פרסומת
בערך 33% מכלל משתמשי Chromium מותקנים איזשהו פלאגין לדפדפן. במקום להיות נישה וטכנולוגית קצה המשמשת אך ורק על ידי משתמשי כוח, התוספות הן חיוביות באופן חיובי, כאשר הרוב מגיע מחנות האינטרנט של Chrome ומשוק התוספות של Firefox.
אבל עד כמה הם בטוחים?
על פי מחקר אמור להיות מוצג בסימפוזיון IEEE בנושא אבטחה ופרטיות התשובה היא לא מאוד. המחקר הממומן על ידי גוגל מצא כי לעשרות מיליוני משתמשי Chrome מותקנים מגוון תוכנות זדוניות מבוססות-תוספות, המהווה 5% מכלל התעבורה בגוגל.
המחקר הביא לקרצף של כמעט 200 תוספים מחנות האפליקציות של Chrome והביאו בספק את האבטחה הכוללת של השוק.
אז מה גוגל עושה כדי לשמור עלינו, ואיך אתה יכול לאתר תוסף נוכל? התברר לי.
מאיפה מגיעים תוספות
תקראו להם מה שתעשו - תוספי דפדפן, תוספים או תוספות - כולם מגיעים מאותו מקום. מפתחים צדדים שלישיים עצמאיים המייצרים מוצרים שהם מרגישים משרתים צורך או פותרים בעיה.
הרחבות לדפדפן נכתבות בדרך כלל בטכנולוגיות אינטרנט, כגון HTML, CSS, ו- JavaScript מה זה JavaScript והאם האינטרנט יכול להתקיים בלעדיו?JavaScript הוא אחד הדברים שרבים לוקחים כמובן מאליו. כולם משתמשים בזה. קרא עוד
, ובדרך כלל בנויים לדפדפן ספציפי אחד, אם כי ישנם כמה שירותי צד ג 'המאפשרים יצירת תוספים לדפדפנים חוצי פלטפורמות.ברגע שהתוסף הגיע לרמת השלמה ונבדק, הוא משוחרר. אפשר להפיץ תוסף באופן עצמאי, אם כי הרוב המכריע של המפתחים בוחרים במקום זאת להפיץ אותם דרך מוזילה, גוגל וחנויות התוספים של מיקרוסופט.
למרות שלפני שהוא אי פעם נוגע במחשב של משתמש, יש לבדוק אותו כדי להבטיח שהוא בטוח לשימוש. כך זה עובד בחנות האפליקציות של גוגל כרום.
שמירה על Chrome בטוח
מהגשת סיומת, ועד לפרסומה בסופו של דבר, יש המתנה של 60 דקות. מה קרה פה? ובכן, מאחורי הקלעים, גוגל מוודאת שהתוסף אינו מכיל היגיון זדוני, או כל דבר שעשוי לפגוע בפרטיות המשתמשים או בבטיחותם.
תהליך זה מכונה 'אימות פריט משופר' (IEV), והוא סדרה של בדיקות קפדניות הבוחנות את קוד התוסף ואת התנהגותו בעת התקנתו, על מנת לזהות תוכנה זדונית.
לגוגל יש גם פרסם 'מדריך לסגנון' כאלה שאומרים למפתחים אילו התנהגויות מותרות ומרתיעים מפורשות אחרים. לדוגמה, חל איסור להשתמש ב- JavaScript inline - JavaScript שלא נשמר בקובץ נפרד - כדי להקטין את הסיכון מפני התקפות סקריפט בין-אתרים מהו סקריפטים חוצה אתרים (XSS) ומדוע זה איום ביטחוניפגיעויות בין סקריפטים בין אתרים הם הבעיה הגדולה ביותר בתחום אבטחת האתר כיום. מחקרים מצאו שהם נפוצים באופן מזעזע - 55% מהאתרים הכילו פגיעויות ב- XSS בשנת 2011, על פי הדו"ח האחרון של White Hat Security, שפורסם ביוני ... קרא עוד .
