Google Chrome: So sollen Erweiterungen sicherer werden

Google möchte weiter für Sicherheit sorgen. Laut eigenen Aussagen hat man mittlerweile 180.o00 Erweiterungen im Chrome Web Store und die Hälfte aller Chrome-Nutzer haben zumindest eine oder mehr Erweiterungen im Einsatz. Man habe in letzter Zeit viel für die Sicherheit getan, doch in Zukunft solle es noch sicherer werden.

Benutzerkontrollen für Hostberechtigungen
Ab Chrome 70 haben Benutzer die Wahl, den Zugriff des Erweiterungs-Hosts auf eine benutzerdefinierte Liste von Websites zu beschränken oder Erweiterungen so zu konfigurieren, dass sie einen Klick erfordern, um Zugriff auf die aktuelle Seite zu erhalten. Sprich: Der Nutzer muss etwas mehr nachdenken, was eine Erweiterung wo darf.

Host-Berechtigungen haben laut Google zwar Tausende von leistungsstarken Anwendungsfällen für Erweiterungen ermöglicht, aber sie haben auch zu einem breiten Spektrum von Missbrauch – sowohl böswilligen als auch unbeabsichtigten – geführt, da sie es Erweiterungen ermöglichen, Daten auf Websites automatisch zu lesen und zu ändern.

Änderungen am Review-Prozess der Erweiterungen
In Zukunft werden Erweiterungen, die besonders sensible Berechtigungen anfordern, einer zusätzlichen Compliance-Prüfung unterzogen. Google prüfe auch sehr genau Erweiterungen, die remote gehosteten Code verwenden und ständig überwacht werden.

Neue Anforderungen an die Lesbarkeit von Code
Ab heute wird der Chrome Web Store keine Erweiterungen mit verschlüsseltem Code mehr zulassen. Dazu gehört sowohl Code innerhalb des Erweiterungspakets als auch jeder externe Code oder jede externe Ressource, die aus dem Web abgerufen wird. Diese Richtlinie gilt ab sofort für alle neuen Verlängerungsanträge. Bestehende Erweiterungen mit verschlüsseltem Code können in den nächsten 90 Tagen weiterhin Updates einreichen, werden aber Anfang Januar aus dem Chrome Web Store entfernt, wenn sie nicht konform sind.

Heute enthalten über 70% der bösartigen und richtlinienverletzenden Erweiterungen, die man aus dem Chrome Web Store blockiere, verschlüsselten Code, so Google.

Erforderliche 2-stufige Verifizierung
Ab dem Jahr 2019 ist die Nutzung der 2-stufigen Verifizierung für Chrome Web Store Developer Accounts erforderlich. Wenn eine Erweiterung populär wird, kann sie Angreifer anziehen, die sie stehlen wollen, indem sie das Konto des Entwicklers übernehmen. Dies soll die 2FA unmöglich machen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.