Sejauh Mana Selamatnya Kedai Web Chrome?

Sejauh Mana Selamatnya Kedai Web Chrome?

Kira-kira 33% daripada semua pengguna Chromium mempunyai beberapa jenis pemalam penyemak imbas yang dipasang. Alih-alih menjadi niche, teknologi canggih yang digunakan secara eksklusif oleh pengguna tenaga, add-on menjadi arus perdana positif, dengan majoriti berasal dari Kedai Web Chrome dan Firefox Add-Ons Marketplace.





Tetapi bagaimana mereka selamat?



Menurut kajian kerana akan dibentangkan di Simposium IEEE Keselamatan dan Privasi, jawapannya adalah tidak sangat . Kajian yang dibiayai oleh Google itu mendapati puluhan juta pengguna Chrome mempunyai beberapa perisian hasad berasaskan add-on yang dipasang, yang mewakili 5% dari jumlah keseluruhan trafik Google.





Penyelidikan ini menghasilkan hampir 200 plugin digosok dari Chrome App Store, dan mempertanyakan keselamatan keseluruhan pasaran.

Oleh itu, apa yang dilakukan Google untuk memastikan kita selamat, dan bagaimana anda dapat melihat pengaya yang jahat? Saya mendapat tahu.



Dari mana Tambahnya

Panggil mereka mengikut kehendak anda - sambungan penyemak imbas, pemalam atau tambahan - semuanya berasal dari tempat yang sama. Pembangun pihak ketiga yang bebas menghasilkan produk yang mereka rasa memenuhi keperluan, atau menyelesaikan masalah.

Pengaya penyemak imbas biasanya ditulis menggunakan teknologi web, seperti HTML, CSS, dan JavaScript, dan biasanya dibuat untuk satu penyemak imbas tertentu, walaupun terdapat beberapa perkhidmatan pihak ketiga yang memudahkan pembuatan plugin penyemak imbas lintas platform.



Setelah pemalam mencapai tahap penyelesaian dan diuji, ia kemudian dilepaskan. Adalah mungkin untuk mengedarkan pemalam secara bebas, walaupun sebilangan besar pemaju memilih untuk menyebarkannya melalui kedai sambungan Mozilla, Google dan Microsoft.

Walaupun, sebelum menyentuh komputer pengguna, ia harus diuji untuk memastikan ia selamat digunakan. Inilah cara kerjanya di Google Chrome App Store.



Menjaga Chrome Selamat

Dari pengiriman ekstensi, hingga penerbitan akhirnya, ada penantian 60 minit. Apa yang berlaku disini? Nah, di sebalik tabir, Google memastikan bahawa pemalam tidak mengandungi logik jahat, atau apa-apa yang boleh menjejaskan privasi atau keselamatan pengguna.

Proses ini dikenali sebagai 'Enhanced Item Validation' (IEV), dan merupakan rangkaian pemeriksaan ketat yang memeriksa kod plugin dan tingkah lakunya ketika dipasang, untuk mengenal pasti perisian hasad.

Google juga menerbitkan 'panduan gaya' macam yang memberitahu pemaju tingkah laku apa yang dibenarkan, dan secara jelas tidak menggalakkan orang lain. Sebagai contoh, dilarang menggunakan JavaScript sebaris - JavaScript yang tidak disimpan dalam fail yang terpisah - untuk mengurangkan risiko terhadap serangan skrip silang laman web.

Google juga sangat tidak menggalakkan penggunaan 'eval', yang merupakan konstruk pengaturcaraan yang membolehkan kod menjalankan kod, dan dapat memperkenalkan segala macam risiko keselamatan. Mereka juga tidak terlalu berminat dengan plugin yang menyambung ke perkhidmatan jauh, bukan Google, kerana ini menimbulkan risiko serangan Man-In-The-Middle (MITM).

Ini adalah langkah mudah, tetapi sebahagian besarnya berkesan untuk menjaga keselamatan pengguna. Javvad Malik , Peguambela Keselamatan di Alienware, menganggap ini adalah langkah ke arah yang benar tetapi menyatakan bahawa cabaran terbesar dalam menjaga keselamatan pengguna adalah masalah pendidikan.

'Membuat perbezaan antara perisian yang baik dan buruk menjadi semakin sukar. Untuk memarafrasa, satu perisian yang sah adalah yang lain yang mencuri identiti, virus berbahaya yang menjejaskan privasi yang dikodkan di neraka. 'Jangan salah faham, saya mengalu-alukan langkah Google untuk membuang pelanjutan berbahaya ini - beberapa di antaranya harus tidak pernah diumumkan kepada umum untuk memulakannya. Tetapi cabaran yang akan dihadapi oleh syarikat seperti Google adalah menguruskan peluasan dan menentukan had tingkah laku yang boleh diterima. Perbualan yang melampaui keselamatan atau teknologi dan persoalan untuk masyarakat yang menggunakan internet secara umum. '

Google bertujuan untuk memastikan bahawa pengguna dimaklumkan mengenai risiko yang berkaitan dengan pemasangan pemalam penyemak imbas. Setiap peluasan di Google Chrome App Store jelas mengenai kebenaran yang diperlukan, dan tidak boleh melebihi izin yang anda berikan. Sekiranya peluasan meminta untuk melakukan perkara yang nampaknya tidak biasa, maka anda mempunyai kecurigaan.

