Mennyire biztonságos a Chrome Internetes áruház?

Mennyire biztonságos a Chrome Internetes áruház?

A Chromium -felhasználók körülbelül 33% -a telepített valamilyen böngészőbővítményt. Ahelyett, hogy a bővítmények egy rés, éltechnológia, amelyet kizárólag az energiafelhasználók használnak, a bővítmények pozitív irányba mozdulnak el, a többség a Chrome Internetes áruházból és a Firefox Bővítménypiacról származik.





De mennyire biztonságosak?



Kutatások szerint bemutatása miatt az IEEE biztonsági és adatvédelmi szimpóziumán a válasz az Nem nagyon . A Google által finanszírozott tanulmány megállapította, hogy a Chrome-felhasználók több tízmilliója telepített valamilyen kiegészítő alapú kártevőt, ami a teljes Google-forgalom 5% -át teszi ki.





A kutatás eredményeként csaknem 200 plugint töröltek le a Chrome App Store -ból, és megkérdőjelezték a piac általános biztonságát.

Tehát mit tesz a Google a biztonságunk érdekében, és hogyan észlelhet egy gazember-kiegészítőt? Kitaláltam.



Honnan származnak a kiegészítők

Hívd őket, ahogy akarod - böngészőbővítmények, bővítmények vagy kiegészítők - mind ugyanabból a helyről származnak. Független, külső fejlesztők olyan termékeket állítanak elő, amelyekről úgy érzik, hogy szükségét szolgálják, vagy megoldanak egy problémát.

A böngészőbővítményeket általában webes technológiák, például HTML, CSS és JavaScript használatával írják, és általában egy adott böngészőhöz készülnek, bár vannak olyan harmadik féltől származó szolgáltatások, amelyek megkönnyítik a platformok közötti böngészőbővítmények létrehozását.



Miután a bővítmény elérte a befejezési szintet és tesztelt, azt elengedi. Lehetőség van önállóan is terjeszteni egy bővítményt, bár a fejlesztők túlnyomó többsége inkább a Mozilla, a Google és a Microsoft bővítményboltjain keresztül terjeszti őket.

Mielőtt azonban megérintené a felhasználó számítógépét, tesztelni kell annak biztonságosságát. Így működik a Google Chrome App Store -ban.



A Chrome biztonságának megőrzése

A kiterjesztés benyújtásától az esetleges közzétételéig 60 perc várakozás vár. Mi történik itt? Nos, a színfalak mögött a Google gondoskodik arról, hogy a beépülő modul ne tartalmazzon rosszindulatú logikát, vagy bármit, ami veszélyeztetheti a felhasználók magánéletét vagy biztonságát.

Ez a folyamat „továbbfejlesztett cikk -ellenőrzés” (IEV) néven ismert, és szigorú ellenőrzések sorozata, amely megvizsgálja a beépülő modul kódját és viselkedését a telepítés során a rosszindulatú programok azonosítása érdekében.

A Google is közzétett egy „stílusútmutatót” amely megmondja a fejlesztőknek a megengedett viselkedést, és kifejezetten elriasztja a többieket. Például tilos a soron belüli JavaScript - olyan JavaScript használata, amelyet nem külön fájlban tárolnak - a webhelyek közötti szkript támadások elleni kockázat csökkentése érdekében.

A Google ezenkívül határozottan ellenzi az „eval” használatát, amely egy programozási konstrukció, amely lehetővé teszi a kód számára a kód végrehajtását, és mindenféle biztonsági kockázatot bevezethet. Nem is nagyon szeretik a plug-ineket, amelyek távoli, nem Google-szolgáltatásokhoz csatlakoznak, mivel ez a Közép-ember (MITM) támadás kockázatát hordozza magában.

Ezek egyszerű lépések, de többnyire hatékonyak a felhasználók biztonságának megőrzésében. Javvad Malik , Az Alienware biztonsági ügyvédje úgy gondolja, hogy ez egy jó irányba tett lépés, de megjegyzi, hogy a felhasználók biztonságának megőrzésében a legnagyobb kihívás az oktatás kérdése.

„A jó és a rossz szoftver megkülönböztetése egyre nehezebb. Más szavakkal fogalmazva, az egyik ember legális szoftvere egy másik személyazonosság-lopó, a magánéletet veszélyeztető rosszindulatú vírus, amely a pokol gyomrába van kódolva. „Félreértés ne essék, üdvözlöm a Google azon lépését, hogy eltávolítsa ezeket a rosszindulatú kiterjesztéseket-ezek közül néhánynak kezdetben soha nem hozták nyilvánosságra. De a Google -hoz hasonló vállalatok előtt álló kihívás a kiterjesztések felügyelete és az elfogadható viselkedés korlátainak meghatározása. Egy olyan beszélgetés, amely túlmutat a biztonságon vagy a technológián, és kérdés az internethasználó társadalom számára.

A Google célja annak biztosítása, hogy a felhasználók tájékozottak legyenek a böngészőbővítmények telepítésével kapcsolatos kockázatokról. A Google Chrome App Store minden bővítménye kifejezetten tartalmazza a szükséges engedélyeket, és nem lépheti túl az Ön által biztosított engedélyeket. Ha egy mellékállomás olyan dolgokat kér, amelyek szokatlannak tűnnek, akkor oka van a gyanúra.

