Google scherpt de regels voor extensies in zijn Chrome-browser verder aan. Het bedrijf introduceert binnenkort een aantal aanpassingen om verdachte code in de Chrome Web Store te bestrijden en ontwikkelaarsaccounts beter te beschermen.
Vanaf Chrome 70, dat in de loop van deze maand lanceert, zullen gebruikers onder meer in staat zijn om extensies pas na een klik toe te laten om te draaien, of alleen op specifieke websites. Dat moet onverwacht gedrag van extensies voorkomen en zorgen voor meer transparantie.
“Hoewel de hostmachtigingen duizenden krachtige en creatieve use-cases voor extensies hebben mogelijk gemaakt, hebben ze ook geleid tot heel wat misbruik – zowel kwaadwillend als onbedoeld – omdat ze extensies toestaan om automatisch gegevens op websites te lezen en te wijzigen”, schrijft Google in een blogpost.
Extensies die zeer vergaande toestemmingen vragen, zullen bovendien aan extra controle worden onderworpen. “De machtigingen van je extensie moeten zo beperkt mogelijk zijn en alle code moet rechtstreeks in het extensie-package worden opgenomen om de beoordelingstijd te minimaliseren”, aldus Google.
Versluierde code
Google maakt ook komaf met obfuscated code. Daarbij wordt code als het ware versluierd om het ware doel te verbergen. Het gaat zowel om code van de extensie zelf als externe code die eventueel wordt aangesproken. Het nieuwe beleid treedt onmiddellijk in werking. Bestaande extensies hebben 90 dagen de tijd om hun versluierde code aan te passen voordat ze worden verwijderd.
“Tegenwoordig bevat meer dan 70 procent van de schadelijke en beleidsovertredende extensies die we blokkeren verborgen code. Omdat obfuscation vooral wordt gebruikt om de codefunctionaliteit te verbergen, voegt het tegelijkertijd een grote mate van complexiteit toe aan ons beoordelingsproces”, verantwoordt Google de beslissing.
2-factorverificatie
Tot slot vereist Google dat ontwikkelaars vanaf 2019 2-factorverificatie gebruiken voor de bescherming van hun Chrome Web Store-accounts. Dat moet het hacken van populaire ontwikkelaarsaccounts om langs die weg malware te verspreiden, tegengaan.
Chrome 70 wordt midden oktober uitgerold. In die nieuwe versie maakt Google onder meer ook de automatische inlogfunctie optioneel en wordt het ‘www’-gedeelte van een url niet langer getoond in de adresbalk.