Hlavní navigace

Chrome má být bezpečnější, Google si došlápl na vývojáře rozšíření

Sdílet

Karel Wolf 3. 10. 2018

Rozšíření pro webové prohlížeče patří spolu s mobilními aplikacemi k nejčastějším zdrojům bezpečnostních incidentů na koncových zařízeních. Googlu zřejmě došla trpělivost a unaven věčnými stížnostmi uživatelů zpřísňuje pravidla pro vývojáře.

Rozšíření pro Chrome Web Store musejí od začátku října procházet tužší bezpečnostní prověrkou. Od úterý 2. 10. například není povolené vkládat na Web Store žádnou aplikaci pro Chrome, která obsahuje tzv. obfuskovaný kód, tedy kód záměrně upravený tak, aby zakrýval svoji strukturu a logiku. Do nových pravidel je možné nahlédnout zde.

Společnost k tomu říká, že až 70 % škodlivého kódu a dalšího kódu, který jinak porušuje pravidla Web Store, využívá kód, který je obtížné číst. Vývojáři mají na jeho odstranění ze starších aplikací 90 dní, novou revizí přitom bude muset projít každá aplikace s obfuskovaným kódem vložená po 1. lednu 2018. Pro nové aplikace platí zákaz používání obfuskovaného kódu okamžitě. Opatření se netýká situace, kdy je kód kvůli úspoře místa komprimován (například odstraněním mezer).

Společnost jde ale ve zpřísňování pravidel dále. Pokud aplikace využívají silnější oprávnění a mají vyšší požadavky na zdroje, budou muset projít přísnější kontrolou. Google si chce také posvítit na rozšíření závislé na vzdáleně spouštěném kódu. Vývojáře také čeká povinné využívání dvoufaktorového ověřování pro přístup na Chrome Web Store. Tím chce Google zamezit zneužívání odchycených přístupů k účtům autorů populárních rozšíření, což je dnes asi nejoblíbenější taktika masového šíření malware.

Nové pravidlo samozřejmě neřeší situaci, kdy vývojář přístup ke svému účtu vědomě prodá (trh nabízí 100 dolarů za aktivní a verifikovaný účet) a ten se tak následně dostane do rukou podvodníka. Nové pravidlo začne platit od začátku příštího roku.

Posílit by se měla i možnost ochrany na straně samotného uživatele. V Chrome od verze 70 (venku v betaverzi) je například možné nastavit seznam stránek, na kterých má rozšíření povolení pracovat.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.