Home-theater-designers
Asi 33% všetkých používateľov prehliadača Chromium má nainštalovaný nejaký druh doplnku prehliadača. Doplnky nie sú iba okrajovou technológiou, ktorú používajú výhradne skúsení používatelia, ale sú hlavným prúdom, pričom väčšina pochádza z Internetového obchodu Chrome a trhu s doplnkami Firefox.
Ako sú však bezpečné?
Podľa výskumu treba predložiť na sympóziu IEEE o bezpečnosti a súkromí je odpoveď nie veľmi . Štúdia financovaná spoločnosťou Google zistila, že v desiatkach miliónov používateľov prehliadača Chrome je nainštalovaných niekoľko rôznych doplnkov založených na malvéri, čo predstavuje 5% z celkovej návštevnosti spoločnosti Google.
Výsledkom výskumu bolo vymazanie takmer 200 doplnkov z obchodu Chrome App Store a spochybnilo celkové zabezpečenie trhu.
Čo teda Google robí, aby bol v bezpečí, a ako môžete rozpoznať nečestný doplnok? Som zistil.
Odkiaľ pochádzajú doplnky
Hovorte im, čo chcete - rozšírenia prehliadača, doplnky alebo doplnky - všetky pochádzajú z rovnakého miesta. Nezávislí vývojári tretích strán vyrábajúci produkty, ktoré podľa ich názoru slúžia potrebám alebo riešia problém.
Doplnky prehliadača sú spravidla písané pomocou webových technológií, ako sú HTML, CSS a JavaScript, a zvyčajne sú navrhnuté pre jeden konkrétny prehliadač, aj keď existujú niektoré služby tretích strán, ktoré uľahčujú vytváranie doplnkov pre rôzne platformy.
Akonáhle doplnok dosiahne úroveň dokončenia a je testovaný, uvoľní sa. Doplnok je možné distribuovať nezávisle, aj keď drvivá väčšina vývojárov sa namiesto toho rozhodne distribuovať ho prostredníctvom obchodov s rozšíreniami Mozilla, Google a Microsoft.
Napriek tomu, skôr ako sa dotkne počítača užívateľa, musí byť testovaný, aby sa zaistilo jeho bezpečné používanie. V obchode Google Chrome App Store to funguje takto.
Bezpečnosť prehliadača Chrome
Od odoslania rozšírenia až po jeho prípadné zverejnenie čaká 60 minút. Čo sa tu deje? V zákulisí sa spoločnosť Google stará o to, aby doplnok neobsahoval žiadnu škodlivú logiku alebo čokoľvek, čo by mohlo ohroziť súkromie alebo bezpečnosť používateľov.
Tento proces je známy ako „vylepšené overovanie položiek“ (IEV) a predstavuje sériu prísnych kontrol, ktoré skúmajú kód doplnku a jeho správanie pri inštalácii s cieľom identifikovať škodlivý softvér.
Google má tiež vydal „sprievodcu štýlom“ svojho druhu, ktorý vývojárom hovorí o povolenom správaní a ostatných ostatných výslovne odrádza. Je napríklad zakázané používať vložený JavaScript - JavaScript, ktorý nie je uložený v samostatnom súbore - aby sa znížilo riziko proti útokom skriptovania medzi webmi.
Google tiež dôrazne odrádza od používania 'eval', čo je programovací konštrukt, ktorý umožňuje kódu vykonávať kód a môže predstavovať všetky druhy bezpečnostných rizík. Tiež ich veľmi nezaujímajú doplnky, ktoré sa pripájajú k vzdialeným službám, ktoré nepochádzajú od Googlu, pretože to predstavuje riziko útoku typu Man-In-The-Middle (MITM).
Ide o jednoduché kroky, ale väčšinou sú účinné pri zaistení bezpečnosti používateľov. Javvad Malik “Bezpečnostný advokát spoločnosti Alienware si myslí, že je to krok správnym smerom, ale poznamenáva, že najväčšou výzvou pri zaistení bezpečnosti používateľov je otázka vzdelávania.
„Rozlišovanie medzi dobrým a zlým softvérom je stále ťažšie. Aby som parafrázoval, legitímny softvér jedného človeka je iným krádežou identity, škodlivým vírusom ohrozujúcim súkromie kódovaným v útrobách pekla. „Nechápte ma zle, vítam krok spoločnosti Google odstrániť tieto škodlivé rozšírenia-niektoré z nich by mali na začiatku neboli nikdy zverejnené. Ale výzvou pre spoločnosti ako Google je dohliadať na rozšírenia a definovať hranice prijateľného správania. Rozhovor, ktorý presahuje bezpečnosť alebo technológiu, a otázku pre spoločnosť využívajúcu internet ako celok. “
Cieľom spoločnosti Google je zaistiť, aby boli používatelia informovaní o rizikách spojených s inštaláciou doplnkov prehliadača. Každé rozšírenie v obchode Google Chrome App Store výslovne uvádza požadované povolenia a nemôže prekročiť povolenia, ktoré mu udelíte. Ak rozšírenie požaduje robiť veci, ktoré sa zdajú neobvyklé, máte dôvod na podozrenie.
