Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Chrome 70 laat gebruikers permissies voor extensies per site instellen

Google heeft een strenger beleid ten aanzien van extensies voor zijn Chrome-browser aangekondigd. Zo krijgt Chrome 70 de optie om per site in te stellen tot welke gegevens een extensie toegang heeft. Ook mogen browserextensies geen verborgen code meer bevatten.

Google schrijft in zijn aankondiging dat extensies toegang hebben tot gegevens op een site die een gebruiker bezoekt en dat ze deze gegevens aan kunnen passen. Dat zou 'krachtige en creatieve' extensies teweeg hebben gebracht, maar tegelijkertijd ook 'kwaadaardig of onopzettelijk misbruik' in de hand hebben gewerkt. Daarom krijgt Chrome 70 een optie om een extensie bijvoorbeeld per site de permissie toe te kennen om gegevens te lezen en te wijzigen. Daarnaast kunnen gebruikers instellen dat een extensie dit alleen kan doen nadat ze op het corresponderende icoontje hebben geklikt. Google heeft meer uitleg over de introductie van deze wijzigingen in een aparte blogpost over host permissions.

Voorbeeld van verschillende opties, afbeelding van Google

Een andere wijziging is dat de Web Store met onmiddellijke ingang geen extensies meer toelaat die verborgen of obfuscated code bevatten. Dit geldt voor code in de extensie zelf en voor code die extern wordt ingeladen. Google onderbouwt de beslissing door te stellen dat 70 procent van geblokkeerde kwaadaardige extensies verborgen code bevatten en dat de aanwezigheid van dit soort code het controleproces bemoeilijkt. Daarnaast stelt het dat JavaScript-code lokaal draait en dat obfuscation een toegewijde reverse engineer toch niet zal tegenhouden. 'Minification' van code blijft wel toegestaan, zoals het wegwerken van witruimtes en commentaar.

Deze nieuwe eis hangt samen met een derde wijziging, die inhoudt dat Google een aanvullende controle zal uitvoeren op extensies die 'krachtige permissies' vereisen. Ook zal het bedrijf meer aandacht besteden aan extensies die externe code inladen. Ten slotte introduceert de zoekgigant in 2019 de eis dat ontwikkelaars hun Chrome Web Store-account beveiligen met tweetrapsauthenticatie. Volgens Google zijn populaire extensies doelwit van aanvallers die deze willen overnemen.

Met de wijzigingen lijkt Google maatregelen te nemen die incidenten zoals met de extensies van Mega en Hola VPN moeten voorkomen. Bij die laatste hadden aanvallers het bijbehorende ontwikkelaarsaccount overgenomen via phishing en een kwaadaardige versie van de extensie gepubliceerd. Die stal inloggegevens van MyEtherWallet-gebruikers doordat deze toegang had tot gegevens op pagina's. Soortgelijke incidenten deden zich ook vorig jaar voor. Recentelijk bleek dat extensieontwikkelaars opnieuw het doelwit zijn van phishingaanvallen.

Door Sander van Voorst

Nieuwsredacteur

02-10-2018 • 07:46

16 Linkedin Google+

Reacties (16)

Wijzig sortering
De vraag is wel, moet je dit zelf per site controleren of krijg je de eerste unieke bezoek een melding?
Buiten dat lijkt het me vrij irritant dat je bij elke website dit moet doen (pop-up neem ik aan?)
Je kan toch aangeven dat je het op enkel deze site, wanneer je op de extensie klikt en op alle sites. Dus het is een klik afwezig. Het idee dat je een klik moet geven om iets te activeren is wel goed. Het geeft je meer controle.

Maar goed. Persoonlijk ben ik klaar met Chrome en weer terug naar Firefox.
Goed dat je deze optie krijgt, maar dit wordt wel heel erg micromanagement hoor! Als je dit voor veel websites instelt, dan raak je toch een beetje het overzicht kwijt? Misschien zou een simpele black/white list handiger zijn, met een indicatie in de adresbalk?
Google kan zich hiermee verantwoorden, maar dat betekent niet dat 99% van de mensen dit gaat gebruiken.

