Hvor sikker er Chrome Webshop alligevel?

Hvor sikker er Chrome Webshop alligevel?

Omkring 33% af alle Chromium -brugere har en form for browser -plugin installeret. I stedet for at være en niche, edge-teknologi, der udelukkende bruges af strømbrugere, er tilføjelser positivt mainstream, hvor størstedelen kommer fra Chrome Web Store og Firefox Add-Ons Marketplace.





Men hvor sikre er de?



Ifølge forskning skal fremlægges på IEEE Symposium on Security and Privacy, er svaret ikke meget . Den Google-finansierede undersøgelse fandt, at titusinder af Chrome-brugere har en række forskellige add-on-baseret malware installeret, hvilket repræsenterer 5% af den samlede Google-trafik.





Undersøgelsen resulterede i, at næsten 200 plugins blev skrubbet fra Chrome App Store og satte spørgsmålstegn ved den generelle sikkerhed på markedet.

Så hvad gør Google for at beskytte os, og hvordan kan du se en useriøs tilføjelse? Jeg fandt ud af.



Hvor kommer tilføjelser fra

Kald dem hvad du vil - browserudvidelser, plugins eller tilføjelser - de kommer alle fra det samme sted. Uafhængige tredjepartsudviklere, der producerer produkter, som de mener tjener et behov eller løser et problem.

Browser-tilføjelser er generelt skrevet ved hjælp af webteknologier, såsom HTML, CSS og JavaScript, og er normalt bygget til en bestemt browser, selvom der er nogle tredjepartstjenester, der letter oprettelsen af ​​cross-platform browser plugins.



Når et plugin har nået et færdiggørelsesniveau og er testet, frigives det derefter. Det er muligt at distribuere et plugin uafhængigt, selvom langt de fleste udviklere i stedet vælger at distribuere dem via Mozilla, Google og Microsofts udvidelsesbutikker.

Selvom den nogensinde rører ved en brugers computer, skal den testes for at sikre, at den er sikker at bruge. Sådan fungerer det i Google Chrome App Store.



Holder Chrome sikker

Fra indsendelse af en udvidelse til den endelige offentliggørelse er der 60 minutters ventetid. Hvad sker der her? Bag kulisserne sørger Google for, at pluginet ikke indeholder nogen ondsindet logik eller noget, der kan gå på kompromis med brugernes privatliv eller sikkerhed.

Denne proces er kendt som 'Enhanced Item Validation' (IEV), og er en række strenge kontroller, der undersøger et plugins kode og dets adfærd, når det installeres, for at identificere malware.

Google har også udgivet en 'style guide' af slags, der fortæller udviklere, hvilken adfærd der er tilladt, og udtrykkeligt afskrækker andre. For eksempel er det forbudt at bruge inline JavaScript - JavaScript, der ikke er gemt i en separat fil - for at reducere risikoen mod cross -site scripting -angreb.

Google fraråder også kraftigt brugen af ​​'eval', som er en programmeringskonstruktion, der tillader kode at udføre kode og kan indføre alle mulige sikkerhedsrisici. De er heller ikke særlig ivrige efter plugins, der opretter forbindelse til eksterne, ikke-Google-tjenester, da dette udgør en risiko for et Man-In-The-Middle (MITM) -angreb.

Disse er enkle trin, men er for det meste effektive til at holde brugerne sikre. Javvad Malik , Security Advocate hos Alienware, mener, at det er et skridt i den rigtige retning, men bemærker, at den største udfordring med at holde brugerne sikre er et spørgsmål om uddannelse.

'At skelne mellem god og dårlig software bliver stadig vanskeligere. For at omskrive, en mands legitime software er en anden mands identitetstyveri, privatlivskompromitterende ondsindet virus kodet i helvedes tarm. 'Misforstå mig ikke, jeg glæder mig over Google's skridt til at fjerne disse ondsindede udvidelser-nogle af disse bør aldrig været offentliggjort til at starte med. Men udfordringen fremover for virksomheder som Google er at politere udvidelserne og definere grænserne for, hvad der er acceptabel adfærd. En samtale, der rækker ud over en sikkerhed eller teknologi og et spørgsmål til det samfund, der bruger internettet generelt. '

Google sigter mod at sikre, at brugerne er informeret om de risici, der er forbundet med installation af browser -plugins. Hver udvidelse i Google Chrome App Store er eksplicit om de nødvendige tilladelser og må ikke overstige de tilladelser, du giver den. Hvis en forlængelse beder om at gøre ting, der virker usædvanlige, har du grund til mistanke.

