Google impõe prazo para resolução de falha de segurança no Chrome
Categoria : Segurança Visitas: 2576 Tempo de Leitura: 3 Minutos
Em agosto de 2018, o Google Chrome era o web browser que detinha 67,66% da quota de mercado global, em desktops. Para contextualizarmos melhor, vejamos que o Mozilla Firefox vem em segundo lugar com apenas 10,96%, seguido pelo Internet Explorer (6,97%), o Safari (5,13%) e o Microsoft Edge (4,24%). A última versão, o Chrome 70, será disponibilizada este mês e todos os olhares parecem estar sobre o Google, para perceber o que vai ser feito relativamente aos problemas de segurança que têm afetado as extensões.
Ao longo da última década, estas têm definido a forma como cada indivíduo interage na internet, e com mais de 180 mil atualmente disponíveis na Web Store do Chrome, e com quase metade dos utilizadores do browser a usarem pelo menos uma, a segurança tem mesmo de ser levada a sério. Tudo isto para dizer que os ataques tiveram, efetivamente, sucesso em comprometer extensões. E aqui referimo-nos, por exemplo, a extensões que utilizaram recursos dos computadores onde estavam instaladas para minerar criptomoedas, ou contas de developers terem sido invadidas por hackers para serem usadas para convencer os utilizadores a fazerem updates a extensões que afinal instalavam código malicioso nos computadores.
Um outro aspecto que também não tinha vindo a colher agrado era a falta de transparência no código. Tal mudou e teve efeito imediato quando o product manager das extensões do Chrome, James Wagner, disse num post no blog Chromium que nunca mais aceitariam códigos obscuros, e que “tal inclui packs integrados ou códigos externos, bem como recursos obtidos na web”.
A nova política teve efeito imediato sobre todas as novas submissões, e os developers das extensões já existentes com código pouco limpo terão até dia 1 de janeiro do próximo ano para o tornar clean. Se não cumprirem as novas regras, verão o seu produto removido da Web Store definitivamente.
Porque é que códigos obscuros são um problema?
De acordo com Wagner, mais de 70% de todas as extensões maliciosas ou violações das políticas de segurança que foram bloqueadas tinham códigos obscuros. O Google afirma que esta falta de transparência faz com que todo o processo de revisão se torne mais complexo e moroso do que aquilo que seria necessário, e tem um alto impacto na performance para os utilizadores – pois a execução torna-se mais lenta e ocupa mais memória.
Enquanto que quem desenvolve os códigos vai argumentar que os cria desta forma para proteger a propriedade intelectual, Wagner contra-argumenta: enquanto o JavaScript continuar a correr localmente, tal é insuficiente para proteger essas propriedades de alguém motivado a corromper o código.
Em jeito de compromisso, o motor de pesquisa mais utilizado no mundo vai continuar a permitir que se faça o que é conhecido como “minimização” do código – uma linguagem de programação que, resumidamente, retira todos os caracteres desnecessários sem retirar qualquer função. Esta ação não só reduz a quantidade dos recursos consumidos mas também poderá melhorar a velocidade de execução, mas terá pouco impacto no processo de policiamento e revisão de segurança.
As técnicas de “minification” que o Google irá permitir incluem a remoção de white space, comentários e bloqueadores no código, tal como o encurtamento de variáveis e nomes de função.
A transparência no lançamento do Chrome 70 também se extende aos utilizadores, que terão mais controlo sobre a possibilidade das extensões lerem ou alteraram dados. Atualmente, é muito comum aceitar-se a permissão requerida para instalar uma extensão, mas não há controlo sobre o que o utilizador pode restringir, no que aos websites diz respeito.
Assim, outra novidade nesta nova versão do browser é que os utilizadores poderão ativar restrições – tal como a possibilidade de as extensões apenas acederem a sites que estejam autorizados e opções para adicionar um clique no rato antes de garantir acesso de qualquer página.
Outras alterações anunciadas também vão ter impacto nos criadores de extensões: é sabido que haverá a inclusão de acordos de aceitação adicionais; todas as extensões que façam uso de código alojado remotamente também vão ser amplamente escrutinadas, como monitorização contínua mesmo após terem sido revistas e autorizadas.
Finalmente, o Google anunciou ainda que a partir do próximo ano haverá uma verificação de dois fatores obrigatória para todos os developers. Tal tem vindo a ser encorajado ao longo dos anos, mas nunca tinha sido indispensável.
Gostou do nosso Blog? Subscreva já!
Comentários
Artigos Relacionados
Categoria : Geral Catarina Sousa
10 dicas para trabalhar melhor a partir de casa
Com o aumento constante do número de casos de coronavírus, parece ser seguro que nos próximos mes...
há 4 anos | Visitas: 8855 | Leitura: 4 Minutos
Ler mais..Categoria : Redes Sociais Catarina Sousa
EUA querem banir a app TikTok
Alguns senadores dos Estados Unidos pretendem que o famoso TikTok seja banido no país – ou pelo m...
há 4 anos | Visitas: 6976 | Leitura: 3 Minutos
Ler mais..Categoria : Geral Catarina Sousa
Fake News: saiba como as detectar
Não há dúvidas de que a internet hoje em dia se divide muito entre o que são notícias reais, co...
há 4 anos | Visitas: 7496 | Leitura: 5 Minutos
Ler mais..