Донецкий техникум промышленной автоматики

Як перевірити безпеку ваших розширень в Google Chrome

  1. Що потрібно перевірити, перш ніж встановлювати розширення для Chrome
  2. Створіть другий аккаунт для перевірки розширень
  3. Ніколи не встановлюйте розширення через поза Chrome Web Store
  4. Переконайтеся, що ви встановлюєте правильне розширення
  5. Уважно прочитайте опис розширення і політику використання
  6. Перевірте сайт розширення
  7. Перевірте кількість користувачів розширення
  8. Читайте відгуки про розширення в Chrome Web Store
  9. Перевірте дозволу, які запитує розширення
  10. Подивіться на код розширення
  11. підсумки

16 Июля, 2018, 13:00

2411

Редактор Tech Talks Кевін Делш написав для користувачів браузера Chrome гайдлайн з порадами, який дозволить убезпечити себе і свої персональні дані від недобросовісних розробників розширень.

За даними statcounter.com, Chrome домінує серед браузерів з майже 60% частки на всіх платформах станом на червень 2018 року.

Окрім простоти використання, швидкості завантаження і надійності, Google Chrome також може запропонувати користувачеві величезний арсенал розширень, які здатні задовольнити практично будь-яку, навіть саму специфічну потребу.

Розширення для Chrome прикольні і підвищують продуктивність, немає необхідності замовляти індивідуальну розробку якогось софтверного рішення, адже все, що вам потрібно, вже є в Chrome Web Store, вірно?

Незважаючи на видиму безневинно, розширення Chrome можуть отримувати повний доступ до даних користувача в браузері, включаючи сайти, які він відвідує, контент, яким цікавиться, все, що вводить на цих сайтах, в тому числі паролі і т.д. Часто розширенню насправді не обов'язково отримувати доступ до всієї цієї інформації, щоб стабільно працювати. Тут все залежить від користувача - якщо він з готовністю надав всі дозволи, які запросив у нього плагін Chrome, залишається нарікати на себе.

Незважаючи на те, що Google сканує всі розширення Chrome при подачі їх на розгляд в Chrome Web Store, іноді шкідливі плагіни все-таки просочуються в магазин. А ще розширення можна встановити з і зовсім сторонніх веб-сайтів через так званий inline install API. Благо, незабаром цю лазівку обіцяють закрити, але поки вона все ще працює.

Є ще один момент. Розширення Chrome можуть оновлюватися автоматично. Тобто навіть якщо ви зробили необхідні превентивні заходи, все може зміниться з часом. Наприклад, порядна розробник продасть своє розширення, і новий власник вирішить додати в нього якісь неблагонадійні елементи. І це лише один з безлічі можливих сценаріїв. Так що з розширеннями Chrome варто бути уважними.

Що потрібно перевірити, перш ніж встановлювати розширення для Chrome

Вам точно потрібно це розширення?

Це питання елементарної цифрової гігієни. Кожна функція, яку ви додасте в систему, підвищує її вразливість. В інтернеті повно всяких класних штучок, але не варто встановлювати їх, якщо вони вам по-справжньому не потрібні.

Створіть другий аккаунт для перевірки розширень

Як дізнатися, чи допоможе розширення збільшити вашу продуктивність, які не встановивши його? Для багатьох це важливіше правила вище. Вийти з положення можна, створивши додатковий аккаунт спеціально для перевірки розширень. Таким чином ви захистите дані, які містяться в вашому основному акаунті в разі, якщо розширення виявиться несумлінним.

Ніколи не встановлюйте розширення через поза Chrome Web Store

Google вже ввів в дію це правило в Chrome для розширень, опублікованих після 12 червня 2018 року. Але якщо ви встигли встановити якісь плагіни до цієї дати з-поза Chrome Web Store, краще знесіть їх і пошукайте офіційні альтернативи в магазині.

В Google обіцяють закрити цю можливість функцію до 12 вересня: на якому б сайті ви не скликали, щоб встановити розширення, вас автоматично перенаправить в Chrome Web Store, і це добре. Повністю inline install API буде вилучено з Chrome 71 на початку грудня. Однак у творців залишиться можливість локально встановлювати свої розширення для тестування, включивши режим розробника.

