打击恶意扩展，谷歌将在Chrome70中推出五项安全更新

对于Chrome浏览器来说，扩展程序是极其重要的组成部分。

而对于Chrome的10亿多用户来说，它也是不可或缺的——有近半数的用户在Chrome中使用各类扩展程序来阻止广告、检查语法、管理密码、管理多个账户、翻译等等。

这些优质的扩展能够有效提高用户的使用体验，这也是Chrome能够从各个浏览器中脱颖而出的原因。

然而最近几年的恶意扩展显著增加，表面上它们提供了有用的功能，实际却在用户不知情的情况下运行恶意脚本。

谷歌一直致力于打击这类恶意程序。比如禁止从第三方安装扩展、删除使用挖矿脚本的扩展程序等。

据最新消息， 谷歌近日又公布了五项安全措施，将遏制恶意扩展的权限滥用。

这五项重大变革，能让用户更好地控制电脑权限，使Chrome扩展程序更安全更透明。

以下是谷歌在Chrome70中的新变化，计划于本月晚些时候推出：

1）用户对主机权限的控制

从Chrome70开始，用户可以控制Chrome扩展何时以及如何访问网站数据。

用户也可以设置为要求扩展每次运行必须征询用户的许可，或者为特定网站集或所有网站启用。

如上图所示，右键点击Chrome70上的扩展图标后，会显示一个新菜单。

用户可以选择“单击扩展名”，“在当前网站上”或“在所有网站上”使用“读取和更改网站数据”的权限。

2）禁止Chrome扩展程序的代码混淆

即使采取了相应的安全措施，恶意插件作者也经常使用打包或混淆技术，使谷歌的自动扫描程序难以查看和检测恶意代码。

因此，谷歌将拒绝那些底层代码被混淆从而让人难以阅读代码的扩展程序。

3）开发者的强制性两步验证

去年，新一轮的网络钓鱼劫持了流行的Chrome扩展，然后使用恶意代码更新它们并推送给数以千万计的用户。

从1月份开始，谷歌将要求开发人员在Chrome应用商店的帐户中启用两步验证，以降低黑客接管其扩展程序的风险。

4）新扩展审核流程更加严格

谷歌将对那些需要大量权限的扩展程序加大审核力度。

除此之外，谷歌还将使用远程托管代码密切监控扩展，以快速发现恶意变更。

5）清单v3

Chrome70的扩展平台清单版本3，旨在实现“更强大的安全性，隐私和性能保证”。

谷歌将在2019年推出Manifest版本3，这将缩小其API的范围，使用户更容易实现权限控制机制，并支持新的Web功能，例如Service Workers作为新的后台进程。

谷歌表示，Chrome应用商店现在有超过180000个扩展程序。

Chrome扩展的产品经理James Wagner说：“用户能够相信他们安装的扩展程序是安全的、保护隐私的和高效的，这一点至关重要。”