Koliko je Chrome web -trgovina sigurna?

Koliko je Chrome web -trgovina sigurna?

Oko 33% svih korisnika Chromiuma ima instaliranu neku vrstu dodatka za preglednik. Umjesto da budu niša, rubna tehnologija koju koriste isključivo iskusni korisnici, dodaci su pozitivno uvriježeni, a većina dolazi iz Chrome web-trgovine i Firefoxove tržnice dodataka.





Ali koliko su sigurni?



Prema istraživanju treba prezentirati na IEEE simpoziju o sigurnosti i privatnosti odgovor je Ne baš . Studija koju je financirao Google pokazala je da desetci milijuna korisnika Chromea imaju instalirane razne zlonamjerne programe temeljene na dodacima, što predstavlja 5% ukupnog Googleovog prometa.





Istraživanje je rezultiralo time da je gotovo 200 dodataka izbrisano iz Chrome App Storea i dovelo u pitanje opću sigurnost tržišta.

Dakle, što Google čini da nas zaštiti i kako možete uočiti lažni dodatak? Saznao sam.



Odakle dolaze dodaci

Nazovite ih kako želite - proširenja preglednika, dodatke ili dodatke - svi oni dolaze s istog mjesta. Neovisni programeri trećih strana koji proizvode proizvode za koje smatraju da služe potrebama ili rješavaju problem.

Dodaci za preglednike općenito su napisani pomoću web tehnologija, kao što su HTML, CSS i JavaScript, i obično su izrađeni za jedan određeni preglednik, iako postoje neke usluge trećih strana koje olakšavaju stvaranje dodataka za preglednike na više platformi.



Nakon što dodatak dosegne razinu dovršenosti i testira se, tada se pušta. Moguće je samostalno distribuirati dodatak, iako se velika većina programera umjesto toga odlučuje za distribuciju putem Mozille, Googlea i Microsoftovih trgovina proširenjima.

Iako, prije nego što ikada dotakne računalo korisnika, mora se testirati kako bi se osiguralo njegovo sigurno korištenje. Evo kako to funkcionira u trgovini Google Chrome App Store.



Čuvanje Chromea na sigurnom

Od podnošenja produženja do konačnog objavljivanja čeka se 60 minuta. Što se ovdje događa? Pa, iza kulisa, Google se brine da dodatak ne sadrži nikakvu zlonamjernu logiku, niti bilo što što bi moglo ugroziti privatnost ili sigurnost korisnika.

Taj je proces poznat kao 'Poboljšana provjera valjanosti stavki' (IEV) i niz je rigoroznih provjera koje ispituju kôd dodatka i njegovo ponašanje kada je instaliran, kako bi se identificirao zlonamjerni softver.

Google također ima objavio 'stilski vodič' vrsta koja programerima govori koja su dopuštena ponašanja i izričito obeshrabruje druge. Na primjer, zabranjeno je koristiti ugrađeni JavaScript - JavaScript koji nije pohranjen u zasebnoj datoteci - kako bi se umanjio rizik od napada skriptiranja na više web lokacija.

Google također snažno ne preporučuje korištenje 'eval', programske konstrukcije koja omogućuje kodu izvršavanje koda i može uvesti sve vrste sigurnosnih rizika. Također nisu strastveno zainteresirani za dodatke koji se povezuju s udaljenim uslugama koje nisu Googleove, jer to predstavlja opasnost od napada Man-In-The-Middle (MITM).

Ovo su jednostavni koraci, ali su uglavnom učinkoviti u zaštiti korisnika. Javvad Malik , Zaštitnik sigurnosti u Alienwareu, smatra da je to korak u pravom smjeru, ali napominje da je najveći izazov u zaštiti korisnika pitanje obrazovanja.

'Pravljenje razlike između dobrog i lošeg softvera postaje sve teže. Da parafraziramo, legitimni softver jednog čovjeka je zlonamjerni virus koji krade identitet, ugrožava privatnost, a kodiran je u utrobi pakla. 'Nemojte me krivo shvatiti, pozdravljam potez Googlea za uklanjanje ovih zlonamjernih proširenja-neki od njih trebali bi nikada za početak nisu objavljeni. No, izazov za tvrtke poput Googlea je nadziranje proširenja i definiranje granica prihvatljivog ponašanja. Razgovor koji se proteže izvan sigurnosti ili tehnologije i pitanje je za društvo koje koristi internet općenito. '

Google nastoji osigurati informiranje korisnika o rizicima povezanim s instaliranjem dodataka za preglednike. Svako proširenje u trgovini Google Chrome App izričito se odnosi na potrebna dopuštenja i ne može premašiti dopuštenja koja mu dajete. Ako proširenje traži da učini stvari koje se čine neobičnim, onda imate razloga za sumnju.