גוגל גם מתנערת מאוד משימוש ב'הערכה ', שהיא מבנה תכנות המאפשר לבצע קוד לבצע קוד, ויכולה להכניס כל מיני סיכוני אבטחה. הם גם לא מאוד חושקים מתוספים המתחברים לשירותים מרוחקים שאינם של גוגל, מכיוון שזה מהווה את הסיכון ל התקפה של אדם-באמצע (MITM) מהי התקפה של אדם באמצע? הוסבר שפה הביטחוןאם שמעתם על התקפות "איש-באמצע" אך אינך בטוח לגמרי מה זה אומר, זה המאמר בשבילך. קרא עוד .
אלה שלבים פשוטים, אך לרוב יעילים לשמור על בטיחות המשתמשים. ג'וואבד מליקסנגור אבטחה בחברת Alienware, חושב שזה צעד בכיוון הנכון אך מציין כי האתגר הגדול ביותר בשמירה על בטיחות המשתמשים הוא נושא החינוך.
"הבחנה בין תוכנה טובה לרעה הופכת לקשה יותר ויותר. אם לפרש, תוכנה לגיטימית של אחד מאן היא תוכנה לגיטימית של גבר זה שגניבת זהות וגורמת זדון המסכנת פרטיות המקודדת במעי הגיהנום.
"אל תבינו אותי לא נכון. אני מברך על הצעד של גוגל להסיר את התוספים הזדוניים האלה - חלקם אף פעם לא היו צריכים להיות מפורסמים מלכתחילה. אבל האתגר שעומד לפני חברות כמו גוגל הוא שיטור הרחבות והגדרת גבולות ההתנהגות המקובלת. שיחה המשתרעת מעבר לביטחון או לטכנולוגיה ולשאלה עבור החברה המשתמשת באינטרנט בכלל. "
גוגל שמה לה למטרה להבטיח למשתמשים מידע על הסיכונים הכרוכים בהתקנת תוספי דפדפן. כל תוסף בחנות האפליקציות של גוגל כרום מפורש לגבי ההרשאות הנדרשות ואינו יכול לחרוג מההרשאות שאתה נותן לו. אם הרחבה מבקשת לעשות דברים שנראים חריגים, יש לך סיבה לחשד.
אבל מדי פעם, כידוע, תוכנות זדוניות גולשות.
כשגוגל עושה את זה לא נכון
באופן מפתיע גוגל שומרת על ספינה די צמודה. לא הרבה גולש מעבר לשעון שלהם, לפחות כשמדובר בחנות האינטרנט של Chrome. כשמשהו עושה זאת, זה רע.
- AddToFeedly היה תוסף Chrome שאפשר למשתמשים להוסיף אתר לאתר שלהם קורא RSS עדכני באופן מדויק, נבדק: מה גורם להחלפה פופולרית כזו של קורא בגוגל?כעת, כאשר Google Reader אינו אלא זיכרון רחוק, המאבק על עתידו של RSS נמצא באמת. אחד המוצרים הבולטים שנלחמים במאבק הטוב הוא Feedly. Google Reader לא היה ... קרא עוד מנויים. זה התחיל את החיים כמוצר לגיטימי שוחרר על ידי מפתח חובבים, אך נקנה תמורת סכום של ארבע ספרות בשנת 2014. הבעלים החדשים חילקו את התוסף עם תוכנת הפרסומת SuperFish, שהחדירה פרסום לדפים והולידה חלונות קופצים. SuperFish זכתה לשמצה מוקדם יותר השנה כשזה התרחש לנובו העבירה אותו עם כל מחשבי המחשבים הניידים שלהם עם חלונות בעלי מחשב נייד של Lenovo היזהרו: ייתכן שההתקן שברשותך התקין מראש תוכנה זדוניתיצרנית המחשבים הסינית לנובו הודתה כי במחשבים ניידים שנשלחו לחנויות ולקוחות בסוף 2014 הותקנה תוכנה זדונית מראש. קרא עוד .
- צילום מסך של דף האינטרנט מאפשרת למשתמשים לצלם תמונה של כל דף האינטרנט שהם מבקרים בו, והותקנה על למעלה ממיליון מחשבים. עם זאת, היא גם העבירה מידע על משתמשים לכתובת IP יחידה בארצות הברית. בעלי תמונת מסך של WebPage הכחישו כל עוולה, ומתעקשים שזה היה חלק ממנהגי אבטחת האיכות שלהם. גוגל הסירה אותו מאז מחנות האינטרנט של Chrome.
