悪質な Chrome 拡張機能やユーザーからの苦情への対応に疲れた Google は、開発者にアカウントをロックダウンし、Chrome ウェブストアのセキュリティを強化するよう求めている。
チョコレートファクトリーは月曜日、マーケットプレイスにおける不正コードの量を減らし、開発者アカウントの乗っ取りをより困難にするためのいくつかの変更を発表した。
先月、チョコレートファクトリーはインラインインストールAPIを無効化しました。このAPIにより、ウェブサイトはChrome拡張機能のインストールリンクを公開し、ユーザーをChromeウェブストアにリダイレクトすることが可能になりました。そして今、検索エンジン業界はChrome 70で拡張機能のインストール時にユーザーが求める権限の範囲を超えて権限を制限できるようになると発表し、締め付けを続けています。
Chrome 70(現在ベータ版、10月中旬に安定版チャンネルリリース予定)以降、ユーザーは拡張機能の実行を、クリック操作を条件として、特定のサイトセット、またはコードによって要求されたすべてのサイトで実行することを選択できます。この機能は、拡張機能が予期しない情報を収集する可能性を低減するために設計されており、chrome://extensionsページと拡張機能のコンテキストメニューからアクセスできます。
さらに、Googleは拡張機能が強力な権限へのアクセスを要求する場合、より厳格な審査を行う予定です。Chrome拡張機能プロダクトマネージャーのジェームズ・ワグナー氏はブログ投稿で、Googleはリモートでホストされたコードに依存する拡張機能を監視すると述べています。ワグナー氏は開発者に対し、審査時間を最小限に抑えるため、拡張機能の権限範囲を可能な限り狭く設定するようアドバイスしています。
変装なし
Googleは本日から、Chrome拡張機能における難読化コード(フローやロジックを隠蔽するために改変されたコード)の使用を禁止します。この禁止措置は、Chrome開発者コンテンツポリシーの形で実施され、「開発者は拡張機能のコードを難読化したり、機能を隠蔽したりしてはならない」と規定されています。
Googleは実際にユーザーの声に耳を傾け、Cookieを返却し、Chromeの自動サインインを再考している
続きを読む
可読性の要件は、縮小コードには適用されません。縮小コードは、変数名や関数名を短縮し、空白、改行、コメントを削除することでソースコードを圧縮する難読化の一種です。縮小化は、ファイルのサイズを小さくし、パフォーマンスを向上させるためにコードの可読性を低下させますが、一般的にはコードの機能を隠蔽しようとするものではありません。
同社によると、悪意のある拡張機能やポリシー違反の拡張機能の70%は、読みにくく設計されたコードを含んでいるという。そして、意図的に読みにくく設計された拡張機能のコードを審査する余裕はない。難読化されたコードを含むChrome拡張機能をリリースしている開発者は、元旦までに修正版を提出する必要がある。
2019年、GoogleはChromeウェブストアの開発者に対し、アカウントのセキュリティ確保のため2段階認証の使用を義務付ける予定です。Googleは、悪意のある者が人気拡張機能に関連付けられたアカウントを乗っ取ることをより困難にしたいと考えています。これは、他の場所で見られるマルウェア拡散の手口です。しかし、開発者がアカウントを詐欺師に売却するのを防ぐには、この方法はそれほど効果的ではないでしょう。
来年には、拡張機能マニフェストファイルの改訂仕様も導入されます。開発者は、このファイルを通じてChrome拡張機能に必要な権限とリソースを宣言します。Googleはバージョン3の詳細をまだ発表していませんが、APIのスコープを絞り込み、ユーザーによる権限管理を容易にし、Service Workersなどの最新のウェブ機能をバックグラウンドプロセスとしてサポートすることを目指していると述べています。®