Переконайтеся, що ви встановлюєте правильне розширення

Раніше в квітні компанія AdGuard, яка пропонує продукти для блокування реклами, опублікувала список шкідливих розширень для Chrome, які разом скомпрометували більше 20 млн користувачів.

Ось цей список (зараз всі ці розширення видалені з Chrome):

  • AdRemover для Google Chrome ™ (10 млн користувачів)
  • uBlock Plus (8 млн)
  • Adblock Pro (2 млн)
  • HD для YouTube ™ (400 000)
  • Webutation (30 000)

А ось офіційні довірені розширення, під які мімікрують шкідливий:

  • AdBlock (10 млн)
  • Adblock Plus (10 млн)
  • AdBlocker Ultimate (750 000)
  • uBlock (500 000)
  • uBlock Origin (10 млн)
  • uBlock Plus Adblocker (800 000)
  • і багато інших.

Ось чому так важливо переконатися, що ви встановлюєте то розширення, яке хотіли, а не його копію-шкідник.

Уважно прочитайте опис розширення і політику використання

Google вимагає від розробників прозорого і повного опису продукту - це одна з умов потрапляння в офіційний Chrome Web Store. Розширення можуть не є шкідливими програмами і пройти сканування на безпеку в Google, при цьому вони містять функції, які можуть вам не сподобається. Наприклад, відстеження інформації або обмін даними. Читаючи опис, ви самі вирішуєте, стоять можливості, пропоновані розширенням, тих інформаційних жертв, на які вам доведеться піти.

Перевірте сайт розширення

Далеко не у кожного розширення є сайт. Є багато таких, і вони досить популярні, які самостійно розробляють і підтримують інді-розробники. У той же час шахраї можуть легко створити для своїх додатків сайт, щоб підвищити собі реноме в очах користувача.

Але уважна перевірка сайту дає більше інформації і повнішу картину, яка дозволить вам прийняти вірне рішення. Зверніть увагу на ознаки непрофесіоналізму, як, наприклад, граматичні помилки на сайті або, як то кажуть, «поганий англійська».

Перевірте кількість користувачів розширення

Уникайте розширень, у яких мало користувачів. Вони можуть виявитися корисними та інноваційними проектами, але якщо у вас бракує навичок, щоб дослідити таке розширення на предмет тривожних дзвіночків, краще відмовтеся від його установки. Знайдіть в магазині Chrome розширення, яке дає ті ж можливості і у якого більше користувачів - так безпечніше.

Читайте відгуки про розширення в Chrome Web Store

У шкідливий можуть бути хороші відгуки, написані самими авторами, щоб зробити свої проекти більш привабливими. Як правило, це зрозуміло, якщо на сторінці відгуків тільки захват і п'ять зірок при повній відсутності специфічних юзкейсов. Наприклад, ось так виглядали відгуки про AdRemover в Chrome Web Store, перш ніж Google його видалив:

Звичайно, завжди є користувачі, яким здається, що вони знайшли краще застосування з часів відкриття інтернету, але як правило серед загального числа знаходяться також більш технічно підковані і схильні до критики користувачі. Якщо на сторінці відгуків таких немає, краще не встановлюйте це розширення.

Перевірте дозволу, які запитує розширення

Їх має бути якомога менше і вони повинні бути логічними. Наприклад, розширення для створення скріншотів екрану точно не потрібен доступ до всіх ваших даних. Не варто встановлювати таке розширення, яке просить дозволу до даних, які не є важливою складовою для їх функціональності.

Подивіться на код розширення

Якщо у вас є базові знання в програмуванні, не полінуйтеся заглянути в код розширення. Chrome-розширення побудовані на технологіях JavaScript, HTML, CSS. Так що код повинен бути читабельним, якщо тільки розробник нічого такого в ньому не нахімічив. Багато розширення доступні на GitHub, де ви можете легко завантажити їх і ознайомитися з вмістом. А ті, яких немає на GitHub, можна знайти через Developers tools в браузері або знайти на жорсткому диску.

підсумки

Chrome Web Store - це джунглі, повні чудес, як хороших, так і поганих. Так що якщо ви зважилися піти туди на розвідку, вирушайте підготовленими. А якщо хочете взяти звідти додому щось екзотичне, двічі подумайте. Раптом воно кусається і отруйно.

Помітили помилку? Виділіть її та натисніть Ctrl + Enter, щоб повідомити нам.

Помітили помилку?