不久前因在 Chrome 瀏覽器上暗戳戳做小動作而被瘋狂 diss 的谷歌刷了一波好感。
本週一,谷歌宣佈了一系列擴展程序規範,確保進一步規範和管理擴展程序,這一輪打擊行動目的是阻止擴展程序獲得合理範圍之外的那些權限。
擴展程序的存在對Chrome來說似乎是個“磨人的小妖精”,一方面有近半數的用戶在Chrome中使用各類擴展程序來阻止廣告、檢查語法、管理密碼、管理多個Gmai賬戶、翻譯其它語言的文本以及將標籤摺疊到列表中供以後使用。
但 Chrome 應用程序以及 Chrome 網上應用店的開放性也為惡意軟件、間諜軟件、挖礦軟件、社交網絡帳戶劫持者以及其他的惡意擴展打開了大門。
惡意擴展程序算個讓谷歌工程師禿頭的問題,多年來一直試圖解決。
為了加強隱私和安全性,Google 在預計本月底推出的 Chrome 70 更新中搞了一波擴展新規:
首先,用戶可以限制擴展程序在某些特定網站,也可以設置每次運行擴展須徵求用戶許可。另外,會加入選項讓使用者可以自定擴展功能可以取存哪個網站的資料,限制開發者獲取過多的使用者瀏覽資料。 這種更改不會完全阻止惡意擴展,但可以限制其可以造成的損害。
其次,谷歌還禁止了開發者使用混淆代碼進行擴展。畢竟被混淆的代碼難於理解,使調試以及除錯也不太容易,更會增大反向工程難度。最重要的是,Google 有 70% 的惡意程序和違反規則的擴展功能都包含這樣的設計,谷歌爸爸大手一揮,要求現有擴展功能的開發者在年底之前把代碼混淆的部分移除。 不過為了簡化代碼架構加速審批,仍然允許收縮代碼(即刪除了無關空格和長變量名稱的代碼)。
另外,如果負責擴展程序的開發人員帳戶被入侵,擴展程序可能會被篡改甚至進行惡意攻擊。為此谷歌明年將要求開發者使用兩步身份驗證,給黑客破解賬戶增加難度。
最後,谷歌還計劃推出一個新的擴展清單,使用戶更好地控制他們的擴展授權。
當然,圍觀群眾都在拭目以待,畢竟這是一場持久戰。
雷鋒網雷鋒網雷鋒網
閱讀更多 雷鋒網 的文章
