打击恶意扩展,谷歌将在Chrome70中推出五项安全更新

Author : okay

534

Oct 08, 2018

Share

对于Chrome浏览器来说,扩展程序是极其重要的组成部分。


而对于Chrome的10亿多用户来说,它也是不可或缺的——有近半数的用户在Chrome中使用各类扩展程序来阻止广告、检查语法、管理密码、管理多个账户、翻译等等。


这些优质的扩展能够有效提高用户的使用体验,这也是Chrome能够从各个浏览器中脱颖而出的原因。


1538964165579275.jpg


然而最近几年的恶意扩展显著增加,表面上它们提供了有用的功能,实际却在用户不知情的情况下运行恶意脚本。


谷歌一直致力于打击这类恶意程序。比如禁止从第三方安装扩展、删除使用挖矿脚本的扩展程序等。


1538966123617635.jpg


据最新消息, 谷歌近日又公布了五项安全措施,将遏制恶意扩展的权限滥用。


这五项重大变革,能让用户更好地控制电脑权限,使Chrome扩展程序更安全更透明。


以下是谷歌在Chrome70中的新变化,计划于本月晚些时候推出:


1)用户对主机权限的控制


从Chrome70开始,用户可以控制Chrome扩展程序何时以及如何访问网站数据。


用户也可以设置为要求扩展每次运行必须征询用户的许可,或者为特定网站集或所有网站启用。


1538966213657518.jpg


如上图所示,右键点击Chrome70上的扩展图标后,会显示一个新菜单。


用户可以选择“单击扩展名”,“在当前网站上”或“在所有网站上”使用“读取和更改网站数据”的权限。


2)禁止Chrome扩展程序的代码混淆


即使采取了相应的安全措施,恶意插件作者也经常使用打包或混淆技术,使谷歌的自动扫描程序难以查看和检测恶意代码。


因此,谷歌将拒绝那些底层代码被混淆从而让人难以阅读代码的扩展程序。


3)开发者的强制性两步验证


去年,新一轮的网络钓鱼劫持了流行的Chrome扩展,然后使用恶意代码更新它们并推送给数以千万计的用户。


从1月份开始,谷歌将要求开发人员在Chrome应用商店的帐户中启用两步验证,以降低黑客接管其扩展程序的风险。


1538967042556827.jpg


4)新扩展审核流程更加严格


谷歌将对那些需要大量权限的扩展程序加大审核力度。


除此之外,谷歌还将使用远程托管代码密切监控扩展,以快速发现恶意变更。


5)清单v3


Chrome70的扩展平台清单版本3,旨在实现“更强大的安全性,隐私和性能保证”。


谷歌将在2019年推出Manifest版本3,这将缩小其API的范围,使用户更容易实现权限控制机制,并支持新的Web功能,例如Service Workers作为新的后台进程。


谷歌表示,Chrome应用商店现在有超过180000个扩展程序。


Chrome扩展的产品经理James Wagner说:“用户能够相信他们安装的扩展程序是安全的、保护隐私的和高效的,这一点至关重要。”

Share

Reviews
0/500
Please login before post a review.
Recent Reviews
当前没有评论,赶紧评论抢占沙发