Home-theater-designers
בסביבות 33% מכל משתמשי ה- Chromium מותקן סוג של תוסף לדפדפן. במקום להיות נישה, טכנולוגיית קצה המשמשת אך ורק את משתמשי הכוח, הרחבות הן המיינסטרים החיובי, כאשר רובן מגיעות מחנות האינטרנט של Chrome ומשוק התוספות של Firefox.
אבל עד כמה הם בטוחים?
על פי מחקר אמור להיות מוצג בסימפוזיון IEEE בנושא אבטחה ופרטיות, התשובה היא לא מאוד . המחקר במימון גוגל מצא שעשרות מיליוני משתמשי Chrome מותקנים במגוון תוכנות זדוניות מבוססות תוספות, המהוות 5% מכלל התעבורה של Google.
המחקר גרם לכך שקרוב ל -200 תוספים נשרפו מחנות האפליקציות של Chrome, והעמידו בספק את האבטחה הכוללת של השוק.
אז מה Google עושה כדי לשמור על ביטחוננו, וכיצד תוכל לזהות תוסף נוכל? התברר לי.
מאיפה מגיעים התוספות
תקרא להם איך שאתה רוצה - הרחבות דפדפן, תוספים או תוספים - כולם מגיעים מאותו מקום. מפתחים עצמאיים של צד שלישי המייצרים מוצרים שלדעתם משרתים צורך או פותרים בעיה.
הרחבות לדפדפן נכתבות בדרך כלל באמצעות טכנולוגיות אינטרנט, כגון HTML, CSS ו- JavaScript, ובדרך כלל בנויות לדפדפן ספציפי אחד, אם כי ישנם כמה שירותי צד שלישי המאפשרים יצירת תוספי דפדפן חוצי-פלטפורמות.
לאחר שתוסף הגיע לרמת השלמה ונבדק, הוא משוחרר. אפשר להפיץ תוסף באופן עצמאי, אם כי הרוב המכריע של המפתחים בוחרים במקום זאת להפיץ אותו באמצעות חנויות התוספים של Mozilla, Google ו- Microsoft.
למרות שלפני שהוא נוגע במחשב של משתמש, הוא צריך להיבדק כדי לוודא שהוא בטוח לשימוש. כך זה עובד בחנות האפליקציות של Google Chrome.
שמירה על בטיחות Chrome
החל מהגשת הרחבה ועד לפרסומה בסופו של דבר, יש המתנה של 60 דקות. מה קרה פה? ובכן, מאחורי הקלעים, Google מוודאת שהתוסף לא מכיל שום היגיון זדוני, או כל דבר שעלול לפגוע בפרטיות או בטיחות המשתמשים.
תהליך זה מכונה 'אימות פריט משופר' (IEV), והוא סדרה של בדיקות קפדניות הבוחנות את קוד התוסף ואת התנהגותו בעת ההתקנה, על מנת לזהות תוכנות זדוניות.
גם לגוגל יש פרסם 'מדריך סטייל' מסוג זה שאומר למפתחים אילו התנהגויות מותרות ומרתיע במפורש אחרים. לדוגמה, אסור להשתמש ב- JavaScript מוטבע - JavaScript שאינו מאוחסן בקובץ נפרד - על מנת לצמצם את הסיכון מפני התקפות סקריפטים בין אתרים.
גוגל גם מרתיעה מאוד את השימוש ב- 'eval', שהוא מבנה תכנות המאפשר לקוד לבצע קוד, ויכול להכניס כל מיני סיכוני אבטחה. הם גם לא מאוד מעוניינים בתוספים המתחברים לשירותים מרוחקים שאינם של Google, מכיוון שזה מהווה סיכון להתקפת Man-In-the-Middle (MITM).
אלה צעדים פשוטים, אך הם לרוב יעילים לשמירה על בטיחות המשתמשים. ג'באד מאליק , עו'ד אבטחה ב- Alienware, חושב שזה צעד בכיוון הנכון אך מציין כי האתגר הגדול ביותר בשמירה על בטיחות המשתמשים הוא נושא של חינוך.
״ההבחנה בין תוכנות טובות לרעות הופכת לקשה יותר ויותר. לפרפרזה, תוכנה לגיטימית אחת היא אדם אחר שגונב זהות, פוגע בפרטיות ונגיף זדוני המקודד במעיים של גיהנום. 'אל תבין אותי לא נכון, אני מברך על הצעד של Google להסיר את ההרחבות הזדוניות האלה-כמה מהן צריכות מעולם לא פורסמו ברבים מלכתחילה. אך האתגר העומד בפני חברות כמו גוגל הוא שיטור ההרחבות והגדרת גבולות ההתנהגות המקובלת. שיחה החורגת מעבר לאבטחה או טכנולוגיה ושאלה לחברה המשתמשת באינטרנט בכלל. '
Google שואפת להבטיח שהמשתמשים יידעו על הסיכונים הכרוכים בהתקנת תוספי דפדפן. כל הרחבה בחנות האפליקציות של Google Chrome מפורשת לגבי ההרשאות הנדרשות ואינה יכולה לחרוג מההרשאות שאתה נותן לה. אם הרחבה מבקשת לעשות דברים שנראים חריגים, אז יש לך סיבה לחשד.
אך מדי פעם, כידוע לכולנו, תוכנות זדוניות עוקפות.