De néha, mint mindannyian tudjuk, rosszindulatú programok csúsznak át.

hogyan lehet áthelyezni a Google meghajtót egy másik meghajtóra

Amikor a Google téved

A Google meglepő módon meglehetősen szűk hajót tart. Nem sok csúszik el az órájuk mellett, legalábbis ami a Google Chrome Internetes áruházat illeti. Ha valami mégis sikerül, az rossz.

  • AddToFeedly egy Chrome -bővítmény volt, amely lehetővé tette a felhasználók számára, hogy webhelyeket adjanak hozzá Feedly RSS olvasó -előfizetéseikhez. Törvényes termékként indította el az életet hobby fejlesztő kiadta , de négy számjegyű összegért vásárolták meg 2014-ben. Az új tulajdonosok ezt követően beillesztették a beépülő modult a SuperFish adware-be, amely reklámokat fecskendezett az oldalakba és előugró ablakokat hozott létre. A SuperFish ismertségre tett szert az év elején, amikor kiderült, hogy a Lenovo szállította az összes olcsó Windows laptopjával.
  • Weboldal képernyőképe lehetővé teszi a felhasználók számára, hogy képet készítsenek a meglátogatott weboldal egészéről, és több mint 1 millió számítógépre telepítették. Ugyanakkor a felhasználók adatait egyetlen IP -címre is továbbítja az Egyesült Államokban. A WebPage Screenshot tulajdonosai tagadták, hogy bármiféle jogsértést követtek el, és ragaszkodnak ahhoz, hogy ez a minőségbiztosítási gyakorlatuk része volt. A Google azóta eltávolította a Chrome Internetes áruházból.
  • Hozzáadás a Google Chrome -hoz egy szélhámos kiterjesztés volt eltérített Facebook -fiókokat , és jogosulatlan állapotokat, bejegyzéseket és fényképeket osztott meg. A rosszindulatú program a YouTube -ot utánzó webhelyen terjedt, és azt mondta a felhasználóknak, hogy telepítsék a bővítményt a videók megtekintéséhez. A Google azóta eltávolította a bővítményt.

Tekintettel arra, hogy a legtöbb ember a Chrome -ot használja a számítástechnika túlnyomó többségének elvégzésére, aggasztó, hogy ezeknek a bővítményeknek sikerült átsiklaniuk a repedéseken. De legalább volt egy eljárás hogy kudarcot valljon. Ha máshonnan telepíti a bővítményeket, nem védett.

Ahogy az Android -felhasználók bármilyen alkalmazást telepíthetnek, a Google lehetővé teszi a kívánt Chrome -bővítmények telepítését, beleértve azokat is, amelyek nem a Chrome Internetes áruházból származnak. Ez nem csak a fogyasztók egy kis választási lehetőségének biztosítása, hanem lehetővé teszi a fejlesztők számára, hogy teszteljék a kódot, amelyen dolgoztak, mielőtt jóváhagyásra küldték volna.

Fontos azonban megjegyezni, hogy a manuálisan telepített bővítmények nem estek át a Google szigorú tesztelési eljárásain, és mindenféle nemkívánatos viselkedést tartalmazhatnak.

Mennyire vagy veszélyben?

2014 -ben a Google megelőzte a Microsoft Internet Explorer -jét, mint domináns webböngészőt, és most az internet -felhasználók közel 35% -át képviseli. Ennek eredményeképpen bárki, aki gyorsan szeretne pénzt keresni vagy rosszindulatú programot terjeszteni, csábító célpont marad.

A Google nagyrészt képes volt megbirkózni. Voltak incidensek, de elszigetelték őket. Amikor a rosszindulatú programoknak sikerült átcsúszniuk, akkor célszerűen és a Google -tól elvárható szakszerűséggel foglalkoztak vele.

Világos azonban, hogy a kiterjesztések és a bővítmények potenciális támadási vektorok. Ha bármilyen érzékeny tevékenységet tervez, például bejelentkezik az online banki szolgáltatásba, akkor ezt egy külön, beépülő modul nélküli böngészőben vagy egy inkognitóablakban teheti meg. És ha rendelkezik a fent felsorolt ​​kiterjesztések bármelyikével, írja be chrome: // extensions/ a Chrome címsorában, majd a biztonság kedvéért keresse meg és törölje őket.

Telepítettél véletlenül valamilyen Chrome kártevőt? Élő mesélni? Hallani akarok róla. Írj egy megjegyzést alább, és beszélgetünk.

Képhitelek: Kalapács törött üvegre A Shutterstockon keresztül

Részvény Részvény Csipog Email Sötét web és mély web: mi a különbség?

A sötét hálót és a mélyhálót gyakran összetévesztik azzal, hogy egy és ugyanaz. De ez nem így van, tehát mi a különbség?

Olvassa tovább Kapcsolódó témák
  • Böngészők
  • Biztonság
  • Google Chrome
  • Online biztonság
A szerzőről Matthew Hughes(386 megjelent cikk)

Matthew Hughes szoftverfejlesztő és író az angliai Liverpoolból. Ritkán találunk csésze erős fekete kávét a kezében, és teljesen imádja a Macbook Pro -t és a fényképezőgépét. A blogját elolvashatja a http://www.matthewhughes.co.uk címen, és követheti őt a Twitteren a @matthewhughes oldalon.

Továbbiak Matthew Hughes -től

Iratkozzon fel hírlevelünkre

Csatlakozz hírlevelünkhöz, ahol technikai tippeket, véleményeket, ingyenes e -könyveket és exkluzív ajánlatokat találsz!

Feliratkozáshoz kattintson ide