The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Google внедряет меры для противодействия вредоносным дополне..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Google внедряет меры для противодействия вредоносным дополне..."  +/
Сообщение от opennews (??), 01-Окт-18, 22:58 
Компания Google раскрыла (https://blog.chromium.org/2018/10/trustworthy-chrome-extensi...) планы по дальнейшему повышению защиты дополнений к Chrome и снижению числа вредоносных дополнений в каталоге  Chrome Web Store. В последнее время  участились случаи (https://www.opennet.dev/opennews/art.shtml?num=48947) захвата (https://www.opennet.dev/opennews/art.shtml?num=47035) контроля (https://www.opennet.dev/opennews/art.shtml?num=46970) за популярными дополнениями в целях подстановки вредоносного кода. Также периодически всплывают факты  скрытого (https://www.opennet.dev/opennews/art.shtml?num=49038) добавления (https://www.opennet.dev/opennews/art.shtml?num=49143) авторами дополнений кода для сбора персональных данных или передачи во внешние сервисы данных о посещениях.

Для защиты пользователей  Chrome и предотвращения появления в Chrome Web Store вредоносных дополнений  запланированы следующие изменения:


-  В  Chrome 70 пользователь сможет  ограничить действие дополнения определённым списком сайтов или включить режим активации дополнения на каждой странице только после явного клика на значке дополнения в панели. Указанные возможности позволят защитить пользователя от скрытого совершения нецелевых действий, таких как выуживание со страницы персональных данных или подстановка рекламы, вызванных злонамеренными действиями создателей или захватом третьими лицами контроля за дополнениями. Конечной целью вносимых изменений является предоставление пользователю механизмов для управления и отслеживания ситуаций, когда дополнение может получить доступ к данным просматриваемого сайта.

-  В каталоге дополнений будет модернизирован процесс рецензирования кода. Все дополнения, запрашивающие слишком большие полномочия, будут проходить дополнительную проверку. Отдельное внимание будет уделяться выявлению дополнений, использующих код, загружаемый с внешних серверов. Разработчикам дополнений рекомендовано запрашивать только минимум необходимых полномочий и включать весь код непосредственно в архив с дополнением;

-  В Chrome Web Store запрещено размещение дополнений, в которых применяется техники запутывания кода (obfuscation) с целью приведения его к нечитаемому виду, затрудняющему восстановление алгоритма работы. В том числе запрещено использование кода и ресурсов, загружаемых с внешних хостов. Новые правила применяются с сегодняшнего дня ко всем новым дополнениям. Размещённые ранее дополнения должны избавиться от подобного кода до 1 января 2019 года, в противном случае они будут удалены из каталога.


По статистике Google более 70% вредоносных и нарушающих правила дополнений, заблокированных в Chrome Web Store, включали нечитаемый код. Наличие запутанного кода существенно усложняет процесс рецензирования, негативной влияет на производительность и повышает расход памяти. Попытка оправдать запутывание защитой пропритарного кода не выдерживает критики, так как подобные техники мало помогают от обратного инжиниринга.


Отдельно подчёркивается, что минимизация кода (сокращение имён переменных и функций, слияние JavaScript-файлов, удаление лишних пробелов, комментариев, переводов строк и разделителей) по прежнему остаётся разрешённой, речь только о запутывании кода, например, скрытия кода в блоках base64.

-  В 2019 году для разработчиков дополнений станет обязательным применение двухфакторной аудентификации при доступе к учётным записям в Chrome Web Store. Для достижения более высокого уровня защиты также рекомендуется использовать аутентификацию (https://landing.google.com/advancedprotection/) на базе физических ключей;

-  В 2019 году планируется предложить третью версию формата файла-манифеста, в котором будут предложены новые возможности для усиления безопасности, приватности и производительности. Целью новой версии манифеста является упрощение создания безопасных и высокопроизводительных дополнений, и усложнение возможности создания небезопасных и медленных дополнений.


Намеченной цели планируется добиться предлагая более узкоспециализированные и декларативные API, позволяющие ограничить потребность в более широком доступе и предлагающие оптимальные с точки производительности решения. Кроме того, ожидается появление возможности фонового выполнения работ при помощи Service Workers и предоставление дополнительных упрощённых механизмов, позволяющих пользователю управлять полномочиями расширений.

