تماس با مدیر
دوشنبه, ۲۷ اردیبهشت , ۱۴۰۰


بالا رفتن امنیت نصب افزونه‌های مرورگر کروم

بالا رفتن امنیت نصب افزونه‌های مرورگر کروم

هفته پیش گوگل در وبلاگ خود اعلام کرد که از نسخه ۲۵ مرورگر Chrome دیگر اجازه نصب افزونه‌ها را به طور خودکار و بدون تایید کاربر نخواهد داد. در نتیجه دیگر برنامه‌های نصب شده اجازه نصب افزونه را نخواهند داشت و تنها با تایید کاربر آن هم در فضای کروم اجازه فعالیت خواهند یافت.

به عنوان مثال در هنگام نصب یک دیکشنری اگر کاربر بخواهد افزونه پیدا کردن کلمات را به کروم اضافه کند، اجازه این کار را پیدا نخواهد کرد؛ حتی اگر در هنگام نصب کاربر این اجازه را صادر کند. بلکه کاربر بعد از نصب، در مرورگر خود پیغامی را مبنی بر کسب اجازه و راه‌اندازی دریافت خواهد کرد که تنها در این صورت افزونه‌های جدید به مرورگر شما راه پیدا خواهند کرد.

این موضوع در مورد افزونه‌هایی که قبلا به همین شیوه و یا حتی به صورت آفلاین نصب شده‌اند نیز صادق خواهد بود و بعد از نصب کروم ۲۵ تمامی آن‌ها در حالت تعلیق خواهند بود تا اجازه دریافت کنند. در واقع گوگل سعی دارد تا کاربران را به نصب افزونه‌ها تنها از طریق Web Store ترغیب نماید. روشی که موزیلا خیلی وقت است چیزی شبیه به آن را کم و بیش اجرا می‌کند.

مرورگر کروم یکی از محبوب‌ترین و البته به روزترین مرورگرهای حال حاضر است که هر روز به تعداد افزونه‌هایش اضافه می‌شود و همین محبوبیت باعث می‌شود تا افزونه‌های خطرناک بیشتری نیز برای این مرورگر تولید شود.

در ماه می سال جاری بنیاد ویکی‌مدیا افزونه‌ای مخرب را کشف کرد که باعث نمایش تبلیغات در صفحات ویکی‌پدیا می‌شد. هر چند در ماه جولای، گوگل از نصب آنلاین افزونه‌ها توسط سایتی جز Web Store جلوگیری کرد اما همچنان راه حل نصب آفلاین بهترین گزینه برای آلوده کردن مرورگر گوگل است.

گوگل در نسخه ۲۵ام کروم قصد جلوگیری از این روش را دارد. Zoltan Balazs که یک پژوهشگر امنیتی ساکن مجارستان است، در سال جاری در همایش‌های مختلف اثبات کرده است که چگونه می‌توان به وسیله یک افزونه رنگ صفحات را تغییر داد و یا از آن‌ها اسکرین شات گرفت و تقریبا هرکاری که از یک افزونه انتظار نمی‌رود را انجام داده. او در این رابطه به PCWorld گفته است که این روش مناسبی برای پیش‌گیری است و تقریبا بسیاری از حملات دیگر اتفاق نخواهد افتاد اما همچنان راه حل آفلاین باقیست که باید سریع‌تر جلوی آن را گرفت.

گوگل همچنین در سال ۲۰۱۲ خبر داد که تصمیم به مانیتور کردن تمام برنامه‌های وبسایت خود دارد تا از وجود کدهای مخرب مطمئن شود. این در حالی است که در پایان ماه آگوست امسال گروهی از پژوهشگران امنیتی اعلام کردند بسیاری از خرابکاران فیس‌بوک، کاربران را مجبور به نصب تعدادی افزونه مخرب مرورگر کروم کرده‌اند که توسط Web Store ارائه می‌شدند. این اتفاق کم و بیش در ماه دسامبر نیز تکرار شد.

با توجه به صحبت آقای Balazs،‌ تنها استفاده از سایت رسمی گوگل نیز همه چیز را حل نخواهد کرد چرا که برنامه نویس کدهای سالم را برای استفاده قرار می‌دهد و در آپدیت بعدی کدهای مخرب خود را به برنامه اضافه خواهد کرد و داستان از سر گرفته خواهد شد.

او البته بر این عقیده است که گوگل همچنان مرجع امنیت این نرم‌افزار است و باید از آن پیروی کرد اما پیشنهاد این متخصص امنیت این است که گوگل باید از NPAPI ( رابط برنامه نویسی مرورگر Netscape )‌ دست بکشد،‌ چرا که باعث امن‌تر شدن این نرم‌افزار خواهد شد.

کما‌ینکه گوگل در نسخه‌های مربوط به ویندوز۸ و کروم‌بوک این قسمت را حذف کرده است و باعث امنیت بیشتر در این نرم‌افزار شده است.

منبع : وبلاگینا





وبگردی
Copyright 2007 - 2019