1. Розширений контроль над дозволами
2. Інші поліпшення безпеки розширень
3. Двухфакторная аутентифікація для розробників
4. Розширений аудит безпеки
5. висновок

Google збирається поліпшити заходи безпеки роботи з розширеннями з виходом Chrome 70 в середині жовтня 2018 року. Розробники додатків для браузера також зіткнутися з рядом змін

Розширений контроль над дозволами

Браузерні розширення (add-ons, доповнення) можуть бути корисними для різних цілей: починаючи від блокування небажаного контенту і закінчуючи поліпшенням зручності користування браузером і допомогою в онлайн-шопінг.

Розширення в Chrome мають обмежені можливості. Chrome підтримує систему дозволів, яка вимагає від доповнень запиту певних прав, наприклад доступу до даних на всіх сайтах. Тільки, коли користувач надає відповідні дозволи, доповнення може виконати свої функції.

Зловмисники і деякі розробники розширень знайшли лазівки в автоматизованій системі, яку компанія Google використовує для перевірки доповнень. У 2018 році дослідники безпеки нерідко виявляли випадки появи в Інтернет-магазині Chrome шкідливих розширень або доповнень, які порушують конфіденційність даних користувача.

Якщо ви активно працюєте з розширеннями Chrome, то могли стикатися з ситуацією, коли розширення запитує надто широкі дозволу, наприклад доступ до даних на всіх сайтах, навіть якщо воно призначене для роботи з якимось одним конкретним сайтом. Не всі розширення, які демонструють таку поведінку, є шкідливими, але деякі з них можуть принаймні становити ризики для конфіденційності даних.

Хоча користувачі можуть перевіряти розширення для Chrome перед установкою, щоб переконатися в їх безпеці, насправді, так надходять лише меншість, тому що для аналізу полігонів потрібне знання JavaScript і принципів роботи розширень.

Google збирається поліпшити заходи безпеки роботи з розширеннями з виходом Chrome 70 в середині жовтня 2018 року.

Завантажити Google Chrome (beta, dev)

Google планує надати користувачам контроль над хостами, до яких можуть звертатися розширення. Зараз, якщо розширення отримало дозвіл «Перегляд і зміна ваших даних на відвідуваних сайтах», то воно може взаємодіяти з іншими сайтами, і користувач ніяк не може вплинути на дану ситуацію, окрім як видалити розширення з Chrome.

Починаючи з Chrome 70, користувачі браузера зможуть обмежувати доступ розширень до хостів наступними способами:

• Обмежувати доступ до певних сайтів, наприклад тільки до comss.one
• Включати активацію при натисканні для всіх сайтів

При натисканні правою кнопкою миші по встановленому розширенню відобразиться новий пункт меню «Розширення може отримувати доступ до даних сайту або змінювати їх». Коли ви наведете курсор миші на цей пункт, то отримаєте можливість обмежити доступ для розширення.

Ви також зможете контролювати, на яких сайтах може працювати розширення - налаштувати це можна на сторінці chrome: // extensions при виборі опції «Детальніше» для встановленого розширення.

Нова опція «Дозволити розширенню перегляд і зміна ваших даних на відвідуваних сайтах» дозволяє обмежити доступ розширення «При натисканні» і «На обраних сайтах».

При виборі опції «На обраних сайтах» користувач може додати кілька сайтів в білий список. На інших сайтах доступ розширення до даних буде блокуватися.

Зверніть увагу, що нова функціональність стає доступною після встановлення розширення. У момент установки розширення з Веб-магазину Chrome опції для настройки доступу до сайтів не відображаються.

Можливо, Google внесе корективи в майбутньому або інтегрує параметр в Chrome, щоб встановити інший варіант за замовчуванням для розширень, на якій знаходяться доступ до всіх сайтів.

На даний момент, в Chrome 70 змінити права доступу до сайту можна тільки після установки.

Chrome виділяє значки розширень, які хочуть отримати доступ до сайту, але не мають відповідних дозволів.

При натисканні по розширенню з'явиться опція «Придніпровськ, щоб використовувати розширення». Після цього розширення буде надано доступ до сторінки, і згодом ви зможете використовувати його функціональні можливості на сторінці.

