Начиная с Chrome 70, Google улучшит безопасность расширений

Расширенный контроль над разрешениями

Браузерные расширения (add-ons, дополнения) могут быть полезными для различных целей: начиная от блокировки нежелательного контента и заканчивая улучшением удобства пользования браузером и помощью в онлайн-шоппинге.

Расширения в Chrome имеют ограниченные возможности. Chrome поддерживает систему разрешений, которая требует от дополнений запроса определенных прав, например доступа к данным на всех сайтах. Только, когда пользователь предоставляет соответствующие разрешения, дополнение может выполнить свои функции.

Злоумышленники и некоторые разработчики расширений нашли лазейки в автоматизированной системе, которую компания Google использует для проверки дополнений. В 2018 году исследователи безопасности нередко выявляли случаи появления в Интернет-магазине Chrome вредоносных расширений или дополнений, нарушающих конфиденциальность пользовательских данных.

Если вы активно работаете с расширениями Chrome, то могли сталкиваться с ситуацией, когда расширение запрашивает слишком широкие разрешения, например доступ к данным на всех сайтах, даже если оно предназначено для работы с каким-то одним конкретным сайтом. Не все расширения, которые демонстрируют такое поведение, являются вредоносными, но некоторые из них могут по крайней мере представлять риски для конфиденциальности данных.

Хотя пользователи могут проверять расширения для Chrome перед установкой, чтобы убедиться в их безопасности, на самом деле, так поступают лишь меньшинство, потому что для анализа плагинов требуется знание JavaScript и принципов работы расширений.

Google собирается улучшить меры безопасности работы с расширениями с выходом Chrome 70 в середине октября 2018 года.

Скачать Google Chrome (beta, dev)

Google планирует предоставить пользователям контроль над хостами, к которым могут обращаться расширения. Сейчас, если расширение получило разрешение «Просмотр и изменение ваших данных на посещаемых сайтах», то оно может взаимодействовать с другими сайтами, и пользователь никак не может повлиять на данную ситуацию, кроме как удалить расширение из Chrome.

Начиная с Chrome 70, пользователи браузера смогут ограничивать доступ расширений к хостам следующими способами:

• Ограничивать доступ к определенным сайтам, например только к comss.one
• Включать активацию по клику для всех сайтов

При нажатии правой кнопкой мыши по установленному расширению отобразится новый пункт меню «Расширение может получать доступ к данным сайта или изменять их». Когда вы наведете курсор мыши на этот пункт, то получите возможность ограничить доступ для расширения.

Вы также сможете контролировать, на каких сайтах может работать расширение - настроить это можно на странице chrome://extensions при выборе опции «Подробнее» для установленного расширения.

Новая опция «Разрешить расширению просмотр и изменение ваших данных на посещаемых сайтах» позволяет ограничить доступ расширения «При нажатии» и «На выбранных сайтах».

При выборе опции «На выбранных сайтах» пользователь может добавить несколько сайтов в белый список. На остальных сайтах доступ расширения к данным будет блокироваться.

Обратите внимание, что новая функциональность становится доступной после установки расширения. В момент установки расширения из Интернет-магазина Chrome опции для настройки доступа к сайтам не показываются.

Возможно, Google внесет коррективы в будущем или интегрирует параметр в Chrome, чтобы установить другой вариант по умолчанию для расширений, запрашивающих доступ ко всем сайтам.

На данный момент, в Chrome 70 изменить права доступа к сайту можно только после установки.

Chrome выделяет значки расширений, которые хотят получить доступ к сайту, но не имеют соответствующих разрешений.

При нажатии по расширению появится опция «Перезагрузите страницу, чтобы использовать расширение». После этого расширению будет предоставлен доступ к странице, и впоследствии вы сможете использовать его функциональные возможности на странице.

Выбранное расширение получает права доступа к выбранной странице только в том случае, если вы активируете его вручную, но не на любой другой странице, если выбран параметр «При нажатии».

Если вы хотите, чтобы расширение было запущено на всех страницах сайта, выберите вариант «на сайте».

Пользователи Chrome получат улучшенное управление расширениями с выходом Chrome 70. Расширения можно ограничить для работы только на небольшом числе сайтов или активировать опцию «при нажатии». По умолчанию будут предоставлены права доступа для всех сайтов, как и ранее.

Новые параметры станут отличным инструментом для продвинутых пользователей, которые хотят ограничить работу расширений. Это, безусловно, правильный ход для определенных видов расширений. Загрузка видео или изображений должна выполняться только тогда, когда вам это нужно, а не при загрузке сайта в браузере. Также желательно, чтобы Google добавил опцию для установки значения по умолчанию для новых расширений.

Пользователи Chrome 70 Beta уже сейчас могут включить эту функцию, выбрав опцию «Enabled» для флага chrome://flags/#extension-active-script-permission.

Скачать Google Chrome (beta, dev)

Другие улучшения безопасности расширений

Запрет на обфускацию кода

Разработчики расширений также столкнуться с рядом изменений. Расширения, которые используют обфусцированный код будут запрещены в Интернет-магазине Chrome. Размещенные на площадке расширения, которые используют обфускацию кода, получат 90-дневный переходный переход, чтобы избавиться от нечитаемого кода. Если по истечении данного периода обфускация не будет исключена, расширение будет удалено из магазина. Новым расширения с обфусцированным кодом будет отказано в размещении сразу же.

Google приводит данные статистики, что более 70% вредоносных и нарушающих конфиденциальность расширений используют обфускацию кода. В большинстве случаев, обфускация применяется, чтобы избежать обнаружения автоматическими сканерами Интернет-магазина Chrome, служащих для выявления вредоносных или проблемных расширений.

Это изменение никак не касается минификации или сжатия кода. Среди разрешенных методов минификации - удаление пробелов и комментариев кода, а также сокращение переменных и функций.

Двухфакторная аутентификация для разработчиков

Другое изменение, которое напрямую затрагивает создателей расширений, заключается в том, что разработчикам необходимо включить двухэтапную аутентификацию для учетных записей разработчиков в 2019 году.

В последнее время злоумышленники стали неплохо справляться со взломом учетных записей разработчиков с целью распространения вредоносного кода. Данная мера призвана значительно уменьшить количество подобных инцидентов.

Расширенный аудит безопасности

Наконец, третье изменение влияет на процесс анализа. Расширения Chrome проверяются автоматически, когда разработчик отправляет их на публикацию. Хотя автоматизация является экономически эффективной, она не обеспечивает абсолютную защиту от вредоносных расширений.

Расширения «требующие мощных разрешений», должны будут проходить «дополнительные проверки соответствия», а расширения, которые «используют удаленно размещенный код» будут тщательно анализироваться.

Google планирует выпустить обновленный манифест для расширений в 2019 году «для обеспечения более надежных гарантий безопасности, конфиденциальности и производительности». Ключевые цели включают предоставление пользователям дополнительных механизмов для контроля прав расширений, применение «более ограниченных» API-интерфейсов и внедрение новых возможностей.

Заключение

Google решил предпринять решительные шаги для борьбы с вредоносными и проблемными расширениями в Интернет-магазине Chrome. Блокировка расширений с обфусцированным кодом и расширенный мониторинг расширений являются очень желанными нововведениями. Наконец, функция настройки доступа расширений к данным сайтов дает пользователям расширенный контроль над поведением расширений.

Как вы считаете, являются ли данные меры достаточными, чтобы очистить Интернет-магазин Chrome от вредоносных расширений и сделать работу с дополнениями в браузере безопаснее?

По материалам gHacks