В Google постоянно работают над новыми функциями для Chrome. На этот раз ИТ-компания пытается создать более открытую экосистему, и одним из шагов к этому стала новая функция контроля за расширениями в браузере.
Все под контролем
Функция поможет пользователям контролировать активность расширений в браузере. Они смогут видеть, какие действия и ресурсы использовались расширением в прошлом или в реальном времени. На данном этапе функция доступна для Google Chrome Canary и ее можно активировать, выполнив следующие действия:
- Запустите Chrome с флагом командной строки --enable-extension-activity-logging
- Перейдите на страницу журнала активности для расширения через chrome://extensions/
- Нажмите «Подробности» и выберите «Просмотр журнала активности». Обратите внимание, что запись активности включена по умолчанию.
- Наблюдайте за действиями, поступающими от расширения.
Демократизация безопасности
Браузер Google – популярнейший в мире, более 60% пользователей используют Chrome. Модель безопасности Chrome просит пользователя утверждать разрешения, и люди часто предоставляют расширениям доступ без рассмотрения.
Специалисты компании Duo Labs решили изучить информацию о наборе разрешений, запрашиваемых расширениями из Chrome Web Store. Они просканировали 120,5 тыс. расширений с помощью специального инструмента CRXcavator. CRXcavator оценивает свойства расширения, используя следующие факторы:
- создание списка сайтов, к которым код расширения обращается с внешними запросами;
- анализ сторонних библиотек Javascript на наличие уязвимостей с помощью RetireJS;
- анализ Политики безопасности содержимого расширения;
- перечисление внешних включенных файлов JavaScript;
- сканирование на наличие потенциально опасных функций;
- определение связанных расширений.
С учетом всех этих данных отчет CRXcavator позволяет принять обоснованное решение о том, разрешить или запретить расширение.
В результате исследования выяснилось:
- 38289 расширений используют сторонние библиотеки, которые содержат общеизвестные уязвимости;
- 102029 расширений не имеют политики конфиденциальности;
- 93080 не имеют сайта поддержки;
- 74403 не имеют четкой политики безопасности контента;
- 94059 не ограничивают источник загружаемых данных.
CRXcavator призван помочь пользователям, предприятиям и разработчикам улучшить гигиену безопасности расширений Chrome.
Напомним также, что в начале года разработчики Chrome решили сделать просмотр веб-сайтов более эффективным и комфортным за счет нативной блокировки раздражающей рекламы.