jos laajennus pyytää tekemään asioita, jotka näyttävät epätavallisilta, sinulla on syytä epäillä.

Mutta joskus, kuten me kaikki tiedämme, haittaohjelmat luiskahtavat läpi.

en tiedä mitä googlettaa

Kun Google erehtyy

Google ylläpitää yllättävän tiukasti. Ei paljon luiskahtanut heidän kellonsa ohi, ainakaan kun kyse on Google Chrome Web Storesta. Kun jotain kuitenkin tapahtuu, se on huono.

  • AddToFeedly oli Chrome -laajennus, jonka avulla käyttäjät voivat lisätä verkkosivuston Feedly RSS -lukijatilauksiinsa. Se aloitti elämän laillisena tuotteena harrastajakehittäjän julkaisema , mutta se ostettiin nelinumeroisella summalla vuonna 2014. Uudet omistajat liittivät laajennuksen SuperFish-mainosohjelmalla, joka ruiskutti mainoksia sivuille ja synnytti ponnahdusikkunoita. SuperFish sai tunnetuksi aiemmin tänä vuonna, kun kävi ilmi, että Lenovo oli toimittanut sen kaikkien edullisien Windows-kannettaviensa kanssa.
  • Web -sivun kuvakaappaus avulla käyttäjät voivat kaapata kuvan koko verkkosivusta, jolla he vierailevat, ja se on asennettu yli miljoonaan tietokoneeseen. Se on kuitenkin myös lähettänyt käyttäjätietoja yhdelle IP -osoitteelle Yhdysvalloissa. WebPage Screenshotin omistajat ovat kiistäneet väärinkäytöksensä ja väittävät, että se oli osa heidän laadunvarmistuskäytäntöjään. Google on sittemmin poistanut sen Chrome Web Storesta.
  • Lisää Google Chromeen oli kelvollinen laajennus kaapatut Facebook -tilit ja jakoivat luvattomia tiloja, viestejä ja valokuvia. Haittaohjelma levisi YouTuben jäljittelevän sivuston kautta ja kehotti käyttäjiä asentamaan laajennuksen videoiden katsomista varten. Google on sittemmin poistanut laajennuksen.

Koska useimmat ihmiset käyttävät Chromea suorittamaansa suurimman osan tietokoneistaan, on huolestuttavaa, että nämä laajennukset onnistuivat luiskahtamaan halkeamien läpi. Mutta ainakin siellä oli a menettelyä epäonnistua. Kun asennat laajennuksia muualta, et ole suojattu.

Aivan kuten Android -käyttäjät voivat asentaa haluamansa sovelluksen, Google antaa sinun asentaa haluamasi Chrome -laajennuksen, myös sellaiset, jotka eivät ole peräisin Chrome Web Storesta. Tämä ei ole vain antaa kuluttajille hieman enemmän valinnanvaraa, vaan antaa kehittäjille mahdollisuuden testata koodia, jota he ovat työskennelleet ennen sen lähettämistä hyväksyttäväksi.

On kuitenkin tärkeää muistaa, että kaikki manuaalisesti asennetut laajennukset eivät ole käyneet läpi Googlen tiukkoja testausmenettelyjä ja voivat sisältää kaikenlaista ei -toivottua toimintaa.

Kuinka vaarassa olet?

Vuonna 2014 Google ohitti Microsoftin Internet Explorerin hallitsevana selaimena, ja se edustaa nyt lähes 35% Internetin käyttäjistä. Tämän seurauksena se on houkutteleva kohde kaikille, jotka haluavat saada nopeasti rahaa tai levittää haittaohjelmia.

Google on pääosin selvinnyt. Tapauksia on ollut, mutta ne on eristetty. Kun haittaohjelmat ovat onnistuneet luiskahtamaan läpi, he ovat käsitelleet ne tarkoituksenmukaisesti ja ammattitaidolla, jota voit odottaa Googlelta.

On kuitenkin selvää, että laajennukset ja laajennukset ovat mahdollinen hyökkäysvektori. Jos aiot tehdä mitään arkaluonteista, kuten kirjautua verkkopankkiisi, sinun kannattaa ehkä tehdä se erillisessä, laajennuksettomassa selaimessa tai incognito-ikkunassa. Ja jos sinulla on jokin yllä luetelluista laajennuksista, kirjoita chrome: // extensions/ Chrome -osoitepalkista ja etsi ja poista ne turvallisuuden vuoksi.

Oletko koskaan asentanut vahingossa Chrome -haittaohjelmia? Livenä kertoa tarina? Haluan kuulla siitä. Laita kommentti alle, niin jutellaan.

Kuvaluotot: Vasara särkyneellä lasilla Shutterstockin kautta

Jaa Jaa Tweet Sähköposti Dark Web vs. Deep Web: Mikä on ero?

Tumma verkko ja syvä verkko sekoitetaan usein yhdeksi ja samaksi. Mutta näin ei ole, joten mikä ero on?

Lue seuraava Liittyvät aiheet
  • Selaimet
  • Turvallisuus
  • Google Chrome
  • Online -suojaus
Kirjailijasta Matthew Hughes(386 artikkelia julkaistu)

Matthew Hughes on ohjelmistokehittäjä ja kirjailija Liverpoolista, Englannista. Hänet löydetään harvoin ilman kupillista vahvaa mustaa kahvia kädessään ja hän rakastaa ehdottomasti Macbook Prota ja kameraa. Voit lukea hänen blogiaan osoitteessa http://www.matthewhughes.co.uk ja seurata häntä Twitterissä osoitteessa @matthewhughes.

Lisää Matthew Hughesilta

tilaa uutiskirjeemme

Liity uutiskirjeeseemme saadaksesi teknisiä vinkkejä, arvosteluja, ilmaisia ​​e -kirjoja ja ainutlaatuisia tarjouksia!

Klikkaa tästä tilataksesi