Het lijkt mij dat tweakers en mensen die meer inzitten met hun internet security dit gaan gebruiken.
Voor bedrijven kan ik me goed voorstellen dat dit gebruikt gaat worden. Als dit door middel van een policy gedistirbueerd kan worden - een beetje als de trusted sites in Internet Explorer. Aangezien veel (grote) bedrijven Internet Explorer nog als standaard heeft, lijkt het me wel een goede stap van Google om dit soort instellingen te 'granuleren'.
Wordt het straks ook mogelijk binnen Chrome om aan te geven welke gegevens naar Google gaat en welke niet? Vind dat eigenlijk intressanter dan wat naar de website wordt gestuurd. Dat kan je namelijk met de meeste adblockers wel tegen houden.

Zou mooi zijn dat je kan instellen dat er niks naar hun toegezonden wordt qua privé gegevens(wat weer voor advertenties doeleinde wordt gebruikt).
Wordt er dan 0 data naar Google gestuurd? In het verleden is al meerdere keren gebleken dat dit namelijk nog steeds plaats vindt. Zelfs met chromium enige tijd.

Als voorbeeld kwam ik een tijd geleden dit al tegen waarbij de malware protection van Chrome op andere plekken naar bestanden zoekt dan daadwerkelijk is toegestaan.

[Reactie gewijzigd door vali op 2 oktober 2018 10:31]

Hopelijk ook via een GPO te regelen anders gaat onze SSO oplossing dit niet zo leuk vinden.

@hierboven er staat "On All Sites" dus lijkt mij dat dit 1x per extensie moet gebeuren.
Ik vermoed eerder via Chrome Management in Google Suite. Maar dan moet je wel Google Suite afnemen...
Een poos terug, in ieder geval vóór 2012, heb ik ooit een extensie gemaakt voor YouTube op Chrome. Je kunt in je manifest zetten tot welke sites je toegang wilt verkrijgen. Dan staat het echter vast en heeft de gebruiker er geen invloed op.

Mooie ontwikkeling dit, dus, want dit scheelt voor de ontwikkelaar moeite om de sites waarop de extensie moet werken, in het manifest op te nemen. En voor de gebruiker niet langer een ultimatum tussen toegang tot elke site verlenen of een extensie die zijn werk niet kan doen.
Ik heb heel wat extenties die gegevens op alle sites willen lezen. Dit wil ik niet altijd, maar is te begrijpen omdat het er soms vrij veel zijn, en deze nu en dan een update krijgen.
Maar hoe kan je er zeker van zijn dat een extentie nooit iets aanpast zodat ze aan uw data kunnen... Lijkt me niet direct evident.
Goede zaak dit, altijd al een gemis gevonden dat je zomaar tot de data van alle websites toegang geeft terwijl je een extensie soms voor enkele websites wil gebruiken.

Weet iemand of dit ook voor Firefox een optie is / gaat worden?
Ten slotte introduceert de zoekgigant in 2019 de eis dat ontwikkelaars hun Chrome Web Store-account beveiligen met tweetrapsauthenticatie. Volgens Google zijn populaire extensies doelwit van aanvallers die deze willen overnemen.
Over timing gesproken. ;)

Edit: en overigens is het niet duidelijk of Google TOTP wel of niet zal toestaan.
Required 2-Step Verification
In 2019, enrollment in 2-Step Verification will be required for Chrome Web Store developer accounts. If your extension becomes popular, it can attract attackers who want to steal it by hijacking your account, and 2-Step Verification adds an extra layer of security by requiring a second authentication step from your phone or a physical security key. We strongly recommend that you enroll as soon as possible.
For even stronger account security, consider the Advanced Protection Program. Advanced protection offers the same level of security that Google relies on for its own employees, requiring a physical security key to provide the strongest defense against phishing attacks
Ik hoop dat het "from your phone" Googles prompt 2FA betreft, en dat TOTP wordt geweigerd; TOTP is bijna net zo onveilig als een wachtwoord, vooral in het geval een lookalike site wordt gebruikt.

[Reactie gewijzigd door PostHEX op 2 oktober 2018 11:02]

Hopen dat dit bijvoorbeeld niet nadelig gaat werken voor TamperMonkey ...

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True