Extensie-permissies per site te beheren in Chrome 70

In het Chromium-blog waarin Google deze beheeraankondiging doet, wijst de browsermaker op de toegevoegde waarde van het Chrome-extensiesysteem wat bijna tien jaar geleden werd gelanceerd. Ondanks dat dit volgens Google de innovatie en gebruikerservaring van Chrome in de hand heeft gewerkt, zijn er ook keerzijden waar de fabrikant nu op inspeelt met het strengere extensiebeleid.

Zo kunnen gebruikers per site de permissie regelen die goedkeurt of gegevens automatisch kunnen worden gelezen of gewijzigd door extensies. Ook kan worden ingesteld dat dit enkel na een extra handeling van de gebruiker is toegestaan. De volledige toelichting is te lezen in een samenvattende blogpost van Google over runtime host permissies.

Versluierde code

Hiernaast staat de Chrome Web Store geen extensies meer toe met zogeheten ‘versluierde code’. Het gaat hierbij om code die verborgen zit in het extensiepakket zelf, evenals extern aangeroepen code en extra functies die van internet worden geplukt door de extensie. Extensies die versluierde code bevatten krijgen van Chrome straks 90 dagen de tijd om corrigerende updates uit te rollen, en worden anders uit de Chrome Web Store verwijderd. Google draagt als onderbouwing aan dat 70 procent van de verwijderde extensies die worden geblokkeerd versluierde code bevat en dat deze code het controleproces bemoeilijkt.

“Omdat obfuscation vooral wordt gebruikt om de codefunctionaliteit te verbergen, voegt het tegelijkertijd een grote mate van complexiteit toe aan ons beoordelingsproces. Dit is niet langer aanvaardbaar gezien de bovengenoemde wijzigingen in het beoordelingsproces. Omdat JavaScript-code altijd lokaal op de computer van de gebruiker wordt uitgevoerd, is versluiering bovendien onvoldoende om bedrijfseigen code te beschermen tegen een echt gemotiveerde reverse-engineer. Obfuscation-technieken brengen ook forse prestatiekosten met zich mee, zoals tragere uitvoering en een grotere footprint van bestanden en geheugen”, stelt Google in de blogpost.

Minification

Zogeheten ‘minification’, zoals verwijdering van witruimte of commentaren in de code of de verkorting van functienamen, mag nog wel.

Google kondigt hiernaast ook een aanvullende controle aan op extensies die uitgebreidere permissies behoeven. Daarnaast komt de fabrikant met een nieuwe vereiste van tweetrapsauthenticatie voor ontwikkelaars. Zij moeten daarmee hun accounts bij de Chrome Web Store beveiligen. Zo wil de fabrikant voorkomen dat veelgebruikte extensies slachtoffer worden van kwaadwillenden die daarvoor dan developersaccounts kapen.