不久前因在 Chrome 瀏覽器上暗戳戳做小動作而被瘋狂 diss 的谷歌刷了一波好感。

本周一，谷歌宣布了一系列擴(kuò)展程序規(guī)范，確保進(jìn)一步規(guī)范和管理擴(kuò)展程序，這一輪打擊行動目的是阻止擴(kuò)展程序獲得合理范圍之外的那些權(quán)限。

擴(kuò)展程序的存在對Chrome來說似乎是個“磨人的小妖精”，一方面有近半數(shù)的用戶在Chrome中使用各類擴(kuò)展程序來阻止廣告、檢查語法、管理密碼、管理多個Gmai賬戶、翻譯其它語言的文本以及將標(biāo)簽折疊到列表中供以后使用。

但 Chrome 應(yīng)用程序以及 Chrome 網(wǎng)上應(yīng)用店的開放性也為惡意軟件、間諜軟件、挖礦軟件、社交網(wǎng)絡(luò)帳戶劫持者以及其他的惡意擴(kuò)展打開了大門。

惡意擴(kuò)展程序算個讓谷歌工程師禿頭的問題，多年來一直試圖解決。

為了加強(qiáng)隱私和安全性，Google 在預(yù)計(jì)本月底推出的 Chrome 70 更新中搞了一波擴(kuò)展新規(guī)：

首先，用戶可以限制擴(kuò)展程序在某些特定網(wǎng)站，也可以設(shè)置每次運(yùn)行擴(kuò)展須征求用戶許可。另外，會加入選項(xiàng)讓使用者可以自定擴(kuò)展功能可以取存哪個網(wǎng)站的資料，限制開發(fā)者獲取過多的使用者瀏覽資料。 這種更改不會完全阻止惡意擴(kuò)展，但可以限制其可以造成的損害。

其次，谷歌還禁止了開發(fā)者使用混淆代碼進(jìn)行擴(kuò)展。畢竟被混淆的代碼難于理解，使調(diào)試以及除錯也不太容易，更會增大反向工程難度。最重要的是，Google 有 70% 的惡意程序和違反規(guī)則的擴(kuò)展功能都包含這樣的設(shè)計(jì)，谷歌爸爸大手一揮，要求現(xiàn)有擴(kuò)展功能的開發(fā)者在年底之前把代碼混淆的部分移除。 不過為了簡化代碼架構(gòu)加速審批，仍然允許收縮代碼（即刪除了無關(guān)空格和長變量名稱的代碼）。

另外，如果負(fù)責(zé)擴(kuò)展程序的開發(fā)人員帳戶被入侵，擴(kuò)展程序可能會被篡改甚至進(jìn)行惡意攻擊。為此谷歌明年將要求開發(fā)者使用兩步身份驗(yàn)證，給黑客破解賬戶增加難度。

最后，谷歌還計(jì)劃推出一個新的擴(kuò)展清單，使用戶更好地控制他們的擴(kuò)展授權(quán)。

當(dāng)然，圍觀群眾都在拭目以待，畢竟這是一場持久戰(zhàn)。

參考來源：arstechnica

雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。