В Google Chrome появится система контроля за активностью расширений

После массовой критики браузера  Chrome 69, разработчики из Google всеми силами стараются загладить вину, разрабатывая новые функции, ориентированные на обеспечение конфиденциальности пользовательских данных. Ситуация усугубляется также закрытием Google+, ведь фирменная социальная сеть тоже пострадала от этого. Сейчас Google пытается создать более открытую экосистему, в которой компания намерена раскрывать как можно больше информации пользователям.

Одной из таких попыток стала возможность, которую сейчас тестируют. Речь идёт о контроле активности расширений в браузере. Не секрет, что периодически в магазине расширений Chrome появляются вредоносные плагины со встроенными майнерами, бэкдорами и так далее. И хотя компания старается удалять их, они всё равно оказываются на тысячах пользовательских ПК.

Потому в экспериментальной версии Google Chrome Canary появилась функция, которая мониторит работу расширений и показывает, какие действия те выполняют и какие ресурсы используют. Причём как в прошлом, так и на данный момент — в режиме реального времени. В Chrome Canary её можно активировать следующим образом:

• Нужно запустить браузер с флагом командной строки –enable-extension-activity-logging.
• Перейти на страницу журнала активности для расширения по адресу chrome://extensions/?activity=<extension_id>.
• Нажать на вкладку потока. Запись активности включена по умолчанию, потом можно сразу увидеть, что происходит.

Эта функция в настоящее время доступна для сборки Canary, но скоро должна появиться и в публичной версии.

К слову, создатели сервиса для проверки безопасности браузерных дополнений CRXcavator опубликовали результаты анализа рисков для дополнений из официального магазина Chrome Web Store. Выяснилось, что ситуация далека от оптимальной.

Сообщается, что:

• 31,8 % дополнений используют сторонние библиотеки с известными уязвимостями.
• 35,4 % дополнений требуют полного доступа к данным пользователя на любых сайтах.
• 15 % используют уязвимые библиотеки и имеют доступ к пользовательским данным на сайтах.
• 9 % дополнений могут читать все пользовательские Cookie.

Кроме того:

• 77,3 % дополнений не имеют собственного сайта.
• 84,7 % дополнений никак не определяют правила обработки конфиденциальных данных.
• 78,3 % не определяют CSP (Content Security Policies).
• 99 % расширений не ограничивают источник загружаемых данных через CSP.

Таким образом, использование дополнений Chrome представляет собой «чёрную дыру», куда могут попасть любые секретные данные.