URL: https://blog.chromium.org/2018/10/trustworthy-chrome-extensi...
Новость: https://www.opennet.dev/opennews/art.shtml?num=49378

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Google внедряет меры для противодействия вредоносным дополне..."  +4 +/
Сообщение от Аноним (1), 01-Окт-18, 22:58 
> В том числе запрещено использование кода и ресурсов, загружаемых с внешних хостов.

прощайте блокировщики рекламы, списки теперь не загрузить.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Google внедряет меры для противодействия вредоносным дополне..."  +/
Сообщение от rstp14 (ok), 01-Окт-18, 23:07 
Почему? Просто будет каждый день обновление блокировщика.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Google внедряет меры для противодействия вредоносным дополне..."  +2 +/
Сообщение от Аноним (4), 01-Окт-18, 23:08 
Будут в основой пакет правила включать и обновления выпускать каждый день.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Google внедряет меры для противодействия вредоносным дополне..."  +/
Сообщение от Бабка на базаре (?), 01-Окт-18, 23:09 
Ясно.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

14. "Google внедряет меры для противодействия вредоносным дополне..."  +/
Сообщение от Аноним (14), 02-Окт-18, 00:34 
>не отличает код и ресурсы от данных

1 код: разраб внутри аддона (в манифесте или хтмлках) прописал URL внешнего js скрипта. В привилегированный контекст грузится код из внешнего источника, что есть риск безопасности.
2 ресурсы: разраб внутри аддона (в манифесте или хтмлках) прописал URL внешнего css или картинки. В интерфейс браузера грузится внешний контент, что необоснованная угроза приватности (можно отслеживать запуски браузера по логам) и показ рекламы - конкуренция Гуглу.
3 то же самое, но с подгрузкой аяксом


Списки блокировки и юзерскрипты сюда не попадают: юзерскрипты пользователь ставит сам, а списки блокировки активным когтентом не являются и домой не звонят.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

25. "Google внедряет меры для противодействия вредоносным дополне..."  +1 +/
Сообщение от Аноним (25), 02-Окт-18, 02:16 
а чем отличается картинка от списка с правилами блокировки?
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

31. "Google внедряет меры для противодействия вредоносным дополне..."  –1 +/
Сообщение от Аноним (31), 02-Окт-18, 05:31 
В исходный код картинки при желании можно запихнуть скрытый код, который будет незаметен.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

48. "Google внедряет меры для противодействия вредоносным дополне..."  +/
Сообщение от Адекватный Аноним (?), 02-Окт-18, 10:51 
Тем, что картинку не имеет никакого смысла, кроме слежки и рекламы, выносить во внешний ресурс и потом хотлинкить.

Т.е. если дополнение так делает, значит разработчик его либо недостаточно квалифицирован, либо намерен либо трекать, либо рекламировать, либо помогать это делать.

Списки же uBlockа - это то, что должно регулярно обновляться, и в этом в том числе смысл этого дополнения.

Я просто предполагаю, что правила интерпретируются адекватными людьми, а не теми, кто хочет прикопаться к каждой букве и интерпретировать правила чисто формально, что приведёт к нарушению работы стора и такого работника просто переведут на другую работу, не требующую здравого смысла, либо вообще уволят нахрен.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

52. "Google внедряет меры для противодействия вредоносным дополне..."  +/
Сообщение от Пнннонььри (?), 02-Окт-18, 18:49 
Либо ублок выкинут из магзика.
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

53. "Google внедряет меры для противодействия вредоносным дополне..."  +/
Сообщение от Аноним (14), 02-Окт-18, 21:13 
Если бы μBlock хотели выкинуть из каталога, то уже бы выкинули, пользуясь пунктом ToS, разрешающем владельцу сайта так делать, как выкинули XPrivacy и AdAway из Маркета.  Его не выкинули по одной простой причине - если так сделать, то народ ломанётся на ФФ.
Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

34. "Google внедряет меры для противодействия вредоносным дополне..."  –1 +/
Сообщение от Emily (ok), 02-Окт-18, 06:58 
Может, просто не пользоваться Гугл Хренью? Есть другие достойные браузеры на основе Хромиума.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

36. "Google внедряет меры для противодействия вредоносным дополне..."  +/
Сообщение от paulus (ok), 02-Окт-18, 07:16 
>Есть другие достойные браузеры на основе Хромиума.