Обраний розширення отримує права доступу до обраної сторінці тільки в тому випадку, якщо ви активуєте його вручну, але не на будь-який інший сторінці, якщо вибрано "При натисканні».

Якщо ви хочете, щоб розширення було запущено на всіх сторінках сайту, виберіть варіант «на сайті».

Користувачі Chrome отримають поліпшене керування розширеннями з виходом Chrome 70. Розширення можна обмежити для роботи тільки на невеликому числі сайтів або активувати опцію «при натисканні». За замовчуванням будуть надані права доступу для всіх сайтів, як і раніше.

Нові параметри стануть відмінним інструментом для просунутих користувачів, які хочуть обмежити роботу розширень. Це, безумовно, правильний хід для певних видів розширень. Завантаження відео або зображень повинна виконуватися тільки тоді, коли вам це потрібно, а не при завантаженні сайту в браузері. Також бажано, щоб Google додав опцію для установки значення за замовчуванням для нових розширень.

Користувачі Chrome 70 Beta вже зараз можуть включити цю функцію, вибравши опцію «Enabled» для прапора chrome: // flags / # extension-active-script-permission.

Завантажити Google Chrome (beta, dev)

Інші поліпшення безпеки розширень

Заборона на обфускація коду

Розробники розширень також зіткнутися з низкою змін. Розширення, які використовують обфусцірованний код будуть заборонені в Інтернет-магазині Chrome. Розміщення на майданчику розширення, які використовують обфускація коду, отримають 90-денний перехідний перехід, щоб позбутися від нечитабельною коду. Якщо після закінчення цього періоду обфускація буде уважно, розширення буде видалено з магазину. Новим розширення з обфусцірованним кодом буде відмовлено в розміщенні відразу ж.

Google наводить дані статистики, що більше 70% шкідливих і порушують конфіденційність розширень використовують обфускація коду. У більшості випадків, обфускація застосовується, щоб уникнути виявлення автоматичними сканерами Інтернет-магазину Chrome, службовців для виявлення шкідливих або проблемних розширень.

Ця зміна ніяк не стосується мініфікаціі або стиснення коду. Серед дозволених методів мініфікаціі - видалення пробілів і коментарів коду, а також скорочення змінних і функцій.

Двухфакторная аутентифікація для розробників

Інша зміна, яка безпосередньо зачіпає творців розширень, полягає в тому, що розробникам необхідно включити двоетапну перевірку для облікових записів розробників в 2019 році.

Останнім часом зловмисники стали непогано справлятися зі зломом облікових записів розробників з метою поширення шкідливого коду. Дана міра покликана значно зменшити кількість подібних інцидентів.

Розширений аудит безпеки

Нарешті, третя зміна впливає на процес аналізу. Розширення Chrome перевіряються автоматично, коли розробник надсилає їх на публікацію. Хоча автоматизація є економічно ефективною, вона не забезпечує абсолютний захист від шкідливих розширень.

Розширення «вимагають потужних дозволів», повинні будуть проходити «додаткові перевірки відповідності», а розширення, які «використовують віддалено розміщений код» будуть ретельно аналізуватися.

Google планує випустити оновлений маніфест для розширень в 2019 році «для забезпечення більш надійних гарантій безпеки, конфіденційності та продуктивності». Ключові цілі включають надання користувачам додаткових механізмів для контролю прав розширень, застосування «більш обмежених» API-інтерфейсів і впровадження нових можливостей.

висновок

Google вирішив зробити рішучі кроки для боротьби з шкідливими і проблемними розширеннями в Інтернет-магазині Chrome. Блокування розширень з обфусцірованним кодом і розширений моніторинг розширень є дуже бажаними нововведеннями. Нарешті, функція настройки доступу розширень до даних сайтів дає користувачам розширений контроль над поведінкою розширень.

Як ви вважаєте, чи є дані заходи достатніми, щоб очистити Інтернет-магазин Chrome від шкідливих розширень і зробити роботу з доповненнями в браузері безпечніше?

за матеріалами gHacks