После массовой критики браузера Chrome 69, разработчики из Google всеми силами стараются загладить вину, разрабатывая новые функции, ориентированные на обеспечение конфиденциальности пользовательских данных. Ситуация усугубляется также закрытием Google+, ведь фирменная социальная сеть тоже пострадала от этого. Сейчас Google пытается создать более открытую экосистему, в которой компания намерена раскрывать как можно больше информации пользователям.

Одной из таких попыток стала возможность, которую сейчас тестируют. Речь идёт о контроле активности расширений в браузере. Не секрет, что периодически в магазине расширений Chrome появляются вредоносные плагины со встроенными майнерами, бэкдорами и так далее. И хотя компания старается удалять их, они всё равно оказываются на тысячах пользовательских ПК.

Потому в экспериментальной версии Google Chrome Canary появилась функция, которая мониторит работу расширений и показывает, какие действия те выполняют и какие ресурсы используют. Причём как в прошлом, так и на данный момент — в режиме реального времени. В Chrome Canary её можно активировать следующим образом:

-Нужно запустить браузер с флагом командной строки –enable-extension-activity-logging.
-Перейти на страницу журнала активности для расширения по адресу chrome://extensions/?activity=<extension_id>.
-Нажать на вкладку потока. Запись активности включена по умолчанию, потом можно сразу увидеть, что происходит.

Эта функция в настоящее время доступна для сборки Canary, но скоро должна появиться и в публичной версии.

К слову, создатели сервиса для проверки безопасности браузерных дополнений CRXcavator опубликовали результаты анализа рисков для дополнений из официального магазина Chrome Web Store. Выяснилось, что ситуация далека от оптимальной.

Сообщается, что:

-31,8 % дополнений используют сторонние библиотеки с известными уязвимостями.
-35,4 % дополнений требуют полного доступа к данным пользователя на любых сайтах.
-15 % используют уязвимые библиотеки и имеют доступ к пользовательским данным на сайтах.
-9 % дополнений могут читать все пользовательские Cookie.

Кроме того:

-77,3 % дополнений не имеют собственного сайта.
-84,7 % дополнений никак не определяют правила обработки конфиденциальных данных.
-78,3 % не определяют CSP (Content Security Policies).
-99 % расширений не ограничивают источник загружаемых данных через CSP.

Таким образом, использование дополнений Chrome представляет собой «чёрную дыру», куда могут попасть любые секретные данные.

Источник: 3dnews.ru