Google укрепляет безопасность расширений в Chrome

На конференции Google I/O 2012, прошедшей в Сан-Франциско, лидер команды разработчиков браузера Chrome Сундар Пичаи заявил, что количество пользователей браузера достигло 310 млн., увеличившись в два раза по сравнению с 2011 годом. Столь большая аудитория стала лакомым кусочком для злоумышленников, начавших использовать уязвимости браузера и архитектурные недостаки программы. Инженеры Google занялись исправлением проблемных участков.

Google укрепляет безопасность расширений в Chrome

Google укрепляет безопасность расширений в Chrome

Для Google безопасность браузера является ключевым направлением разработки. Каждый новый выпуск программы сопровождается отчётом о закрытии большого количества уязвимостей, обнаруженных как работниками Google, так и участниками открытого проекта Chromium, получающими крупные вознаграждения (до $20 тыс.) на депозиты физических лиц. Но некоторые направления, такие как работа с расширениями, требует непосредственного вмешательства не только в код браузера, но и в работу магазина приложений Chrome Web Store.
Разработчики предприняли два основных шага в направлении повышения безопасности приложений и расширений. Первый шаг заключается в том, что начиная с Google Chrome 21 накладываются серьёзные ограничения на пользовательских сценариев (Greasemonkey), расширений и приложений, расположенных не в Chrome Web Store. Установка по клику становится недоступна, а пользователю придётся проводить дополнительные манипуляции по открытию служебных страниц и перетаскиванию необходимых расширений.
Вторым шагом является запуск утилит глубокого анализа загружаемых в Web Store элементов. Ранее разработчик мог загрузить любое расширение, в том числе с шпионскими элементами, избежав проверок. Для борьбы со злоумышленниками Google сначала ввела обязательный взнос для разработчиков, а затем проверку расширений с NPAPI-модулями (устанавливающими, например, dll-библиотеки, которые выполняются вне песочницы). Теперь проверке будут подвергаться вообще все расширения.
Менее значительным шагом является то, что расширения, написанные без соответствия современным положениям рекомендаций Google, к 2013 году будут удалены из Chrome Web Store и не смогут быть установлены никаким образом.

Подобные шаги являются необходимыми, учитывая огромное количество пользователей, и проявление большого количества уязвимостей, обходящих как изоляцию процессов, так и работу защитных механизмов системы (DEP, ASLR и другие в Microsoft Windows). На данный момент работа расширений доступна для пользователей браузера на операционных системах Windows, OS X и GNU/Linux. Для пользователей браузера на iOS и Android поддержка расширений пока не реализована и не планируется.

 

1 star2 star3 star4 star5 star (ОЦЕНИТЬ!)
Загрузка...
Безопасность и баги
Комментировать!

Вам понравится

Смарт-карты теперь поддерживаются Chrome OS Теперь владельцы Chromebook могут подключать свои смарт-карты и считыватели смарт-карт для Chrome OS, благодаря новому приложению для Chrome. Smart Card Connector обеспечивает дост...
Расширения для Chrome похищали вещи из инвентаря Steam... Эксперт корпорации Panda Security обнаружил новую угрозу, направленную на активных пользователей Steam. Вредоносными признаны сразу четыре расширения для обозревателя Chrome, созда...
Теперь установка расширений только из Web Store Компания Google будет требовать, чтобы расширения для браузер Chrome устанавливались исключительно из её магазина Web Store. Этим шагом разработчики хотят уменьшить вероятность уст...
Поддельное приложение Bad Piggies инфицировало 80 000 браузеров Chrome... Более восьмидесяти тысяч пользователей Google Chrome пострадали из-за приложений, маскирующихся под оригинальную версию игры Bad Piggies от компании Rovio для этого браузера в мага...
Angry Birds для Google Chrome уже успели взломать Не успела игра Angry Birds, представленная для Google Chrome несколько дней назад, выйти в свет и покорить сердца пользователей браузера от Google, как была взломана.Хакер Wes ...