Google активно внедряет платформу Manifest V3 для расширений Chrome, позиционируя её как решение для улучшения безопасности браузера. Но, по словам исследователей из IT-компании SquareX, компания не справляется со своей задачей — и оставляет для злоумышленников множество лазеек даже на фоне того, что ограничивает работу блокировщиков рекламы и других полезных аддонов.
По словам экспертов, перехода на MV3, недостаточно для обеспечения безопасности пользователей. Платформа всё ещё позволяет создавать расширения, которые могут красть данные и получать доступ к конфиденциальной информации — например, перехватывать прямые эфиры в Google Meet и Zoom без специальных разрешений. Некоторые аддоны способны добавлять неавторизованных участников в частные репозитории GitHub, читать файлы cookie, закладки и историю браузера.
Кроме того, MV3 позволяет перенаправлять пользователей на фишинговые страницы с помощью поддельного окна менеджера паролей и предлагать пользователю скачать вредоносное ПО через фальшивое окно обновления браузера. Ситуация усложняется тем, что отследить действия расширения невозможно. Например, такие решения для обеспечения безопасности, как защита конечных устройств, Secure Access Service Edge (SASE) и Secure Web Gateways (SWG), не могут в реальном времени оценивать потенциально опасные расширения.
Для решения этих проблем в SquareX предложили несколько способов. К примеру, исследователи предлагают предоставить администраторам возможность решать, какие расширения блокировать, исходя из списка разрешений, описания, отзывов и рейтинга в магазине Google.
«Наше исследование доказывает, что без динамического анализа и возможности для предприятий применять строгие политики будет невозможно выявлять и блокировать эти атаки. Google MV3, несмотря на благие намерения, всё ещё далёк от обеспечения безопасности как на этапе разработки, так и на этапе внедрения», — отметили в SquareX.
Также можно создать инструмент, который будет блокировать сетевые запросы расширений на основе машинного обучения и эвристического анализа. Вдобавок в SquareX экспериментируют с облачным анализом расширений с помощью модифицированного браузера Chromium на удалённом сервере, что позволит выявить потенциально вредоносные решения ещё до их установки.
Источник:
Что значит "похоже"? Это и есть скрытая борьба с блокировщиками рекламы. Уже нельзя просто так, как раньше, поставить знаменитые uMatrix (который запросто позволял напрочь резать всю рекламу на сайте мылару) и uBlock Origin, которые просто "must have" на все времена, но теперь остались только в огнелисе.
Это не "похоже", это она и есть. Остальное - замылить взгляд. Одно же дело сказать "мы меняем формат для борьбы с блокировщиками рекламы", и совсем другое - "мы меняем формат для повышения безопасности пользователей". Мы схожую историю в 2020 на пеньках наблюдали.
Судя по статье- он и так уже SASE )
Почти двадцать лет уже с лисой. Раньше ещё оперой пользовался, пока она тоже в хром не превратилась
Перешёл с нормального браузера на фаерфокс который застрял в 2005 году и даже не может в аппаратное декодирование hevc в браузере в отличии от хром, понимаю. Куда деньги на лечение скидывать
(отредактирован)
С хрома ушёл в 2014, с 2015 полностью на файрфокс - браузер постоянно развивается, интерфейс удобный, синхронизация на устройствах работает чётко.
>Перешёл с нормального браузера на фаерфокс который застрял в 2005 году и даже не может в аппаратное декодирование hevc в браузере в >отличии от хром, понимаю. Куда деньги на лечение скидывать
Выбирая между наличием рекламы и её отсутствием, я выберу ноль рекламы.
пс: файрфокс всё ещё держится на плаву из-за встроенных майнингов (надеюсь, что майнинг, а не кривой код с пожиранием памяти и ресурсов процессора).
(отредактирован)
Что за бред? Какой ещё майнинг в лисе?
Между прочим, 2005 хорошим годом был. Не чета нынешним.
А что касается hevc - мне без разницы, где он будет декодироваться. Процессор-то всё равно занят: у меня декодированием hevc, у вас - рендерингом рекламы.
Конечно тебе без разницы, он в firefox из коробки вообще не поддерживается ты просто видос не включишь,лол
Блин, печально :(
Но успокаивает то, что на практике он нигде не используется (иначе я бы заметил).
Нет, если мы говорим именно про Manifest V3 ... все браузеры на движке Blink, могут использовать свой магазин приложений.
Как это влияет на безопасность?
Про какие именно проблемы безопасности вы говорите?! =) Вообще у любого софта априори есть проблемы с безопасностью, у кого-то больше, у кого-то меньше ... которые становятся очень популярными, быстро фиксят, ну и как правило открывают новые ... пока они не станут популярными =)))
Это просто официальная причина, по которой выпили блокировщики рекламы
Если юзать браузеры, в которых встроенный функционал заменяет расширения, то это будет более безопасно, ну примеру, многие если не большинство людей, используют несколько самых необходимых расширений, это уже стандарт, база, блокировщики, vpn, переводчики, темные темы, скриншотеры, и загрузчики видео, ну мб ещё пару других, по идеи все это, кроме vpn и загрузчикков видео, встроенное в сами браузеры к примеру, в Opera, есть встроенный vpn, встроенная темная тема для сайтов, встроенный переводчик, встроенный скриншотер, и встроенный блокировщик рекламы, поэтому такой встроенный функционал заменяет базовые необходимые расширения, конечно, то, что встроенное оно не такое мб функциональное, качественные и удобное, но за то оно встроенное и более безопасное, хотя в опере самой есть слежка, но можно в аккаунт не входить, чтобы меньше сливались инфа.
Тоже самое в других браузерах, Vivaldi, есть встроенный блокировщик, переводчик, скриншотер, темная тема в флагах.
в Brave, Edge, встроенный vpn, переводчики, и тд.
Поэтому смысл таков, что если хочется, чтобы было более безопасным использование интернета, тогда надо чтобы браузеры имели встроенные функции расширений, но видите ли половину пользователям людям такое не нравится, они хотят, чтобы браузер был пустой, урезан и максимально минималистичный без встроенного функционала и многих функций, но тогда пусть жертвуют своею безопасностью расширениями.
А так, сильно не стоит парится, если будете максимально все делать, чтобы от слежки защититься, то будете жертвовать, удобством, эко-системою, синхронизацей, быстротою, будет мучение, если будете максимально убирать слежку, будете ли счастливы, и в комфорте, нет, поэтому в крайности впадать не стоит, например есть расширения, с открытым кодом, или которых не разу не ломали, к примеру некогда самое популярное расширение по паролям lastpass много раз ломали, а тот же bitwarden не разу.
Firefox всегда установлен на всех моих устройствах. Но по удобству использования на мобильном Vivaldi выше всяких похвал. Естественно и на компе в целях синхронизации тоже установлен браузер Vivaldi.
У Vivaldi собственный блокировщик есть. Не все скрипты, работающие в Ublock к сожалению можно подключить, но в принципе не плохо работает. Мне на мобильно лишь косметических фильтров не хватает, скрывать место от удаленной рекламы в некоторых случаях
Прислал уведомление или сообщил при входе в магазин расширений?
Прям в самом браузере
Хотя по слухам обещали манифест 2 продолжать поддерживать.
Прикинь это везде так ещё с 2000... Когда у тебя больше 1к закладок без этого не как.... Вообще с maxtor китайского начиналось все...
(отредактирован)