Cik drošs ir Chrome interneta veikals?

Reklāma

Apmēram 33% no visiem Chromium lietotājiem ir instalēts kaut kāds pārlūka spraudnis. Papildinājumi, nevis tikai kā niša, progresīvas tehnoloģijas, kuras izmanto tikai enerģijas lietotāji, ir pozitīvi integrēti, un lielāko daļu no tiem nodrošina Chrome interneta veikals un Firefox papildinājumu tirgus.

Bet cik viņi ir droši?

Saskaņā ar pētījumiem paredzēts uzrādīt IEEE drošības un privātuma simpozijā atbilde ir ne ļoti. Google finansētā pētījumā tika atklāts, ka desmitiem miljonu Chrome lietotāju ir instalēta dažāda veida uz papildprogrammām balstīta ļaunprogrammatūra, kas veido 5% no kopējās Google trafika.

Pētījuma rezultātā no Chrome App Store tika iztīrīti gandrīz 200 spraudņi un tika apšaubīta tirgus vispārējā drošība.

Tātad, ko Google dara, lai mūs aizsargātu, un kā jūs varat pamanīt negodīgu papildinājumu? ES uzzināju.

No kurienes nāk papildinājumi

Zvaniet viņiem, ko vēlēsities - pārlūka paplašinājumi, spraudņi vai papildinājumi - viņi visi nāk no vienas un tās pašas vietas. Neatkarīgi trešo pušu izstrādātāji, kas ražo produktus, kuri, viņuprāt, kalpo kā vajadzība vai risina problēmu.

Pārlūka papildinājumi parasti tiek rakstīti, izmantojot tīmekļa tehnoloģijas, piemēram, HTML, CSS, un JavaScript Kas ir JavaScript, un vai internets var pastāvēt bez tā?JavaScript ir viena no tām lietām, ko daudzi uzskata par pašsaprotamu. Visi to izmanto. Lasīt vairāk , un parasti tiek izveidoti vienam konkrētam pārlūkam, lai gan ir daži trešo pušu pakalpojumi, kas atvieglo vairāku platformu pārlūka spraudņu izveidi.

Kad spraudnis ir sasniedzis pabeigšanas līmeni un pārbaudīts, tas tiek atbrīvots. Spraudni ir iespējams izplatīt neatkarīgi, lai gan vairums izstrādātāju to izvēlas izplatīt caur Mozilla, Google un Microsoft paplašinājumu veikaliem.

Lai gan, pirms tas jebkad pieskaras lietotāja datoram, tas ir jāpārbauda, ​​lai pārliecinātos par tā drošu lietošanu. Lūk, kā tas darbojas Google Chrome App Store.

Chrome drošība

No pagarinājuma iesniegšanas līdz tā iespējamai publicēšanai ir jāgaida 60 minūtes. Kas te notiek? Aizkulisēs Google pārliecinās, vai spraudnī nav ļaunprātīgas loģikas vai kaut kas tāds, kas varētu apdraudēt lietotāju privātumu vai drošību.

Šis process ir pazīstams kā “uzlabotā vienuma pārbaude” (IEV) un ir stingru pārbaužu sērija, kurā tiek pārbaudīts spraudņa kods un tā uzvedība instalēšanas laikā, lai identificētu ļaunprātīgu programmatūru.

Google ir arī publicēja “stila ceļvedi” veida, kas izstrādātājiem stāsta par atļauto izturēšanos un skaidri attur citus. Piemēram, lai mazinātu risku, kas saistīts ar JavaScript, ir aizliegts izmantot JavaScript - JavaScript, kas netiek saglabāts atsevišķā failā vietņu skriptu uzbrukumi Kas ir vietņu skriptu (XSS) un kāpēc tas ir drošības drauds?Vietņu skriptu ievainojamība ir mūsdienās lielākā vietņu drošības problēma. Pētījumos atklāts, ka tās ir šokējoši izplatītas - saskaņā ar White Hat Security jaunāko ziņojumu, kas tika publicēts jūnijā, 55% vietņu 2011. gadā bija XSS ievainojamības ... Lasīt vairāk .

Google arī stingri nevēlas izmantot “eval”, kas ir programmēšanas konstrukcija, kas ļauj kodam izpildīt kodu un var ieviest visa veida drošības riskus. Viņi arī nav šausmīgi ieinteresēti spraudņos, kas savieno ar attāliem pakalpojumiem, kas nav Google pakalpojumi, jo tas rada Cilvēka-vidējā (MITM) uzbrukums Kas ir uzbrukums vīrietim? Drošības žargons paskaidrotsJa esat dzirdējis par uzbrukumiem “vidusdaļā”, bet neesat pārliecināts, ko tas nozīmē, šis ir raksts jums. Lasīt vairāk .

Šīs ir vienkāršas darbības, taču lielākoties ir efektīvas lietotāju drošībā. Javvads Maliks, Alienware drošības advokāts, domā, ka tas ir solis pareizajā virzienā, taču atzīmē, ka lielākais izaicinājums, kā saglabāt lietotāju drošību, ir izglītības jautājums.

“Atšķirt labu un sliktu programmatūru kļūst arvien grūtāk. Pārfrāzējot, viena cilvēka likumīga programmatūra ir cita cilvēka identitāti zogošs, privātumu apdraudošs ļaunprātīgs vīruss, kas kodēts elles vēderā.

“Nekļūdieties man, es atzinīgi vērtēju Google rīcību noņemt šos ļaunprātīgos paplašinājumus - dažus no tiem nekad nevajadzētu publiskot. Bet tādu uzņēmumu kā Google izaicinājums ir kontrolēt paplašinājumus un noteikt pieļaujamās izturēšanās robežas. Saruna, kas sniedzas tālāk par drošību vai tehnoloģiju, un jautājums visai sabiedrībai, kas lieto internetu. ”

Google mērķis ir nodrošināt, ka lietotāji tiek informēti par riskiem, kas saistīti ar pārlūka spraudņu instalēšanu. Katrs Google Chrome App Store paplašinājums precīzi norāda nepieciešamās atļaujas, un tas nedrīkst pārsniegt atļaujas, kuras jūs tam piešķirat. Ja paplašinājums pieprasa darīt lietas, kas šķiet neparastas, jums rodas aizdomas.

Bet reizēm, kā mēs visi zinām, ļaunprātīga programmatūra izslīd cauri.

Kad Google to uztver nepareizi

Pārsteidzoši, ka Google nodrošina diezgan stingru kuģi. Nemaz netiek paslīdēts garām pulkstenim, vismaz runājot par Google Chrome interneta veikalu. Kad kaut kas tomēr notiek, tas ir slikti.

• AddToFeedly bija Chrome spraudnis, kas lietotājiem ļāva pievienot vietni viņu vietnei Pateicīgs RSS lasītājs Feedly, Review: Kas padara to par tik populāru Google lasītāja nomaiņu?Tagad, kad Google Reader ir tikai atmiņa, cīņa par RSS nākotni patiesi notiek. Viens no ievērojamākajiem produktiem, kas cīnās ar labu cīņu, ir Feedly. Google lasītājs nebija ... Lasīt vairāk abonementi. Tas sāka dzīvi kā likumīgs produkts izlaida hobiju attīstītājs, bet tika nopirkts par četrciparu summu 2014. gadā. Pēc tam jaunie īpašnieki spraudni piestiprināja ar reklāmprogrammatūru SuperFish, kas iepludināja reklāmās lapās un parādīja uznirstošos logus. SuperFish kļuva pazīstams šā gada sākumā, kad tas kļuva spēkā Lenovo to bija piegādājis ar visiem viņu zemākajiem Windows klēpjdatoriem Lenovo klēpjdatoru īpašnieki piesardzieties: iespējams, ka jūsu ierīce ir jau instalējusi ļaunprogrammatūruĶīnas datoru ražotājs Lenovo ir atzinis, ka klēpjdatoriem, kas 2014. gada beigās tika piegādāti veikaliem un patērētājiem, bija iepriekš instalēta ļaunprātīga programmatūra. Lasīt vairāk .
• Ekrānuzņēmums vietnē ļauj lietotājiem uzņemt visas apmeklētās tīmekļa lapas attēlu, un tā ir instalēta vairāk nekā 1 miljonā datoru. Tomēr tas arī ir pārsūtījis lietotāju informāciju uz vienu IP adresi Amerikas Savienotajās Valstīs. WebPage Ekrānuzņēmuma īpašnieki ir nolieguši jebkādu pārkāpumu un uzstāj, ka tā bija daļa no viņu kvalitātes nodrošināšanas prakses. Kopš tā laika Google to ir noņēmis no Chrome interneta veikala.
• Adicionar Ao Google Chrome bija negodīgs paplašinājums, kas nolaupīti Facebook konti 4 lietas, kas jādara tūlīt, kad tika uzlauzts jūsu Facebook kontsJa jums ir aizdomas, ka jūsu Facebook konts ir uzlauzts, lūk, ko darīt, lai uzzinātu un atgūtu kontroli. Lasīt vairāk un kopīgoja neatļautus statusus, ziņas un fotoattēlus. Ļaunprātīgā programmatūra tika izplatīta vietnē, kas atdarināja YouTube, un lika lietotājiem instalēt spraudni, lai skatītos videoklipus. Kopš tā laika Google ir noņemis spraudni.

Tā kā lielākā daļa cilvēku izmanto pārlūku Chrome, lai veiktu lielāko daļu skaitļošanas tehnikas, ir satraucoši, ka šiem spraudņiem izdevās izslīdēt cauri plaisām. Bet vismaz tur bija procedūra neizdoties. Instalējot paplašinājumus no citur, jūs neesat aizsargāts.

Līdzīgi kā Android lietotāji var instalēt jebkuru lietotni, ko viņi vēlas, ļauj jums arī Google instalējiet jebkuru vēlamo Chrome paplašinājumu Kā manuāli instalēt Chrome paplašinājumusGoogle nesen nolēma atspējot Chrome paplašinājumu instalēšanu trešo personu vietnēs, taču daži lietotāji joprojām vēlas instalēt šos paplašinājumus. Lūk, kā to izdarīt. Lasīt vairāk , ieskaitot tādas, kuras netiek piegādātas no Chrome interneta veikala. Tas nenozīmē tikai patērētājiem dot papildu izvēli, bet drīzāk ļaut izstrādātājiem pārbaudīt kodu, pie kura viņi strādā, pirms tā nosūtīšanas apstiprināšanai.

Tomēr ir svarīgi atcerēties, ka neviens manuāli instalēts paplašinājums nav izgājis cauri Google stingrajām testēšanas procedūrām un var saturēt visa veida nevēlamu rīcību.

Cik riskējat jūs?

2014. gadā Google pārspēja Microsoft Internet Explorer kā dominējošo tīmekļa pārlūku, un tagad tas pārstāv gandrīz 35% interneta lietotāju. Tā rezultātā ikvienam, kurš vēlas ātri izveidot naudu vai izplatīt ļaunprātīgu programmatūru, tas joprojām ir vilinošs mērķis.

Lielākoties Google ir spējis tikt galā. Ir bijuši starpgadījumi, taču tie ir bijuši izolēti. Kad ļaunprātīgai programmatūrai ir izdevies izslīdēt cauri, viņi to ir rīkojusies lietderīgi un ar profesionalitāti, kuru jūs gaidījāt no Google.

Tomēr ir skaidrs, ka paplašinājumi un spraudņi ir potenciāls uzbrukuma vektors. Ja plānojat veikt kaut ko sensitīvu, piemēram, piesakāties savā tiešsaistes bankā, iespējams, vēlēsities to darīt atsevišķā pārlūkā vai spraudņos, kas nav saistīti ar spraudņiem, vai inkognito logā. Un, ja jums ir kāds no iepriekš uzskaitītajiem paplašinājumiem, ierakstiet hroms: // paplašinājumi / Chrome adreses joslā, pēc tam atrodiet un izdzēsiet tos, lai būtu drošībā.

Vai esat kādreiz nejauši instalējis kādu Chrome ļaunprātīgu programmatūru? Dzīvi stāstīt stāstu? Es gribu par to dzirdēt. Nometiet man komentāru zemāk, un mēs tērzēsim.

Attēlu kredīti: Āmurs uz sadragāta stikla Caur Shutterstock