Quasi dieci anni fa il team di Chrome lanciò il proprio sistema di add-on, grazie a questa feature il browser di Google è riuscito a competere ad armi pari con i suoi concorrenti che già vantavano di un ecosistema molto vasto di estensioni. Da Chrome 70 ci saranno però alcuni cambiamenti, infatti solo gli add-on ritenuti "fidati" potranno essere installati.
Solitamente gli utenti installano gli add-on per aggiungere funzionalità aggiuntive, tuttavia può capitare di trovare degli add-on che senza chiedere il permesso all'utente installano software sul PC per rubare dati o per eseguire altre operazioni illecite. Il fenomeno del cryptojacking sta destando per esempio forti preoccupazioni nelle agenzie di sicurezza. Google ne è ben coscia, ecco perché il suo team ha scelto di non consentire più l'installazione di add-on non fidati, almeno come opzione di default.
Recentemente il team di Chrome ha anche migliorato i protocolli di sicurezza implementando l'out-of-process iframes, un nuovo layer di sicurezza integrato nell'architettura multiprocesso del browser, ed eliminando l'inline installation ovvero la possibilità di installare add-on direttamente da un sito web, senza dunque passare dallo store di Google.
Big G ha deciso di implementare su Chrome 70 nuovi sistemi che garantiscano la sicurezza degli utenti durante l'uso delle estensioni. L'utente avrà infatti il totale controllo delle host permission, ovvero sarà possibile dare selettivamente l'autorizzazione all'add-on per leggere i dati dei siti web visitati. Alcuni add-on malevoli, ma anche diverse estensioni perfettamente lecite come gli adblocker, possono alterare i dati e la forma del sito web visitato in tempo reale. Tali caratteristiche possono essere sfruttate per eseguire trafugare informazioni sensibili.
Altra novità riguarda il cambio della procedure di revisione degli add-on. Le estensioni che richiedono autorizzazioni e permessi molto invasivi saranno soggette a controlli più profondi da parte del team di Chrome. Inoltre che gli add-on che lavorano con del codice in remoto saranno poste sotto osservazione, infatti in futuro tutto il codice dovrà essere ospitato direttamente nel pacchetto dell'estensione cosi da ridurre al minimo i tempi di revisione. Saranno rivisti i requisiti per la code readability, il Chrome Web Store non accetterà più estensioni con codice scritto in modo poco leggibile o poco chiaro. Questo varrà non solo per il codice nel pacchetto ma anche le risorse ad esso collegate.
Le tecniche di minification, ovvero quel processo di rimozione di tutti i caratteri non necessari dal codice sorgente senza modificarne la funzionalità, saranno invece consentite visto che permettono di rendere il sorgente più performante e snello. Sara anche permesso l'utilizzo di alcune tecniche e stili di programmazione come ad esempio:
- la rimozione degli spazi bianchi, il mandare a capo il testo, i commenti al codice e i delimitatori.
- Le abbreviazioni delle variabili e dei nomi delle funzioni.
Inoltre dal 2019 sarà obbligatorio abilitare la verifica a due passaggi su tutti gli account developer nel Chrome Web Store. Infatti più la propria estensione diventa popolare più aumenta il rischio di subire attacchi informatici. Sempre nel 2019 sarà introdotto anche un nuovo extensions manifest. Questo manifesto introdurrà nuovi cambiamenti nella piattaforma in modo da assicurare livelli di sicurezza sempre migliori. Ecco alcuni degli obbiettivi del nuovo manifesto:
- sistema di API più narrowly-scoped e dichiarative, cosi da ridurre la necessità di permessi ed accessi troppo invasivi per l'utente.
- Meccanismi più semplici di controllo delle autorizzazioni concesse agli add-on.
- supporto ai Service Workers, in modo da garantire una nuova tipologia di processi in background.
Google sostanzialmente sta dando 2 mesi di tempo alla propria community per iniziare ad adattarsi alle novità, dal 2019 l'azienda imporrà regole sempre più stringenti in fatto di sicurezza cosi da offrire una piattaforma sempre più sicura.
Via Chromium Blog