Kiek saugi yra „Chrome“ internetinė parduotuvė?

Kiek saugi yra „Chrome“ internetinė parduotuvė?

Maždaug 33% visų „Chromium“ vartotojų turi įdiegtą tam tikrą naršyklės papildinį. Priedai, o ne niša, pažangi technologija, kurią naudoja tik energijos vartotojai, yra teigiamai paplitę, dauguma jų yra iš „Chrome“ internetinės parduotuvės ir „Firefox“ priedų rinkos.





Bet kiek jie saugūs?



Remiantis tyrimais turi būti pristatytas IEEE saugumo ir privatumo simpoziume atsakymas yra nelabai . „Google“ finansuojamas tyrimas parodė, kad dešimtys milijonų „Chrome“ naudotojų turi įdiegę įvairias papildomas kenkėjiškas programas, o tai sudaro 5% viso „Google“ srauto.





Tyrimo metu buvo pašalinta beveik 200 papildinių iš „Chrome“ programų parduotuvės ir suabejota bendru rinkos saugumu.

Taigi, ką „Google“ daro, kad apsaugotume mus ir kaip pastebėti nesąžiningą priedą? Aš sužinojau.



Iš kur atsiranda priedai

Vadinkite juos kaip norite - naršyklės plėtinius, papildinius ar priedus - jie visi yra iš tos pačios vietos. Nepriklausomi trečiųjų šalių kūrėjai, gaminantys produktus, kurie, jų nuomone, yra reikalingi arba išsprendžia problemą.

Naršyklės priedai paprastai rašomi naudojant žiniatinklio technologijas, tokias kaip HTML, CSS ir „JavaScript“, ir paprastai yra sukurti vienai konkrečiai naršyklei, nors yra keletas trečiųjų šalių paslaugų, kurios palengvina kelių platformų naršyklės papildinių kūrimą.



Kai papildinys pasiekia užbaigimo lygį ir yra išbandomas, jis išleidžiamas. Įskiepį galima platinti savarankiškai, nors didžioji dauguma kūrėjų nusprendžia juos platinti per „Mozilla“, „Google“ ir „Microsoft“ plėtinių parduotuves.

Nors prieš paliečiant vartotojo kompiuterį, jį reikia išbandyti, kad įsitikintumėte, jog juo saugu naudotis. Štai kaip tai veikia „Google Chrome“ programų parduotuvėje.



„Chrome“ saugumas

Nuo pratęsimo pateikimo iki galutinio paskelbimo reikia laukti 60 minučių. Kas atsitiko čia? Na, užkulisiuose „Google“ užtikrina, kad papildinyje nebūtų kenkėjiškos logikos ar nieko, kas galėtų pakenkti vartotojų privatumui ar saugumui.

Šis procesas yra žinomas kaip „patobulintas elementų patvirtinimas“ (IEV) ir yra griežtų patikrinimų serija, kurios metu tiriamas papildinio kodas ir jo elgsena, kai jis įdiegtas, siekiant nustatyti kenkėjiškas programas.

„Google“ taip pat paskelbė „stiliaus vadovą“ kūrėjams nurodo, koks elgesys yra leidžiamas, ir aiškiai atbaido kitus. Pavyzdžiui, draudžiama naudoti įterptąjį „JavaScript“ - „JavaScript“, kuris nėra saugomas atskirame faile, kad būtų sumažinta kelių svetainių scenarijų atakų rizika.

„Google“ taip pat griežtai neleidžia naudoti „eval“, kuris yra programavimo konstrukcija, leidžianti kodui vykdyti kodą ir galinti kelti įvairias saugumo rizikas. Jie taip pat nelabai mėgsta papildinius, jungiančius prie nuotolinių, ne „Google“ paslaugų, nes tai kelia „viduryje žmogaus“ (MITM) atakos pavojų.

Tai paprasti veiksmai, tačiau dažniausiai jie yra veiksmingi siekiant apsaugoti vartotojus. Javvadas Malikas , „Alienware“ saugumo advokatas, mano, kad tai žingsnis teisinga linkme, tačiau pažymi, kad didžiausias iššūkis siekiant apsaugoti vartotojus yra švietimo klausimas.

„Vis sunkiau atskirti gerą ir blogą programinę įrangą. Perfrazuojant, vieno žmogaus teisėta programinė įranga yra kitas žmogaus tapatybę pavogiantis, privatumą pažeidžiantis kenkėjiškas virusas, užkoduotas pragaro žarnyne. „Nesupraskite manęs neteisingai, džiaugiuosi„ Google “žingsniu pašalinti šiuos kenkėjiškus plėtinius-kai kurie iš jų turėtų iš pradžių niekada nebuvo paviešinti. Tačiau tokioms įmonėms kaip „Google“ ateities iššūkis yra prižiūrėti plėtinius ir nustatyti priimtino elgesio ribas. Pokalbis, apimantis ne tik saugumą ar technologijas, bet ir klausimas visuomenei, besinaudojančiai internetu “.

„Google“ siekia užtikrinti, kad vartotojai būtų informuoti apie riziką, susijusią su naršyklės papildinių diegimu. Kiekvienas „Google Chrome“ programų parduotuvės plėtinys aiškiai nurodo reikiamus leidimus ir negali viršyti jums suteiktų leidimų. Jei pratęsimas prašo daryti tai, kas atrodo neįprasta, turite pagrindo įtarti.

Tačiau kartais, kaip visi žinome, kenkėjiška programa praslysta pro šalį.

kaip paleisti senus žaidimus „Windows 10“

Kai „Google“ suklysta

„Google“, stebėtinai, palaiko gana įtemptą laivą. Nedaug praeina pro jų laikrodį, bent jau kalbant apie „Google Chrome“ internetinę parduotuvę. Tačiau kai kažkas padaro, tai yra blogai.

  • AddToFeedly buvo „Chrome“ papildinys, leidžiantis vartotojams pridėti svetainę prie „Feedly RSS“ skaitytojo prenumeratos. Jis pradėjo gyvenimą kaip teisėtas produktas išleido mėgėjų kūrėjas , tačiau buvo nupirktas už keturženklę sumą 2014 m. Naujieji savininkai papildinį papildė „SuperFish“ reklaminėmis programomis, kurios reklamavo puslapius ir rodė iššokančiuosius langus. „SuperFish“ išgarsėjo šių metų pradžioje, kai paaiškėjo, kad „Lenovo“ ją pristatė su visais savo žemos klasės „Windows“ nešiojamaisiais kompiuteriais.
  • „WebPage“ ekrano kopija leidžia vartotojams užfiksuoti viso lankomo tinklalapio vaizdą ir buvo įdiegta daugiau nei 1 milijone kompiuterių. Tačiau ji taip pat perduoda vartotojo informaciją į vieną IP adresą JAV. „WebPage Screenshot“ savininkai neigė padarę neteisėtus veiksmus ir tvirtina, kad tai buvo jų kokybės užtikrinimo praktikos dalis. Nuo to laiko „Google“ pašalino jį iš „Chrome“ internetinės parduotuvės.
  • Pridėti prie „Google Chrome“ buvo nesąžiningas plėtinys pagrobė „Facebook“ paskyras ir bendrino neleistinas būsenas, įrašus ir nuotraukas. Kenkėjiška programa buvo išplatinta per svetainę, kuri imitavo „YouTube“, ir liepė vartotojams įdiegti papildinį, kad galėtų žiūrėti vaizdo įrašus. Nuo to laiko „Google“ pašalino papildinį.

Atsižvelgiant į tai, kad dauguma žmonių naudoja „Chrome“, kad galėtų atlikti didžiąją dalį savo kompiuterių, nerimą kelia tai, kad šiems papildiniams pavyko praslysti. Bet bent jau buvo a procedūrą žlugti. Kai diegiate plėtinius iš kitur, nesate apsaugoti.

Panašiai kaip „Android“ naudotojai gali įdiegti bet kurią norimą programą, „Google“ leidžia įdiegti bet kokį norimą „Chrome“ plėtinį, įskaitant tuos, kurie nėra iš „Chrome“ internetinės parduotuvės. Tai ne tik suteikia vartotojams šiek tiek papildomo pasirinkimo, bet ir leidžia kūrėjams išbandyti kodą, prie kurio jie dirbo, prieš išsiunčiant jį patvirtinti.

Tačiau svarbu atsiminti, kad bet kuris plėtinys, įdiegtas rankiniu būdu, neatliko griežtų „Google“ bandymų procedūrų ir gali turėti visų nepageidaujamų veiksmų.

Kiek rizikuojate?

2014 m. „Google“ aplenkė „Microsoft Internet Explorer“ kaip dominuojančią interneto naršyklę ir dabar sudaro beveik 35% interneto vartotojų. Todėl visiems, norintiems greitai užsidirbti pinigų ar išplatinti kenkėjiškas programas, tai išlieka viliojantis taikinys.

„Google“ dažniausiai sugebėjo susidoroti. Buvo incidentų, tačiau jie buvo izoliuoti. Kai kenkėjiškoms programoms pavyko prasmukti, jos su jomis susidorojo operatyviai ir profesionaliai, kaip tikėjotės iš „Google“.

Tačiau akivaizdu, kad plėtiniai ir papildiniai yra galimas atakos vektorius. Jei planuojate daryti ką nors jautraus, pavyzdžiui, prisijungti prie internetinės bankininkystės, galbūt norėsite tai padaryti naudodami atskirą naršyklę be papildinių arba inkognito langą. Ir jei turite bet kurį iš aukščiau išvardytų plėtinių, įveskite chrome: // extensions/ „Chrome“ adreso juostoje, tada suraskite ir ištrinkite juos, kad būtumėte saugūs.

Ar kada nors netyčia įdiegėte „Chrome“ kenkėjišką programą? Tiesiogiai papasakoti pasaką? Noriu apie tai išgirsti. Parašykite man komentarą žemiau ir mes pasikalbėsime.

Vaizdo kreditai: Plaktukas ant sudaužyto stiklo Per „Shutterstock“

Dalintis Dalintis „Tweet“ Paštu „Dark Web“ ir „Deep Web“: koks skirtumas?

Tamsus žiniatinklis ir gilus tinklas dažnai klaidingai laikomi vienu ir tuo pačiu. Bet taip nėra, tad koks skirtumas?

Skaityti toliau Susijusios temos
  • Naršyklės
  • Saugumas
  • „Google Chrome“
  • Sauga internete
Apie autorių Matthew Hughesas(Paskelbti 386 straipsniai)

Matthew Hughesas yra programinės įrangos kūrėjas ir rašytojas iš Liverpulio, Anglijos. Jis retai randamas be puodelio stiprios juodos kavos rankoje ir visiškai dievina savo „Macbook Pro“ ir fotoaparatą. Galite perskaityti jo tinklaraštį http://www.matthewhughes.co.uk ir sekti jį „Twitter“ adresu @matthewhughes.

Daugiau iš Matthew Hughes

Prenumeruokite mūsų naujienlaiškį

Prisijunkite prie mūsų naujienlaiškio, kad gautumėte techninių patarimų, apžvalgų, nemokamų el. Knygų ir išskirtinių pasiūlymų!

Norėdami užsiprenumeruoti, spustelėkite čia