Ako však všetci vieme, občas sa stane, že prekročí malvér.
nájsť nekrológ pre konkrétnu osobu zadarmo
Keď sa Google pokazí
Google prekvapivo drží celkom tesnú loď. Hodinky veľa neprekĺzli, aspoň pokiaľ ide o Internetový obchod Google Chrome. Keď sa však niečo stane, je to zlé.
- AddToFeedly bol doplnok Chrome, ktorý používateľom umožňoval pridať webovú stránku k svojim predplatným čítačky RSS Feedly. Začalo to život ako legitímny produkt vydal vývojár pre hobby firmy , ale bol kúpený za štvorcifernú sumu v roku 2014. Noví majitelia potom prichytili doplnok pomocou adwaru SuperFish, ktorý do stránok vkladal reklamu a zobrazoval vyskakovacie okná. SuperFish sa preslávil začiatkom tohto roka, keď sa ukázalo, že Lenovo ho dodáva so všetkými svojimi lacnými notebookmi so systémom Windows.
- Snímka obrazovky webovej stránky umožňuje používateľom zachytiť obrázok celej webovej stránky, ktorú navštevujú a ktorá bola nainštalovaná na viac ako 1 milióne počítačov. V Spojených štátoch však tiež prenáša informácie o používateľovi na jednu adresu IP. Majitelia webovej stránky WebPage Screenshot popierajú akékoľvek previnenie a trvajú na tom, že bola súčasťou ich postupov zabezpečenia kvality. Google ho odvtedy odstránil z Internetového obchodu Chrome.
- Pridať do prehliadača Google Chrome bolo nečestné rozšírenie, ktoré ukradnuté účty na Facebooku , a zdieľali neautorizované stavy, príspevky a fotografie. Malvér bol šírený prostredníctvom stránok, ktoré napodobňujú YouTube, a vyzval používateľov, aby si doplnok nainštalovali a mohli sledovať videá. Google odvtedy doplnok odstránil.
Vzhľadom na to, že väčšina ľudí používa prehliadač Chrome na prácu s prevažnou väčšinou svojich počítačov, je znepokojujúce, že sa týmto doplnkom podarilo prekĺznuť cez praskliny. Ale aspoň tam bol a postup zlyhanie. Keď inštalujete rozšírenia odinakiaľ, nie ste chránení.
Rovnako ako používatelia systému Android si môžu nainštalovať ľubovoľnú aplikáciu, Google vám umožňuje nainštalovať ľubovoľné požadované rozšírenie prehliadača Chrome vrátane tých, ktoré nepochádzajú z Internetového obchodu Chrome. Nejde len o to, aby mali spotrebitelia o niečo väčšiu možnosť výberu, ale skôr o to, aby umožnili vývojárom otestovať kód, na ktorom pracovali, pred odoslaním na schválenie.
Je však dôležité mať na pamäti, že akékoľvek rozšírenie, ktoré je nainštalované ručne, neprešlo prísnymi testovacími postupmi spoločnosti Google a môže obsahovať všetky druhy nežiaduceho správania.
Ako ste ohrození?
V roku 2014 Google predbehol Internet Explorer spoločnosti Microsoft ako dominantný webový prehliadač a v súčasnosti predstavuje takmer 35% používateľov internetu. Výsledkom je, že pre každého, kto chce rýchlo zarobiť alebo distribuovať škodlivý softvér, zostáva lákavým cieľom.
Google si s tým väčšinou dokázal poradiť. Vyskytli sa incidenty, ale boli izolované. Keď sa malvéru podarí prekĺznuť, rýchlo sa s ním vysporiadal a s profesionalitou, ktorú by ste od spoločnosti Google očakávali.
Je však zrejmé, že rozšírenia a doplnky sú potenciálnym vektorom útoku. Ak plánujete robiť niečo citlivé, ako napríklad prihlásiť sa do svojho online bankovníctva, možno to budete chcieť urobiť v samostatnom prehliadači bez doplnkov alebo v okne inkognito. A ak máte niektoré z vyššie uvedených rozšírení, zadajte chrome: // rozšírenia/ v paneli s adresou Chrome, potom ich v bezpečí nájdite a odstráňte.
Už ste niekedy omylom nainštalovali nejaký škodlivý softvér Chrome? Dožiť sa príbehu? Chcem o tom počuť. Napíšte mi komentár nižšie a porozprávame sa.
Kredity obrázku: Kladivo na rozbité sklo Prostredníctvom Shutterstock
zdieľam zdieľam Tweet E -mail Dark Web vs. Deep Web: Aký je rozdiel?Tmavý web a hlboký web sa často mýlia s tým, že sú jedno a to isté. Ale nie je to tak, v čom je teda rozdiel?
Čítajte ďalej Súvisiace témy- Prehliadače
- Zabezpečenie
- Google Chrome
- Zabezpečenie online
Matthew Hughes je softvérový vývojár a spisovateľ z anglického Liverpoolu. Málokedy ho nájdu bez šálky silnej čiernej kávy v ruke a úplne zbožňuje svoj Macbook Pro a svoj fotoaparát. Jeho blog si môžete prečítať na http://www.matthewhughes.co.uk a sledovať ho na twitteri na @matthewhughes.
Viac od Matthewa Hughesaprihlásiť sa ku odberu noviniek
Pripojte sa k nášmu bulletinu a získajte technické tipy, recenzie, bezplatné elektronické knihy a exkluzívne ponuky!
Kliknutím sem sa prihlásite na odber