不久前因在 Chrome 瀏覽器上暗戳戳做小動作而被瘋狂 diss 的谷歌刷了一波好感。

本周一，谷歌宣布了一系列擴展程序規(guī)范，確保進一步規(guī)范和管理擴展程序，這一輪打擊行動目的是阻止擴展程序獲得合理范圍之外的那些權限。

擴展程序的存在對Chrome來說似乎是個“磨人的小妖精”，一方面有近半數(shù)的用戶在Chrome中使用各類擴展程序來阻止廣告、檢查語法、管理密碼、管理多個Gmai賬戶、翻譯其它語言的文本以及將標簽折疊到列表中供以后使用。

但 Chrome 應用程序以及 Chrome 網(wǎng)上應用店的開放性也為惡意軟件、間諜軟件、挖礦軟件、社交網(wǎng)絡帳戶劫持者以及其他的惡意擴展打開了大門。

惡意擴展程序算個讓谷歌工程師禿頭的問題，多年來一直試圖解決。

為了加強隱私和安全性，Google 在預計本月底推出的 Chrome 70 更新中搞了一波擴展新規(guī)：

首先，用戶可以限制擴展程序在某些特定網(wǎng)站，也可以設置每次運行擴展須征求用戶許可。另外，會加入選項讓使用者可以自定擴展功能可以取存哪個網(wǎng)站的資料，限制開發(fā)者獲取過多的使用者瀏覽資料。 這種更改不會完全阻止惡意擴展，但可以限制其可以造成的損害。

其次，谷歌還禁止了開發(fā)者使用混淆代碼進行擴展。畢竟被混淆的代碼難于理解，使調(diào)試以及除錯也不太容易，更會增大反向工程難度。最重要的是，Google 有 70% 的惡意程序和違反規(guī)則的擴展功能都包含這樣的設計，谷歌爸爸大手一揮，要求現(xiàn)有擴展功能的開發(fā)者在年底之前把代碼混淆的部分移除。 不過為了簡化代碼架構加速審批，仍然允許收縮代碼（即刪除了無關空格和長變量名稱的代碼）。

另外，如果負責擴展程序的開發(fā)人員帳戶被入侵，擴展程序可能會被篡改甚至進行惡意攻擊。為此谷歌明年將要求開發(fā)者使用兩步身份驗證，給黑客破解賬戶增加難度。

最后，谷歌還計劃推出一個新的擴展清單，使用戶更好地控制他們的擴展授權。

當然，圍觀群眾都在拭目以待，畢竟這是一場持久戰(zhàn)。

參考來源：arstechnica

雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。