Google розкрила плани щодо подальшого підвищення захисту додатків до Chrome
Google розкрила плани щодо подальшого підвищення захисту додатків до Chrome
Google розкрила плани щодо подальшого підвищення захисту доповнень до Chrome та зниження кількості шкідливих доповнень у каталозі Chrome Web Store. Останнім часом почастішали випадки захоплення контролю за популярними доповненнями з метою підстановки шкідливого коду. Також періодично спливають факти прихованого додавання авторами доповнень коду для збору персональних даних або передачі до зовнішніх сервісів відомостей про відвідування.
Для захисту користувачів Chrome та запобігання появі в Chrome Web Store шкідливих доповнень заплановані такі зміни:
- У Chrome 70 користувач зможе обмежити дію доповнення певним списком сайтів або увімкнути режим активації доповнення на кожній сторінці тільки після явного кліку на значок додаток в панелі. Зазначені можливості дозволять захистити користувача від прихованого вчинення нецільових дій, таких як вивужування зі сторінки персональних даних або підстановка реклами. Кінцевою метою внесених змін є надання користувачеві механізмів для управління доступом та відстеження ситуацій, коли доповнення може отримати доступ до даних сайту, що переглядається.
- У каталозі доповнень буде модернізовано процес рецензування коду. Усі доповнення, що вимагають надто великі повноваження, будуть проходити додаткову перевірку. Окрема увага приділятиметься виявленню доповнень, які використовують код, що завантажується із зовнішніх серверів. Розробникам доповнень рекомендовано вимагати лише мінімум необхідних повноважень та включати весь код безпосередньо до архіву з доповненням.
- У Chrome Web Store заборонено розміщення доповнень, в яких застосовується техніка заплутування коду (obfuscation) з метою приведення його до нечитаного виду, що ускладнює відновлення алгоритму роботи. У тому числі заборонено використання коду та ресурсів, що завантажуються із зовнішніх хостів. Нові правила застосовуються з сьогодні до всіх нових доповнень. Розміщені раніше доповнення повинні позбавитися такого коду до 1 січня 2019 року, інакше вони будуть видалені з каталогу.
За статистикою Google понад 70% шкідливих і порушуючих правила доповнень, заблокованих у Chrome Web Store, включали код, що не читається. Наявність заплутаного коду суттєво ускладнює процес рецензування, негативно впливає на продуктивність та підвищує витрату пам'яті. Спроба виправдати заплутування захистом пропрієтарного коду не витримує критики, оскільки подібні техніки мало допомагають від зворотного. інжинірингу.
Отдельно підкреслюється, що мінімізація коду (скорочення імен змінних та функцій, злиття JavaScript-файлів, видалення зайвих прогалин, коментарів, перекладів рядків та роздільників), як і раніше, залишається дозволеною. Під блокування підпадає лише заплутування коду, наприклад приховування коду в блоках base64.
- У 2019 році для розробників доповнень стане обов'язковим застосування двофакторної аудентифікації при доступі до облікових записів у Chrome Web Store. Для досягнення ще більшого рівня захисту рекомендується використовувати аутентифікацію на базі фізичних ключів.
- У 2019 році планується запропонувати третю версію формату файлу-маніфесту, в якому будуть запропоновані нові можливості для посилення безпеки, приватності та продуктивності. Метою нової версії маніфесту є спрощення створення безпечних та високопродуктивних доповнень, та ускладнення можливості створення небезпечних та повільних доповнень.
Наміченої мети планують досягти, пропонуючи більш вузькоспеціалізовані та декларативні API, що дозволяють обмежити потребу у ширшому доступі та пропонують оптимальні з точки зору продуктивності рішення. Крім того, у додатках очікується поява можливості фонового виконання робіт за допомогою Service Workers та надання додаткових спрощених механізмів, що дозволяють користувачеві керувати повноваженнями розширень.