No povremeno, kao što svi znamo, zlonamjerni softver promiče.

kako dobiti internet na laptopu bilo gdje

Kad Google postane pogrešan

Google, začudo, drži prilično tijesan brod. Ne promiče im mnogo pored sata, barem što se tiče Google Chrome web trgovine. Međutim, kad se nešto dogodi, to je loše.

  • AddToFeedly bio je dodatak za Chrome koji je korisnicima dopuštao dodavanje web stranice na njihove pretplate na RSS čitač za Feedly. Započeo je život kao legitiman proizvod izdao programer hobist , ali je kupljen za četveroznamenkasti iznos 2014. Novi su vlasnici zatim dodali dodatak oglasnim softverom SuperFish, koji je ubacio reklame na stranice i iznjedrio skočne prozore. SuperFish je postao poznat početkom ove godine kada se pokazalo da ga je Lenovo isporučivao sa svim svojim jeftinim Windows prijenosnim računalima.
  • Snimka zaslona web stranice omogućuje korisnicima snimanje slike cijele web stranice koju posjećuju, a instalirana je na više od milijun računala. Međutim, također je prenosio korisničke podatke na jednu IP adresu u Sjedinjenim Državama. Vlasnici WebPage Screenshota poricali su bilo kakvo djelo i tvrde da je to dio njihove prakse osiguranja kvalitete. Google ga je u međuvremenu uklonio iz Chrome web -trgovine.
  • Dodati Google Chromeu bilo je lažno proširenje koje oteli račune na Facebooku i dijelili neovlaštene statuse, objave i fotografije. Zlonamjerni softver širio se web -lokacijom koja oponaša YouTube, a korisnicima je rekao da instaliraju dodatak za gledanje videozapisa. Google je od tada uklonio dodatak.

S obzirom na to da većina ljudi koristi Chrome za obavljanje većine svojih računala, zabrinjavajuće je što su ti dodaci uspjeli provući pukotine. Ali barem je postojao a postupak ne uspjeti. Kad instalirate proširenja s drugog mjesta, niste zaštićeni.

Slično kao što korisnici Androida mogu instalirati bilo koju aplikaciju koju žele, Google vam omogućuje da instalirate bilo koje proširenje za Chrome koje želite, uključujući i ona koja ne dolaze iz Chrome web -trgovine. Time se potrošačima ne daje samo dodatni izbor, već se omogućuje programerima da testiraju kôd na kojem su radili prije slanja na odobrenje.

Međutim, važno je zapamtiti da bilo koje proširenje koje se ručno instalira nije prošlo Googleove stroge procedure testiranja i može sadržavati sve vrste nepoželjnog ponašanja.

Koliko ste u opasnosti?

U 2014. Google je pretekao Microsoftov Internet Explorer kao dominantni web preglednik, te sada predstavlja gotovo 35% korisnika Interneta. Kao rezultat toga, za svakoga tko želi zaraditi na brzinu ili distribuirati zlonamjerni softver, to ostaje primamljiva meta.

Google se, uglavnom, uspio nositi s tim. Bilo je incidenata, ali oni su izolirani. Kad se zlonamjerni softver uspio provući, oni su to riješili na odgovarajući način i sa profesionalizmom koji biste očekivali od Googlea.

Međutim, jasno je da su proširenja i dodaci potencijalni vektor napada. Ako planirate učiniti bilo što osjetljivo, primjerice prijaviti se na internetsko bankarstvo, možda biste to htjeli učiniti u zasebnom pregledniku bez dodataka ili anonimnom prozoru. A ako imate neko od gore navedenih proširenja, upišite chrome: // proširenja/ u adresnoj traci Chromea, a zatim ih pronađite i izbrišite, samo radi sigurnosti.

Jeste li ikada slučajno instalirali neki zlonamjerni softver Chrome? Uživo pričati priču? Želim čuti o tome. Napišite mi komentar ispod, pa ćemo razgovarati.

Zasluge za slike: Čekić na razbijenom staklu Preko Shutterstocka

Udio Udio Cvrkut E -pošta Dark Web vs Deep Web: Koja je razlika?

Tamni i duboki web često se pogrešno smatraju za jedno te isto. Ali to nije tako, pa kakva je razlika?

Pročitajte Dalje Povezane teme
  • Preglednici
  • Sigurnost
  • Google Chrome
  • Mrežna sigurnost
O autoru Matthew Hughes(386 objavljenih članaka)

Matthew Hughes je programer softvera i pisac iz engleskog Liverpoola. Rijetko se nađe bez šalice jake crne kave u ruci i apsolutno obožava svoj Macbook Pro i fotoaparat. Njegov blog možete pročitati na http://www.matthewhughes.co.uk i pratiti ga na twitteru na @matthewhughes.

Više od Matthewa Hughesa

Pretplatite se na naše obavijesti

Pridružite se našem biltenu za tehničke savjete, recenzije, besplatne e -knjige i ekskluzivne ponude!

Kliknite ovdje za pretplatu