За 10 лет компания Chrome выпустила более 180 000 расширений в интернет-магазине Chrome, что позволяет пользователям настольных компьютеров настраивать Chrome и работу в Интернете. Расширения — это небольшие программы, которые настраивают работу в Интернете и помогают пользователям настраивать функциональность и поведение Chrome в соответствии с индивидуальными потребностями и предпочтениями. Сегодня Google объявил о ряде изменений, касающихся обработки расширений, особенно тех, которые запрашивают значительное количество разрешений. Кроме того, он также объявил ряд новых требований для разработчиков, желающих публиковать свои расширения в интернет-магазине Chrome.
Говоря о необходимости и функциях расширений Chrome, в блоге Chromium утверждается: «крайне важно, чтобы пользователи могли быть уверены, что устанавливаемые ими расширения безопасны, сохраняют конфиденциальность и эффективны. Пользователи всегда должны иметь полную прозрачность относительно объема возможностей своих расширений и доступа к данным». В последнее время Chrome предпринял инициативы по повышению безопасности расширений за счет запуска внепроцессных iframe, удаления встроенной установки и улучшения способности обнаруживать и блокировать вредоносные расширения. Сегодня они добавили к своим существующим правилам некоторые новые изменения, а также свои планы на будущее.
Начиная с Chrome 70, пользователям предоставляется возможность блокировать доступ хоста расширений к их пользовательскому списку сайтов и настраивать расширения так, чтобы для разрешения доступа к текущей странице требовался один щелчок. Таким образом большинство расширений Chrome потеряют способность видеть и управлять любым веб-сайтом, который часто посещает пользователь. Это автоматически повышает прозрачность для пользователей и контроль над расширениями. Руководство по переходу поможет вам, когда какое-либо расширение потребует вашего разрешения.
Вдобавок к этому Google обещает, что любое расширение, запрашивающее «полное разрешение», будет подвергнуто тщательной проверке. Кроме того, расширения, использующие удаленно размещенный код, который можно изменить в любое время, также будут находиться под пристальным вниманием. Чтобы сократить время проверки, Chrome советует разработчикам полностью включать свой код в пакет расширения, а также сузить диапазон разрешений.
Интернет-магазин Chrome строго не допускает расширения с непонятным кодом, независимо от того, доступен ли код в пакете расширения, снаружи или из полученного ресурса. С сегодняшнего дня это применяется к любому новому представленному расширению. Существующие расширения Chrome могут продолжать работать. Однако их необходимо будет обновить в течение 90 дней, в противном случае они также будут удалены из интернет-магазина Chrome. Это соответствует заявлению Chrome о том, что более 70% вредоносных расширений работают на запутанном коде. Основное назначение запутанного кода — ограничить читаемость и тем самым снизить вероятность кражи кода, но в то же время такие коды действительно затрудняют проверку.
«С другой стороны, обычная минификация обычно ускоряет выполнение кода, поскольку уменьшает его размер, и его гораздо проще проверять. Таким образом, минификация по-прежнему будет разрешена, включая следующие методы:
С началом нового года Google включит двухэтапную проверку для всех учетных записей разработчиков. Как только расширение станет популярным, у него появится шанс быть украденным путем взлома учетной записи. Считается, что двухэтапная аутентификация добавляет дополнительный уровень безопасности, второй уровень которого будет связан либо с номером телефона, либо с любым «физическим ключом безопасности». Google также рассматривает возможность программы Advanced Protection, которая обеспечивает безопасность собственных сотрудников Google.
В 2019 году также будут представлены следующие расширения Chrome версии манифеста. Манифест v3 потребует дополнительных изменений платформы, направленных на создание более строгих гарантий безопасности, конфиденциальности и производительности.
