Источник: ain.ua
Редактор Tech Talks Кевин Делш написал для пользователей браузера Chrome гайдлайн с советами, который позволит обезопасить себя и свои персональные данные от недобросовестных разработчиков расширений.
По данным statcounter.com, Chrome доминирует среди браузеров с почти 60% доли на всех платформах по состоянию на июнь 2018 года.
Помимо простоты использования, скорости загрузки и надежности, Google Chrome также может предложить пользователю огромный арсенал расширений, которые способны удовлетворить практически любую, даже самую специфическую потребность.
«Расширения для Chrome прикольные и повышают продуктивность, нет необходимости заказывать индивидуальную разработку какого-то софтверного решения, ведь все, что вам нужно, уже есть в Chrome Web Store, верно?»
Несмотря на видимую безобидность, расширения Chrome могут получать полный доступ к данным пользователя в браузере, включая сайты, которые он посещает, контент, которым интересуется, все, что вводит на этих сайтах, в том числе пароли и т.д.
Часто расширению на самом деле не обязательно получать доступ ко всей этой информации, чтобы стабильно работать.
Тут все зависит от пользователя — если он с готовностью предоставил все разрешения, которые запросил у него плагин Chrome, остается пенять на себя.
Несмотря на то, что Google сканирует все расширения Chrome при подаче их на рассмотрение в Chrome Web Store, иногда вредоносные плагины все-таки просачиваются в магазин.
А еще расширение можно установить с и вовсе сторонних веб-сайтов через так называемый inline install API. Благо, вскоре эту лазейку обещают закрыть, но пока она все еще работает.
Есть еще один момент. Расширения Chrome могут обновляться автоматически.
То есть даже если вы предприняли необходимые превентивные меры, все может изменится со временем.
Например, порядочный разработчик продаст свое расширение, и новый владелец решит добавить в него какие-то неблагонадежные элементы.
И это лишь один из множества возможных сценариев. Так что с расширениями Chrome стоит держать ухо востро.
Что нужно проверить, прежде чем устанавливать расширение для Chrome
Вам точно нужно это расширение?
Это вопрос элементарной цифровой гигиены. Каждая функция, которую вы добавите в систему, повышает ее уязвимость.
В интернете полно всяких классных штучек, но не стоит устанавливать их, если они вам по-настоящему не нужны.
Создайте второй аккаунт для проверки расширений
Как узнать, поможет ли расширение увеличить вашу продуктивность, не установив его?
Для многих это важней правила выше. Выйти из положения можно, создав дополнительный аккаунт специально для проверки расширений.
Таким образом вы защитите данные, которые содержатся в вашем основном аккаунте в случае, если расширение окажется недобросовестным.
Никогда не устанавливайте расширение из-вне Chrome Web Store
Google уже ввел в действие это правило в Chrome для расширений, опубликованных после 12 июня 2018 года.
Но если вы успели установить какие-то плагины до этой даты из-вне Chrome Web Store, лучше снесите их и поищите официальные альтернативы в магазине.
В Google обещают закрыть данную возможность функцию к 12 сентября: на каком бы сайте вы не кликнули, чтобы установить расширение, вас автоматически перенаправит в Chrome Web Store, и это хорошо.
Полностью inline install API будет изъят из Chrome 71 в начале декабря.
Однако у создателей останется возможность локально устанавливать свои расширения для тестирования, включив режим разработчика.
Убедитесь, что вы устанавливаете правильное расширение
Ранее в апреле компания AdGuard, которая предлагает продукты для блокировки рекламы, опубликовала список вредоносных расширений для Chrome, которые вместе скомпрометировали более 20 млн пользователей.
Вот этот список (сейчас все эти расширения удалены из Chrome):
- AdRemover для Google Chrome™ (10 млн пользователей)
- uBlock Plus (8 млн)
- Adblock Pro (2 млн)
- HD для YouTube™ (400 000)
- Webutation (30 000)
А вот официальные доверенные расширения, под которые мимикрируют вредоносы:
- AdBlock (10 млн)
- Adblock Plus (10 млн)
- AdBlocker Ultimate(750 000)
- uBlock (500 000)
- uBlock Origin (10 млн)
- uBlock Plus Adblocker (800 000)
- и многие другие.
Вот почему так важно убедиться, что вы устанавливаете то расширение, которое хотели, а не его копию-вредитель.
Внимательно прочтите описание расширения и политику использования
Google требует от разработчиков прозрачного и полного описания продукта — это одно из условий попадания в официальный Chrome Web Store.
Расширения могут не являются вредоносными программами и пройти сканирование на безопасность в Google, при этом они содержат функции, которые могут вам не понравится.
Например, отслеживание информации или обмен данными. Читая описание, вы сами решаете, стоят возможности, предлагаемые расширением, тех информационных жертв, на которые вам придется пойти.
Проверьте сайт расширения
Далеко не у каждого расширения есть сайт. Есть много таких, и они довольно популярны, которые самостоятельно разрабатывают и поддерживают инди-разработчики.
В то же время мошенники могут легко создать для своих приложений сайт, чтобы повысить себе реноме в глазах пользователя.
Но внимательная проверка сайта дает больше информации и более полную картинку, которая позволит вам принять верное решение.
Обратите внимание на признаки непрофессионализма, как, например, грамматические ошибки на сайте или, что называется, «плохой английский».
Проверьте количество пользователей расширения
Избегайте расширений, у которых мало пользователей. Они могут оказаться полезными и инновационными проектами, но если у вас недостает навыков, чтобы исследовать такое расширение на предмет тревожных звоночков, лучше откажитесь от его установки.
Найдите в магазине Chrome расширение, которое дает те же возможности и у которого больше пользователей — так безопаснее.
Читайте отзывы о расширении в Chrome Web Store
У вредоносов могут быть хорошие отзывы, написанные самими авторами, чтобы сделать свои проекты более привлекательными.
Как правило, это понятно, если на странице отзывов только восторг и пять звезд при полном отсутствии специфических юзкейсов.
Например, вот так выглядели отзывы о AdRemover в Chrome Web Store, прежде чем Google его удалил:
Конечно, всегда есть пользователи, которым кажется, что они нашли лучшее приложение со времен открытия интернета, но как правило среди общего числа находятся также более технически подкованные и склонные к критике пользователи.
Если на странице отзывов таковых нет, лучше не устанавливайте это расширение.
Проверьте разрешения, которые запрашивает расширение
Их должно быть как можно меньше и они должны быть логичными. Например, расширению для создания скриншотов экрана точно не нужен доступ ко всем вашим данным.
Не стоит устанавливать такое расширение, которое просит разрешения к данным, не являющимся важной составляющей для их функциональности.
Посмотрите на код расширения
Если у вас есть базовые знания в программировании, не поленитесь заглянуть в код расширения. Chrome-расширения построены на технологиях JavaScript, HTML, CSS.
Так что код должен быть читабельным, если только разработчик ничего такого в нем не нахимичил.
Многие расширения доступны на GitHub, где вы можете легко загрузить их и ознакомиться с содержимым.
А те, которых нет на GitHub, можно найти через Developers tools в браузере или найти на вашем жестком диске.
Итоги
Chrome Web Store — это джунгли, полные чудес, как хороших, так и плохих. Так что если вы решились пойти туда на разведку, отправляйтесь подготовленными.
А если хотите взять оттуда домой что-то экзотическое, дважды подумайте. Вдруг оно кусается и ядовито.