Men lejlighedsvis, som vi alle ved, smutter malware igennem.

hvordan man får wifi uden internet

Når Google får det forkert

Google holder overraskende nok et stramt skib. Der glider ikke meget forbi deres ur, i hvert fald når det kommer til Google Chrome Webshop. Når noget gør det, er det dog dårligt.

  • AddToFeedly var et Chrome -plugin, der tillod brugere at tilføje et websted til deres Feedly RSS -læserabonnementer. Det startede livet som et legitimt produkt udgivet af en hobbyudvikler , men blev købt for et firecifret beløb i 2014. De nye ejere snørede derefter pluginet med SuperFish-adware, som sprøjtede reklame ind på sider og affødte pop-ups. SuperFish blev berømt tidligere på året, da det viste sig, at Lenovo havde sendt det med alle deres low-end Windows-bærbare computere.
  • WebSides skærmbillede giver brugerne mulighed for at tage et billede af hele en webside, de besøger, og er blevet installeret på over 1 million computere. Det har imidlertid også transmitteret brugeroplysninger til en enkelt IP -adresse i USA. Ejerne af WebPage Screenshot har nægtet enhver forseelse, og insisterer på, at det var en del af deres kvalitetssikringspraksis. Google har siden fjernet det fra Chrome Webshop.
  • Føj til Google Chrome var en useriøs udvidelse, der kaprede Facebook -konti , og delte uautoriserede statuser, indlæg og fotos. Malwaren blev spredt gennem et websted, der efterlignede YouTube, og fortalte brugerne at installere pluginet for at se videoer. Google har siden fjernet pluginet.

I betragtning af at de fleste mennesker bruger Chrome til at udføre langt størstedelen af ​​deres computing, er det bekymrende, at disse plugins formåede at glide gennem revnerne. Men der var i hvert fald en procedure at fejle. Når du installerer udvidelser andre steder, er du ikke beskyttet.

Ligesom Android -brugere kan installere enhver app, de ønsker, lader Google dig installere enhver Chrome -udvidelse, du ønsker, herunder dem, der ikke kommer fra Chrome Webshop. Dette er ikke kun for at give forbrugerne lidt ekstra valg, men snarere for at give udviklere mulighed for at teste den kode, de har arbejdet med, inden de sender den til godkendelse.

Det er dog vigtigt at huske, at enhver udvidelse, der installeres manuelt, ikke har været igennem Googles strenge testprocedurer og kan indeholde alskens uønskede adfærd.

Hvor i fare er du?

I 2014 overhalede Google Microsofts Internet Explorer som den dominerende webbrowser og repræsenterer nu næsten 35% af internetbrugere. Som et resultat er det for alle, der ønsker at tjene en hurtig penge eller distribuere malware, stadig et fristende mål.

Google har for det meste været i stand til at klare det. Der har været hændelser, men de er blevet isoleret. Når malware har formået at slippe igennem, har de behandlet det hensigtsmæssigt og med den professionalisme, du ville forvente af Google.

Det er dog klart, at udvidelser og plugins er en potentiel angrebsvektor. Hvis du planlægger at gøre noget følsomt, såsom at logge ind på din netbank, kan du gøre det i en separat browser uden plugin eller et inkognitovindue. Og hvis du har nogen af ​​de udvidelser, der er angivet ovenfor, skal du skrive chrome: // extensions/ i din Chrome -adresselinje, så find og slet dem, bare for at være sikker.

Har du ved et uheld installeret nogle Chrome -malware? Live for at fortælle historien? Jeg vil høre om det. Send mig en kommentar herunder, så chatter vi.

Billedkreditter: Hammer på knust glas Via Shutterstock

Del Del Tweet E -mail Dark Web vs. Deep Web: Hvad er forskellen?

Det mørke web og dybe web forveksles ofte med at være det samme. Men det er ikke tilfældet, så hvad er forskellen?

Læs Næste Relaterede emner
  • Browsere
  • Sikkerhed
  • Google Chrome
  • Online sikkerhed
Om forfatteren Matthew Hughes(386 artikler udgivet)

Matthew Hughes er en softwareudvikler og forfatter fra Liverpool, England. Han findes sjældent uden en kop stærk sort kaffe i hånden og elsker absolut sin Macbook Pro og sit kamera. Du kan læse hans blog på http://www.matthewhughes.co.uk og følge ham på twitter på @matthewhughes.

Mere fra Matthew Hughes

Abonner på vores nyhedsbrev

Tilmeld dig vores nyhedsbrev for at få tekniske tips, anmeldelser, gratis e -bøger og eksklusive tilbud!

Klik her for at abonnere