מקומות זולים לתקן את מסך הטלפון
כאשר גוגל טועה
גוגל, באופן מפתיע, שומרת על ספינה די הדוקה. לא הרבה מחליקים מעבר לשעון שלהם, לפחות כשזה מגיע לחנות האינטרנט של Google Chrome. אולם כאשר משהו עושה, זה רע.
- AddToFeedly היה תוסף Chrome שאיפשר למשתמשים להוסיף אתר למנויים קוראי RSS שלהם ב- Feedly. זה התחיל את החיים כמוצר לגיטימי שוחרר על ידי מפתח חובבני , אך נקנה תמורת סכום בן ארבע ספרות בשנת 2014. הבעלים החדשים שרו את התוסף עם תוכנת הפרסום SuperFish, שהזריקה פרסום לדפים והולידה חלונות קופצים. SuperFish זכתה לשמצה מוקדם יותר השנה, כאשר התברר שלנובו שלחה אותה עם כל מחשבי הנייד הנמוכים של Windows.
- צילום מסך של דף האינטרנט מאפשר למשתמשים לצלם תמונה של כל דף האינטרנט שבו הם מבקרים, והותקן על למעלה ממיליון מחשבים. עם זאת, הוא גם העביר פרטי משתמש לכתובת IP אחת בארצות הברית. הבעלים של צילום המסך WebPage הכחישו כל עוולה, ומתעקשים שזה חלק מהשיטות שלהם לאבטחת איכות. Google הסירה אותו מאז מחנות האינטרנט של Chrome.
- הוסף ל- Google Chrome היה תוסף נוכל זה חטפו חשבונות פייסבוק , ושיתף סטטוסים, פוסטים ותמונות לא מורשים. התוכנה הזדונית הופצה דרך אתר שמחקה את YouTube, ואמר למשתמשים להתקין את התוסף על מנת לצפות בסרטונים. גוגל הסירה מאז את התוסף.
בהתחשב בכך שרוב האנשים משתמשים ב- Chrome כדי לבצע את רוב המחשוב שלהם, מטריד שהתוספים האלה הצליחו לחמוק בין הסדקים. אבל לפחות הייתה א תהליך להיכשל. כאשר אתה מתקין הרחבות ממקומות אחרים, אינך מוגן.
בדומה למשתמשי אנדרואיד יכולים להתקין כל אפליקציה שהם רוצים, Google מאפשרת לך להתקין כל תוסף Chrome שאתה רוצה, כולל תוכנות שאינן מגיעות מחנות האינטרנט של Chrome. זה לא רק כדי לתת לצרכנים אפשרות בחירה נוספת, אלא לאפשר למפתחים לבדוק את הקוד שעבדו עליו לפני שהם שולחים אותו לאישור.
עם זאת, חשוב לזכור שכל הרחבה המותקנת באופן ידני לא עברה את הליכי הבדיקה הקפדניים של גוגל ויכולה להכיל כל מיני התנהגויות לא רצויות.
עד כמה אתה בסיכון?
בשנת 2014 עקפה גוגל את Internet Explorer של מיקרוסופט כדפדפן האינטרנט הדומיננטי, וכיום היא מייצגת כמעט 35% ממשתמשי האינטרנט. כתוצאה מכך, לכל מי שמחפש להרוויח כסף מהיר או להפיץ תוכנות זדוניות, זה נשאר יעד מפתה.
גוגל, לרוב, הצליחה להתמודד. היו מקרים, אבל הם בודדו. כאשר תוכנות זדוניות הצליחו לחמוק, הן טיפלו בזה בצורה יעילה ובמקצועיות שהיית מצפה מגוגל.
עם זאת, ברור שתוספים ותוספים הם וקטור התקפה פוטנציאלי. אם אתה מתכנן לעשות משהו רגיש כגון התחברות לבנקאות המקוונת שלך, ייתכן שתרצה לעשות זאת בדפדפן נפרד ללא תוספים או בחלון גלישה בסתר. ואם יש לך אחד מהתוספים המפורטים למעלה, הקלד כרום: // הרחבות/ בסרגל הכתובות של Chrome, ואז מצא ומחק אותם, ליתר ביטחון.
האם התקנת פעם כמה תוכנות זדוניות של Chrome בטעות? לחיות כדי לספר את הסיפור? אני רוצה לשמוע על זה. שלח לי תגובה למטה, ונדבר.
זיכויים לתמונות: פטיש על זכוכית מרוסקת דרך שוטרסטוק
לַחֲלוֹק לַחֲלוֹק צִיוּץ אימייל אינטרנט אפל מול אינטרנט עמוק: מה ההבדל?הרשת האפלה והרשת העמוקה טועים לעתים קרובות כאחד ויחיד. אבל זה לא המצב, אז מה ההבדל?
קרא הבא נושאים קשורים- דפדפנים
- בִּטָחוֹן
- גוגל כרום
- אבטחה מקוונת
מתיו יוז הוא מפתח תוכנה וכותב מליברפול, אנגליה. לעתים רחוקות הוא נמצא ללא כוס קפה שחור חזק בידו ומעריץ לחלוטין את ה- Macbook Pro ואת המצלמה שלו. אתה יכול לקרוא את הבלוג שלו בכתובת http://www.matthewhughes.co.uk ולעקוב אחריו בטוויטר ב- @matthewhughes.
עוד מאת מתיו יוזהירשם לניוזלטר שלנו
הצטרף לניוזלטר שלנו לקבלת טיפים, סקירות, ספרים אלקטרוניים בחינם ומבצעים בלעדיים!
לחצו כאן להרשמה