Mellékleteink: HUP | Gamekapocs
Keres
Mi a fejlesztő gondja 2018-ban? Refaktorálás, Agile, API-tervezés, PWA és Alexa a gyakorlatban. HWSW mobile! idén is. November 21-22.

Szigorít a Chrome-kiterjesztések védelmén a Google

Hlács Ferenc, 2018. október 03. 15:48

A felhasználók nagyobb kontrollt, a fejlesztők szigorúbb ellenőrzéseket kapnak.

Szigorít a Chrome-hoz íródott böngészőkiegészítők ellenőrzésén a Google, hogy hatékonyabban gyomlálja ki a potenciálisan rosszindulatú szoftverreket, illetve meggátolja azok feltöltését a Chrome Web Store-ba - utóbbi egyébként mára több mint 180 ezer kiegészítőt tartalmaz.

A védelem erősítéséhez első körben a felhasználók kezébe ad a cég nagyobb kontrollt a kiegészítők kapcsán: a Chrome-ban lehetőség lesz szabályozni, hogy az egyes kiegészítők milyen megnyitott weboldalak tartalmához férhetnek hozzá. Bár ahogy a keresőóriás is rámutat, a kiegészítők képessége, hogy az egyes weblapok tartalmait olvashatják, egy sor hasznos funkció alapjául szolgálhat, ugyanakkor érthető módon a felhasználók személyes adatait is veszélybe sodorhatja. A hamarosan érkező Chrome 70-nel lehetőség lesz ezt a hozzáférést letiltani, ha az adott oldalon az éppen nem feltétlenül szükséges.

chrex

De a vállalat maga is szigorúbban szűri majd az online boltjába feltölteni kívánt appokat, különösen ha azok kiterjedt engedélyeket igényelnek. Utóbbi az esetben a cég egy plusz ellenőrzési kört is elvégez, továbbá azokra az alkalmazásokra is kiemelt figyelmet fordít, amelyek egy külső szerveren lévő kódot futtatnak. Ennek megfelelően a cég a fejlesztőknek is azt javasolja, az ellenőrzési folyamatok felgyorsítása végett az igényelt engedélyeknél érdemes csak a feltétlen szükségesekre jogosultságokra szorítkozni, illetve az app teljes kódját a helyben futó kiterjesztésbe csomagolni.

Ezzel párhuzamosan a Google teljesen betiltja az obfuszkált, azaz külső szereplők számára nem olvasható kód használatát, legyen szó magában a kiterjesztéscsomagban lévő, vagy épp a hozzá tartozó, de külső szerverről meghívott kódról. Az újonnan közzétett kiterjesztések esetében ez a megkötés már most érvényes, a Chrome Web Store-ba már feltöltött appok fejlesztőinek pedig 90 napjuk van átláthatóvá tenni termékeiket, különben a Google azokat január elején törli. Ez a lépés nem okoz meglepetést a keresőóriás részéről, hiszen mint maga is kiemeli, a kártékony, illetve a cég irányelveit sértő kiterjesztések 70 százaléka tartalmaz ilyen módon rejtett kódot.  Mindezek mellett, miután a JavaScript kód mindig helyben fut a felhasználó gépén, az obfuszkáció végeredményben nem biztosít megfelelő védelmet a jogvédett kód számára, ráadásul a szoftvert is erőforrásigényesebbé teszi. A minifikációt, azaz a kódtömörítést ugyanakkor továbbra is bátorítja a cég, hiszen az a kódot is hatékonyabbá teszi, illetve a Google számára is megkönnyíti az ellenőrzési folyamatot.

A fejlesztőknek a fentieken túl a kétlépcsős azonosítás használata is kötelező lesz, ha hozzá akarnak férni fiókjaikhoz. A funkciót a Google jövőre kapcsolja be minden fejlesztő számára, akik telefonnal vagy fizikai biztonsági kulccsal végezhetik majd el a bejelentkezés második lépését. A keresőóriás szerint erre azért van szükség, mert a népszerű kiegészítők mögött álló fejlesztői fiókok vonzó célpontot jelenthetnek a támadók számára. Emellett a vállalat a saját berkein belül is használt Advanced Security Programot is melegen ajánlja a fejlesztőknek, amely megköveteli a fizikai kulcs használatát a phishing támadások kivédésére.

A Google mindezek mellett azt ígéri, 2019-ben megérkezik a Manifest v3, a platform frissített csomagformátuma, egy sor régen várt újítással, mint a service workerek támogatása a háttérfolyamatoknál, illetve a célzottabb API-k bevezetése. A vállalat ígérete szerint az új verzióra való átállást igyekszik majd a fejlesztők számára a lehető legfájdalommentesebben lebonyolítani.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
Refaktorálás, Agile, API-tervezés, PWA és Alexa a gyakorlatban. HWSW mobile! idén is. November 21-22.