Так ты же сам ответил, что эта хрень появится во всех хромоногих ;)

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

37. "Google внедряет меры для противодействия вредоносным дополне..."  –2 +/
Сообщение от Emily (ok), 02-Окт-18, 07:25 
Хром и Хромиум одно и тоже? Вы уверены?
P.S. Совет: ещё раз прочитайте мой ник.
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

49. "Google внедряет меры для противодействия вредоносным дополне..."  –1 +/
Сообщение от Аноним (49), 02-Окт-18, 13:22 
Максим - певица (говорят)), извинити )
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

41. "Google внедряет меры для противодействия вредоносным дополне..."  +/
Сообщение от Annoynymous (ok), 02-Окт-18, 09:20 
Ты сам-то понимаешь, что другие достойные браузеры на базе хромого используются только потому, что совместимы с расширениями хромого? Без расширений браузеры оказываются никому не нужны.
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

7. "Google внедряет меры для противодействия вредоносным дополне..."  +11 +/
Сообщение от Аноним (7), 01-Окт-18, 23:13 
Ничего личного, просто собирать ваши личные данные право имеет только гугл.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Google внедряет меры для противодействия вредоносным дополне..."  –3 +/
Сообщение от Аноним (8), 01-Окт-18, 23:26 
Пацаны, что думаете про ungoogled-chromium?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Google внедряет меры для противодействия вредоносным дополне..."  +/
Сообщение от Аноним (10), 01-Окт-18, 23:28 
Работает как следует
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "Google внедряет меры для противодействия вредоносным дополне..."  +1 +/
Сообщение от dimqua (ok), 02-Окт-18, 00:21 
> Our favorite infosec expert (whom we’ve cited before on a few matters) SwiftOnSecurity, let us know today that Ungoogled Chromium is a student project and doesn’t have the ability to update itself (and likely hasn’t been updated.) In that regard, we can’t recommend it.
> https://lifehacker.com/ungoogled-chromium-strips-away-the-pr...

Последнее время правда обновляется более-менее регулярно. А Inox помер и Iridium еле дышит. :-(

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

47. "Google внедряет меры для противодействия вредоносным дополне..."  +/
Сообщение от Аноним (8), 02-Окт-18, 10:51 
> Ungoogled Chromium is a student project

С заменой по регекспу всех вшитых в браузер доменов и урлов справится любой студент. А патчи там отнюдь не только лишь авторства вышеназванного "student", но и от debian, inox, iridium, bromite etc. Т.е. проект опирается на уже имеющиеся, не "student project"-овские патчи.

> doesn’t have the ability to update itself

Впрочем, как и ванильный хромиум (не путать с хромом). В мире GNU/Linux обновлениями традиционно занимается пакетный менеджер, а не само приложение: осталось лишь оформить репозиторий для популярных дистров.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

51. "Google внедряет меры для противодействия вредоносным дополне..."  +/
Сообщение от dimqua (ok), 02-Окт-18, 17:14 
Может и так, но при наличии времени и желания. Автор уже один раз, как минимум, долгое время не обновлял патчи:

>Update as of September 2016: I, Eloston, am in a period of time where I do not have as much time as I had before to work on this project.

Не факт, что это не случится снова. Да и т.к. сборки делают волонтеры, на деле выходит, что задержка между обновлениями еще больше и не зависит от автора.

Не говоря уж о том, что патчи от сторонних разработчиков не панацея в принципе:

>Although it is the top priority to eliminate bugs and privacy-invading code, there will be those that slip by due to the fast-paced growth and evolution of the Chromium project.

