Google將在Chrome 70繼續收緊擴充套件政策,除了之前啟用獨立(Out-of-process)iframe並移除內聯安裝外,現在還要調整用戶控制主機權限(User Controls for Host Permissions),並且即日起禁止擴充套件使用程式碼混淆(Obfuscated Code)技術,違反規定的擴充套件將在明年1月遭到移除。

Chrome在十年前推出了擴充套件系統,目前Chrome線上應用程式商店已經有超過18萬個擴充套件,接近一半的Chrome桌面使用者,會主動下載擴充套件來客製化Chrome瀏覽器。為了要保護使用者隱私以及維持瀏覽器效能,Google採取了一系列措施,以強化擴充套件的安全性,包括獨立(Out-of-process)iframe、移除內聯安裝,還使用機器學習技術,偵測並阻擋惡意擴充套件。

而從Chrome 70開始,Google還要調整用戶控制主機權限,用戶現在可以用自定義網站列表,限制擴充套件的存取權限,或是進行手動設定,授予擴充套件存取當前頁面的權限。Google提到,主機權限賦予許多擴充套件強大的功能,但同時也帶來了風險,Google目標是要提高透明度,讓使用者自行控制擴充套件存取網站資料的時機。

而Google也修正了擴充套件審核流程,新的流程即刻生效。即日起Chrome線上應用程式商店將不再允許原始碼使用程式碼混淆技術的擴充套件。Google阻擋的惡意擴充套件當中,其中有70%使用程式碼混淆,而且同時也增加了Chrome擴充套件團隊審核的複雜性。程式碼混淆雖然會將原始碼轉成難以閱讀的形式防止剽竊或是破解,但Google表示,由於JavaScript程式碼都在用戶端執行,根本無法保護專有程式碼,這種程度的防護不足以防範有心的逆向工程師。

Google表示,使用程式碼混淆的擴充套件,有90天的時間可以修正,並在2019年1月1日前重新提交,屆時不符合規定的擴充套件,將會從Chrome線上應用程式商店中移除。另外,為了強化開發者的帳戶安全,在2019年,Chrome線上應用程式商店開發者的帳號將需要採用兩階段驗證,可以選擇使用手機或是實體安全金鑰來增加額外安全性。

Google還預告在2019年,將發布下一個擴充套件Manifest版本,Manifest v3將需要額外的平臺修改,目的要建立更強健的安全性、隱私和效能保證,官方提到,用Manifest v3將會讓撰寫高效能和安全的擴充套件變得簡單,並且難以產出不安全的套件。


Advertisement

更多 iThome相關內容