Innovatie & Strategie

IT beheer
chrome devices

Extensie-permissies per site te beheren in Chrome 70

Google geeft Chrome verschillende aanpassingen om de impact van kwaadaardige extensies te beperken.

© Google
2 oktober 2018

Google geeft Chrome verschillende aanpassingen om de impact van kwaadaardige extensies te beperken.

Extensies kunnen de functionaliteiten van webbrowsers aanzienlijk uitbreiden, maar tegelijkertijd kunnen kwaadaardige extensies gebruikers veel schade berokkenen. In Chrome 70 laat Google gebruikers de rechten van hun browserextensies nu per website beheren, om gebruikers meer invloed te geven op de datatoegang door browserextensies.

In het Chromium-blog waarin Google deze beheeraankondiging doet, wijst de browsermaker op de toegevoegde waarde van het Chrome-extensiesysteem wat bijna tien jaar geleden werd gelanceerd. Ondanks dat dit volgens Google de innovatie en gebruikerservaring van Chrome in de hand heeft gewerkt, zijn er ook keerzijden waar de fabrikant nu op inspeelt met het strengere extensiebeleid.

Zo kunnen gebruikers per site de permissie regelen die goedkeurt of gegevens automatisch kunnen worden gelezen of gewijzigd door extensies. Ook kan worden ingesteld dat dit enkel na een extra handeling van de gebruiker is toegestaan. De volledige toelichting is te lezen in een samenvattende blogpost van Google over runtime host permissies.

Versluierde code

Hiernaast staat de Chrome Web Store geen extensies meer toe met zogeheten ‘versluierde code’. Het gaat hierbij om code die verborgen zit in het extensiepakket zelf, evenals extern aangeroepen code en extra functies die van internet worden geplukt door de extensie. Extensies die versluierde code bevatten krijgen van Chrome straks 90 dagen de tijd om corrigerende updates uit te rollen, en worden anders uit de Chrome Web Store verwijderd. Google draagt als onderbouwing aan dat 70 procent van de verwijderde extensies die worden geblokkeerd versluierde code bevat en dat deze code het controleproces bemoeilijkt.

“Omdat obfuscation vooral wordt gebruikt om de codefunctionaliteit te verbergen, voegt het tegelijkertijd een grote mate van complexiteit toe aan ons beoordelingsproces. Dit is niet langer aanvaardbaar gezien de bovengenoemde wijzigingen in het beoordelingsproces. Omdat JavaScript-code altijd lokaal op de computer van de gebruiker wordt uitgevoerd, is versluiering bovendien onvoldoende om bedrijfseigen code te beschermen tegen een echt gemotiveerde reverse-engineer. Obfuscation-technieken brengen ook forse prestatiekosten met zich mee, zoals tragere uitvoering en een grotere footprint van bestanden en geheugen”, stelt Google in de blogpost.

Minification

Zogeheten ‘minification’, zoals verwijdering van witruimte of commentaren in de code of de verkorting van functienamen, mag nog wel.

Google kondigt hiernaast ook een aanvullende controle aan op extensies die uitgebreidere permissies behoeven. Daarnaast komt de fabrikant met een nieuwe vereiste van tweetrapsauthenticatie voor ontwikkelaars. Zij moeten daarmee hun accounts bij de Chrome Web Store beveiligen. Zo wil de fabrikant voorkomen dat veelgebruikte extensies slachtoffer worden van kwaadwillenden die daarvoor dan developersaccounts kapen.

Lees meer over
Lees meer over Innovatie & Strategie OP AG Intelligence
1
Reacties
JanBul 02 oktober 2018 18:14

Beste manier om ongewenste zaken in software te verwijderen/vermijden is:
Chrome van je machine verwijderen en alles wat Microsoft of Google is!

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.