Tetapi kadang-kadang, seperti yang kita semua ketahui, malware melaluinya.

apa bixby pada telefon samsung saya

Apabila Google Keliru

Google, secara mengejutkan, mempunyai kapal yang cukup ketat. Tidak banyak yang melepasi jam tangan mereka, sekurang-kurangnya ketika datang ke Kedai Web Google Chrome. Namun, apabila sesuatu berlaku, itu buruk.

  • TambahTepat adalah pemalam Chrome yang membolehkan pengguna menambah laman web ke langganan pembaca Feedly RSS mereka. Ia memulakan kehidupan sebagai produk yang sah dikeluarkan oleh pemaju hobi , tetapi dibeli dengan jumlah empat angka pada tahun 2014. Pemilik baru kemudian memasukkan plugin dengan adware SuperFish, yang menyuntikkan iklan ke halaman dan memunculkan pop-up. SuperFish terkenal sejak awal tahun ini ketika Lenovo telah menghantarnya dengan semua komputer riba Windows kelas bawah mereka.
  • Tangkapan Skrin Halaman Web membolehkan pengguna merakam gambar keseluruhan laman web yang mereka kunjungi, dan telah dipasang di lebih dari 1 juta komputer. Namun, ia juga telah menghantar maklumat pengguna ke satu alamat IP di Amerika Syarikat. Pemilik Tangkapan Skrin Laman Web telah menolak sebarang kesalahan, dan menegaskan bahawa ia adalah sebahagian daripada amalan jaminan kualiti mereka. Sejak itu Google mengeluarkannya dari Kedai Web Chrome.
  • Tambah ke Google Chrome adalah pelanjutan penyangak itu akaun Facebook yang dirampas , dan berkongsi status, siaran dan foto yang tidak dibenarkan. Malware itu disebarkan melalui laman web yang meniru YouTube, dan menyuruh pengguna memasang plugin untuk menonton video. Google sejak itu membuang pemalamnya.

Memandangkan kebanyakan orang menggunakan Chrome untuk melakukan sebahagian besar pengkomputeran mereka, ini menyusahkan bahawa pemalam ini berjaya melewati celah-celah tersebut. Tetapi sekurang-kurangnya ada prosedur untuk gagal. Apabila anda memasang sambungan dari tempat lain, anda tidak dilindungi.

Sama seperti pengguna Android yang dapat memasang aplikasi yang mereka inginkan, Google membolehkan anda memasang pelanjutan Chrome yang anda inginkan, termasuk yang tidak berasal dari Kedai Web Chrome. Ini bukan hanya untuk memberi pengguna pilihan tambahan, tetapi untuk membolehkan pembangun menguji kod yang mereka kerjakan sebelum menghantarnya untuk mendapatkan persetujuan.

Walau bagaimanapun, penting untuk diingat bahawa apa-apa pelanjutan yang dipasang secara manual tidak melalui prosedur ujian Google yang ketat, dan boleh mengandungi pelbagai jenis tingkah laku yang tidak diingini.

Bagaimana Risiko Anda?

Pada tahun 2014, Google mengatasi Internet Explorer Microsoft sebagai penyemak imbas web yang dominan, dan kini mewakili hampir 35% pengguna Internet. Akibatnya, bagi sesiapa yang ingin menghasilkan uang cepat atau menyebarkan perisian hasad, ia tetap menjadi sasaran yang menggoda.

Google, sebahagian besarnya, dapat mengatasi. Terdapat insiden, tetapi mereka terpencil. Apabila perisian hasad berjaya ditembusi, mereka telah menanganinya dengan pantas, dan dengan profesionalisme yang anda harapkan dari Google.

Walau bagaimanapun, jelas bahawa peluasan dan pemalam adalah vektor serangan yang berpotensi. Sekiranya anda merancang melakukan perkara sensitif seperti log masuk ke perbankan dalam talian anda, anda mungkin mahu melakukannya dalam penyemak imbas bebas pemalam atau tetingkap penyamaran yang berasingan. Dan jika anda mempunyai pelanjutan yang disenaraikan di atas, taip chrome: // sambungan / di bar alamat Chrome anda, kemudian cari dan padamkannya, agar selamat.

Adakah anda pernah memasang perisian hasad Chrome secara tidak sengaja? Hidup untuk memberitahu kisahnya? Saya mahu mendengar mengenainya. Tinggalkan saya komen di bawah, dan kami akan berbual.

Kredit Gambar: Tukul pada kaca pecah Melalui Shutterstock

Berkongsi Berkongsi Tweet E-mel Dark Web vs Deep Web: Apa Perbezaannya?

Web gelap dan web dalam sering disalah anggap sebagai satu dan sama. Tetapi itu tidak berlaku, jadi apa bezanya?

Baca Seterusnya Topik-topik yang berkaitan
  • Penyemak Imbas
  • Keselamatan
  • Google Chrome
  • Keselamatan Dalam Talian
Mengenai Pengarang Matthew Hughes(386 Artikel Diterbitkan)

Matthew Hughes adalah pembangun perisian dan penulis dari Liverpool, England. Dia jarang ditemui tanpa secawan kopi hitam yang kuat di tangannya dan sangat memuja Macbook Pro dan kameranya. Anda boleh membaca blognya di http://www.matthewhughes.co.uk dan mengikutinya di twitter di @matthewhughes.

Lebih Banyak Dari Matthew Hughes

Langgan buletin kami

Sertailah buletin kami untuk mendapatkan petua, ulasan, ebook percuma, dan tawaran eksklusif!

Klik di sini untuk melanggan