- Adicionar Ao Google Chrome היה סיומת נוכלה חטף חשבונות פייסבוק 4 דברים לעשות מייד כשחשבון הפייסבוק שלך נפרץאם אתה חושד שחשבון הפייסבוק שלך נפרץ, הנה מה לעשות כדי לגלות ולהשיג מחדש את השליטה. קרא עוד , ושיתפו סטטוסים, פוסטים ותמונות לא מורשים. התוכנה הזדונית נפוצה דרך אתר שחיקה את YouTube ואמר למשתמשים להתקין את התוסף בכדי לצפות בסרטונים. גוגל הסירה מאז את התוסף.
בהתחשב בעובדה שרוב האנשים משתמשים בכרום כדי לבצע את הרוב המכריע של המחשוב שלהם, זה מדאיג שהתוספים האלה הצליחו להחליק דרך הסדקים. אבל לפחות היה א תהליך להיכשל. כשאתה מתקין תוספים ממקומות אחרים, אתה לא מוגן.
ממש כמו שמשתמשים באנדרואיד יכולים להתקין כל אפליקציה שהם רוצים, גוגל מאפשרת לך התקן כל סיומת כרום שתרצה כיצד להתקין תוספי Chrome באופן ידנילאחרונה החליטה גוגל להשבית את ההתקנה של תוספי Chrome מאתרי צד שלישי, אך חלק מהמשתמשים עדיין רוצים להתקין תוספים אלה. הנה איך לעשות זאת. קרא עוד , כולל כאלה שלא מגיעים מחנות האינטרנט של Chrome. זה לא רק כדי לתת לצרכנים קצת אפשרות נוספת, אלא לאפשר למפתחים לבדוק את הקוד שהם עבדו לפני שהם שולחים אותו לאישור.
עם זאת, חשוב לזכור שכל סיומת המותקנת באופן ידני לא עברה על נהלי הבדיקה הקפדניים של גוגל ויכולה להכיל כל מיני התנהגויות לא רצויות.
איך אתה בסיכון?
בשנת 2014 גוגל עקפה את Internet Explorer של מיקרוסופט כדפדפן האינטרנט הדומיננטי, וכיום היא מייצגת כמעט 35% ממשתמשי האינטרנט. כתוצאה מכך, עבור כל מי שמחפש להרוויח כסף מהיר או להפיץ תוכנות זדוניות, זה נותר יעד מפתה.
גוגל, לרוב, הצליחה להתמודד. היו אירועים, אך הם בודדו. כאשר תוכנות זדוניות הצליחו לחמוק דרך, הם התמודדו עם זה במהירות, ובמקצועיות שהיית מצפה מגוגל.
עם זאת, ברור שהתוספים והתוספים הם וקטור התקפה פוטנציאלי. אם אתה מתכנן לעשות משהו רגיש כמו התחברות לבנקאות המקוונת שלך, ייתכן שתרצה לעשות זאת בדפדפן נפרד ללא תוספים או בחלון גלישה בסתר. ואם יש לך אחת מהתוספים המפורטים לעיל, הקלד chrome: // תוספים / בסרגל הכתובות של Chrome, ואז מצא אותם ומחק אותם, רק כדי להיות בטוחים.
האם התקנת אי פעם בטעות תוכנה זדונית של Chrome? לחיות לספר את הסיפור? אני רוצה לשמוע על זה. זרוק לי תגובה למטה, ונשוחח בצ'אט.
זיכויים לתמונה: פטיש על זכוכית מרוסקת דרך Shutterstock
מתיו יוז הוא מפתח תוכנה וכותב מליברפול, אנגליה. לעיתים רחוקות הוא נמצא ללא כוס קפה שחור חזק בידו ומעריץ לחלוטין את ה- Macbook Pro ואת המצלמה שלו. תוכלו לקרוא את הבלוג שלו בכתובת http://www.matthewhughes.co.uk ותעקוב אחריו בטוויטר ב- @ matthewhughes.