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

15. "Google внедряет меры для противодействия вредоносным дополне..."  +1 +/
Сообщение от Аноним (14), 02-Окт-18, 00:35 
Мозилла убирает модерацию каталога, гугл вводит. ппц.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

46. "Google внедряет меры для противодействия вредоносным дополне..."  +4 +/
Сообщение от Твоя мама (?), 02-Окт-18, 10:46 
Это не совсем так. Mozilla убрала обязательную ручную модерацию *всех* дополнений, оставила только выборочную. Google же добавила выборочную, то есть сделала как Mozilla.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Google внедряет меры для противодействия вредоносным дополне..."  +1 +/
Сообщение от AnonPlus (?), 02-Окт-18, 00:36 
Вот возможность ограничить действие дополения определёнными сайтами, это круто. Надеюсь, в Firefox добавят такую фичу. Бывают случаи, когда какое-либо дополнение ломает работу сайта, сейчас приходится ждать, пока автор дополнения это исправит (если исправит), а тут можно самому добавить сайт в исключения.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "Google внедряет меры для противодействия вредоносным дополне..."  +/
Сообщение от пох (?), 02-Окт-18, 09:02 
мозильные дополнения уже сто лет как умеют включаться-выключаться на ходу, не требуя рестарта браузера. Если ты жить не можешь без какого-то уродца на каком-то суперуникальном сайте - ты и сейчас можешь это себе организовать.

а нужна такая фича, как обычно, десятой процента от всех нормальных пользователей мурзилы.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

55. "Google внедряет меры для противодействия вредоносным дополне..."  +/
Сообщение от AnonPlus (?), 03-Окт-18, 00:34 
Чуешь разницу между "включать-выключать руками каждый раз" и "добавить в исключение"?
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

56. "Google внедряет меры для противодействия вредоносным дополне..."  +/
Сообщение от пох (?), 04-Окт-18, 14:30 
ну да, первое ты можешь себе обеспечить самостоятельно, или вообще запустить отдельную копию именно для этого чудо-сайта, второе требует изменений кода, баги в которых затронут всех, а нужно оно почти никому. Выводы о вероятности реализации подобной фичи желающие да сделают.


Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

22. "Google внедряет меры для противодействия вредоносным дополне..."  +1 +/
Сообщение от Аноним (22), 02-Окт-18, 01:37 
как я понимаю, совместимость гугловских дополнений с мозилловскими webextensions станет от этих нововведений ещё меньше
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

43. "Google внедряет меры для противодействия вредоносным дополне..."  +1 +/
Сообщение от Аноним (43), 02-Окт-18, 09:33 
С учетом того, как нужно извернуться, чтобы добавить аддон из гугла в фф, проще сказать, что никакой совместимости не было изначально. Ну а с технической точки зрения ничего не поменяется.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

45. "Google внедряет меры для противодействия вредоносным дополне..."  +1 +/
Сообщение от Аноним (45), 02-Окт-18, 10:45 
Совместимость есть - она позволяет портировать аддоны между браузерами с небольшими издержками.
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

30. "Google внедряет меры для противодействия вредоносным дополне..."  +1 +/
Сообщение от Kuromi (ok), 02-Окт-18, 05:10 
"В 2019 году для разработчиков дополнений станет обязательным применение двухфакторной аудентификации при доступе к учётным записям в Chrome Web Store. Для достижения ещё большего уровня защиты рекомендуется использовать аутентификацию на базе физических ключей."

Они выставляют такое требование только сейчас? Ну пусть с ними с физическими ключами, их еще купить надо, но скорее всего софтовую 2FA любой разработчик может сейчас включить.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

50. "Google внедряет меры для противодействия вредоносным дополне..."  +2 +/
Сообщение от Аноним (-), 02-Окт-18, 14:23 
В этом деле им главное - номера телефонов, а там уже пойдёт - локация, триальтерация и т.п.
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

38. "Google внедряет меры для противодействия вредоносным дополне..."  +/
Сообщение от Аноним (38), 02-Окт-18, 07:52 
Как теперь будут работать радио-онлайн плееры?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

44. "Google внедряет меры для противодействия вредоносным дополне..."  +1 +/
Сообщение от Аноним (44), 02-Окт-18, 09:43 
противодействует ЧУЖИМ вредоносным дополнениям. // вот так правильно
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру