Dodatki z Chrome znów na świeczniku
#1
[Obrazek: ty1xTAnZwGDfOxHua6pXWDfKlye07CKiKdWCgRKS...9OgyyydcOw]

Tytuł niewiele zdradza, ale trudno mi było wymyślić coś bardziej uniwersalnego, ponieważ sprawa dotyczy jakby dwóch różnych biegunów tematu dodatków do Chrome. O pierwszym powiadomiono całkiem niedawno na "

[Aby zobaczyć linki, zarejestruj się tutaj]

a dotyczy zapowiedzi dość istotnych zmian, jakie mają zostać wprowadzone w przyszłych wersjach przeglądarki.
Zmiany dotyczą zarówno użytkowników, jak i twórców dodatków, ale póki co skupię się raczej na tym, co dotyczy bezpośrednio użytkowników. Sprawę opisały już DP i za nimi cytat (podkreślenie moje)
Cytat:Na początek warto jednak zwrócić uwagę na zmiany, które będą widoczne dla użytkowników. Jak informuje Google, wraz z wydaniem Chrome'a 70 (który trafi na rynek niemal równo za dwa tygodnie), w przeglądarce pojawi się nowa opcja związana z przydzielaniem dodatkom dostępu do treści na stronach. Użytkownik będzie zobowiązany ręcznie ustalić listę witryn, do których dostęp będzie miało dane rozszerzenie lub będzie mógł skorzystać z możliwości swego rodzaju nadawania owych uprawnień na bieżąco, po świadomym kliknięciu dodatku podczas odwiedzin danej strony.

Takie rozwiązanie ma wyeliminować negatywne zjawiska związane z działaniem niektórych dodatków. Mowa jest tu zarówno o nieświadomym i przypadkowym wykorzystaniu konkretnego rozszerzenia przez użytkowników, jak i furtce dla twórców, którzy mogą zaszyć w dodatkach szkodliwy kod i chętnie go wykorzystywać, mając dostęp do treści witryn.

[Aby zobaczyć linki, zarejestruj się tutaj]


Co to niesie nowego wg mnie?...a no przychodzi mi na myśl refleksja, że chyba jednak kończy się czas, kiedy mogliśmy bez większego krytycyzmu i własnego zaangażowania polegać na oprogramowaniu i jego coraz większej automatyzacji, a twórcy takiego oprogramowania robili wszystko, by w jak największym stopniu nas po prostu rozleniwić. Rozwój szkodników w różnej postaci w ostatnich czasach uczy, że ich sztuczki stają się coraz bardziej wyrafinowane i nieprzewidywalne...że nie da się tylko "anty-czegośtam" włączyć i oczekiwać, że zrobi za nas wszystko, a szczególnie podejmie decyzję i to na 100% tę właściwą. 
Anonsowane rozwiązanie przypomina mi to, które stosuje m.in. NoScript...i nie ukrywam, że bardzo mi się to podoba Smile Jeśli chcemy korzystać z zasobów sieci, to powinniśmy dla własnego dobra robić to świadomie.

Przy okazji tego tematu wydaje mi się, że warto wrzucić tu jeszcze jedną informację, która być może...tak sobie tylko spekuluję...mogła mieć wpływ na podjęcie decyzji o zmianie podejścia do dodatków...niejako filozofii ich działania. Sprawa dotyczy kampanii phishingowej, ale tym razem nie ukierunkowanej na ich użytkowników, ale na twórców. W artykule źródłowym podano, że w tym celu wykorzystano fałszywe wiadomości e-mail wysyłane z do deweloperów z fałszywego konta pracownika Google o nazwisku Kevin Murphy. W mailu tym nakłaniano do  wypełnienia przygotowanego formularza i podania właściwego adresu...w przeciwnym razie zgodnie z nowymi zasadami, które Google rzekomo wprowadziło, konto zostanie usunięte. Oczywiście ankieta przekierowywała na fałszywą stronę, na której trzeba było podawać kolejne dane logowania do konta Google.
Dzięki podobnym akcjom zostały zmodyfikowane wcześniej m.in. dodatki , Web Developer, Chrometana, Infinity New Tab, CopyFish, Web Paint, Social Fixer, TouchVPN czy Betternet VPN, a tę obecną kampanię potwierdził m.in AdGuard i EtherSecurityLookup.
Więcej o tej akcji

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#2
(02.10.2018, 10:09)ichito napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Użytkownik będzie zobowiązany ręcznie ustalić listę witryn, do których dostęp będzie miało dane rozszerzenie lub będzie mógł skorzystać z możliwości swego rodzaju nadawania owych uprawnień na bieżąco, po świadomym kliknięciu dodatku podczas odwiedzin danej strony.

Nikt nie ma prawa bez twojej wiedzy mieć dostępu do stron, które oglądasz, poza tobą i Googlem.
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Odpowiedz
#3
i google nie powinien mieć Grin

Ale te skrypty są niemal wszędzie :/
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#4
Yyyy...nie bardzo rozumiem, jakimi drogami podążają Wasze myśli Smile
Że niby ten pomysł to psu na budę?
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#5
Sam w sobie ok, ale w wydaniu firmy, Złego Monopolisty z pomysłami jak ten z linka poniżej, jest niekonsekwentne i zakrawa na hipokryzję.

[Aby zobaczyć linki, zarejestruj się tutaj]

Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Odpowiedz
#6
No niby tak...to trochę śmierdząca praktyka z tym automatycznym logowaniem, ale "Niebezpiecznik" wyjaśnia, że to nie tak od razu działa i coś tam można samemu namieszać, żeby się tak nie działo. Faktem jest jednak, że obowiązkowe białe listy stron dla dodatków to jednak jest jakieś ograniczenie, które się narzuca nie tylko samym dodatkom, ale też deweloperom, a ci jak wiemy mogą robić dziwne rzeczy, co czasem okazuje się poniewczasie.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#7
Kolejny "kwiatek" z dodatkami tym razem dotyczący niebezpiecznej funkcji przekierowywania na strony własne deweloperów podczas instalacji dodatku. Mowa o tzw. inline installation (funkcji instalowania dodatków bezpośrednio ze strony twórcy) wprowadzonej kilka la temu w nadziei, że rozszerzy możliwości oficjalnego sklepu. Było tak, ale okazuje się, że nieuczciwi twórcy w ten sposób próbowali wprowadzać w obieg dodatki, które oficjalnie w sklepie zostały zablokowane. Program blokady tej instalacji uruchomiono w czerwcu tego roku dla wszystkich nowych dodatków, od 12 października będzie dotyczył wszystkich, a sama funkcja zniknie na początku grudnia wraz z nadejściem Chrome w wersji 71.

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości