Chromeの拡張機能は、便利な反面、これまでもプライバシー情報の収集など、そのセキュリティリスクが懸念されてきました。これに対して、Googleは公式WEBストア以外からの拡張機能インストールを禁止するなどの対策を講じてきましたが、さらに新しい対策を講じる形です。
まず、10月末にリリース予定のChrome 70からは、拡張機能がユーザーデータにアクセスできるサイトを制限可能になります。これまで、拡張機能にユーザーデータの読み取りを許可すると、アクセスした全サイトでデータを読み取れるようになるなど、必要以上に強力な権限を付与することにもなっていました。
このため、Chrome 70では、その拡張機能を利用できるサイトをホワイトリスト形式で制限したり、アイコンをクリックした場合にのみ使用可能になるといった制限が可能になります。
また、Chromeウェブストアでの拡張機能のレビューも強化されます。拡張機能自体に不必要に強力な権限が求められている場合には、追加のコンプアライアンスレビューの対象となるほか、リモートでホストされたコードを使用する拡張機能は、継続的な監視対象になるとのこと。開発者には可能な限り要求権限を少なくする、使用するすべてのコードを拡張機能のパッケージに含めるなどの努力が求められています。
これに加えて、難読化されたコードを含む拡張機能はChromeウェブストアへの登録が許可されなくなりました。Chromeウェブストア以外からのインストールはすでに禁止されているので、事実上利用できなくなるわけです。
これまでにChromeウェブストアからブロックされた、悪意のあるポリシー違反の拡張機能の70%以上が難読化されたコードを含んでいたのことで、これに対する処置です。また、難読化されたコードはレビューが複雑になるため、その負担軽減の意味もあります。
既存の拡張機能については、難読化を実施している場合には、90日以内に修正が必要です。修正されない場合、来年1月上旬にChormeウェブストアから削除されます。
なお、コードサイズの縮小や実行速度の向上を目的とするminificationは引き続き許容されています。
来年には、乗っ取りを防ぐため、Chromeウェブストアの開発者アカウントで2段階認証が必須になるほか、強力なセキュリティ、プライバシー、パフォーマンスの保証を目的とした、拡張マニフェストの導入も計画しているとのことです。
Googleによると、Chromeのデスクトップ版を使用しているユーザーの半数がなんらかの拡張機能を使用しているとのこと。このため、今後すべての拡張機能を標準的に信頼できるようにする必要があるとしています。
コメント
コメントを投稿