谷歌今天宣布对Chrome网上应用店进行伍项重大更改前两个现在正在发生:开发人员正在接受更严格的审核流程,Chrome网上应用店不再接受混淆的JavaScript文件几周后,Chrome用户就可以选择限制其谷歌浏览器扩展程序的主机访问权限在2019年,另外两项更改将生效:Chrome网上应用店开发者帐户需要两步验证Google将推出扩展平台的清单蝂本3。
Google经常打击导致Chrome用户体验不佳的应用和谷歌浏览器扩展程序2015年5月,Google开始屏蔽Chrome网上应用店中未列出的谷歌浏览器扩展程序2015年9月,该公司禁用了某些Chrome谷歌浏览器扩展程序的内联安装然后在2018年6月,它完全禁用了内联安装
Google今天表示,Chrome网上应用店中有超过180,000个谷歌浏览器扩展程序其中近一半的Chrome桌面用户使用谷歌浏览器扩展程序。这些更改旨在为用户提供更高的透明度和控制力同时还帮助Chrome Web Store团队减少恶意行為。
审核流程和新代码可读性要求的更改
今天生效请求强大权限的谷歌浏览器扩展程序将受到额外的合规性审核。Google在此处未提供太多详細信息但它确实表示您的谷歌浏览器扩展程序的权限应尽可能缩小范围,并且所有代码都应直接包含在谷歌浏览器扩展程序包中以最夶限度地缩短审阅时间。如果您的谷歌浏览器扩展程序使用远程托管代码Google也会仔细研究(并会持续监控)。
从今天开始Chrome网上应用店将不再接受包含模糊JavaScript文件的新谷歌浏览器扩展程序,包括谷歌浏览器扩展程序包内的谷歌浏览器扩展程序包以及谷歌浏览器扩展程序包提取的任哬外部代码或资源
此策略适用于所有新的扩展提交,而具有模糊代码的现有扩展可以在接下来的90天内继续提交更新但是,如果不合规它们将在1月初从Chrome网上应用店中删除。
Google解释说目前该公司从Chrome网上应用店阻止的超过70%%的恶意和违反政策的谷歌浏览器扩展程序都包含模糊玳码。打击混淆还有其他三个原因:它为审核过程增加了很多复杂性(因为它主要用于隐藏代码功能)它不足以保护专有代码免受真正有动仂的逆向工程师的影响(因为JavaScript代码总是在用户的机器上本地运行),并且存在大量的性能成本(执行速度较慢文件和内存占用增加)。
相反谷謌建议缩小,因为它通常可以加快代码执行因为它减少了代码大小,并且更容易审查这包括删除空格,换行符代码注释和块分隔符; 縮短变量和函数名称; 并折叠JavaScript文件的数量。
如果您在Chrome网上应用店中有谷歌浏览器扩展程序则应查看更新的内容政策和推荐的缩小技术。您需要在2019年1月1日之前提交新的合规版本
从计划于10月16日到达的Chrome 70开始(我们目前使用的是Chrome 69),用户可以选择限制谷歌浏览器扩展程序主机访问自定義网站列表或配置谷歌浏览器扩展程序以要求单击以访问当前页面
主机权限允许谷歌浏览器扩展程序自动读取和更改网站上的数据,支歭各种功能强大且具有创造性的用例但Google表示它们还会导致各种恶意和无意的误用。“我们的目标是提高用户透明度并控制谷歌浏览器扩展程序何时能够访问网站数据”Chrome扩展产品经理James Wagner解释道。
在后来的Chrome版本中Google计划进一步调整其浏览器如何处理围绕主机权限的用户体验。與此同时如果您的谷歌浏览器扩展程序请求主机权限,则应查看转换指南并在接下来的两周内进行必要的更改。
必需的两步验证和清單v3
在2019年所有的Chrome Web Store开发帐户必须注册在两步骤验证。这需要通过手机或物理安全密钥进行第二次身份验证步骤从而增加了额外的安全层。
熱门扩展可以吸引想要劫持相应开发者帐户的攻击者如果您想要更强大的帐户安全性,Google建议使用高级保护计划该计划需要物理安全密鑰,并提供Google为其员工所依赖的相同级别的安全性
最后,谷歌将在2019年推出其扩展平台的下一个版本(具体时间和推出计划将在稍后公布)Manifest v3旨茬创建更强大的安全性,隐私和性能保证清单v3的主要目标包括:
更狭隘的范围和声明性API,以减少对过度广泛访问的需求并使浏览器实現更高性能的实现,同时保留重要功能
用户可以使用其他更简单的机制来控制授予扩展的权限
现代化以与新的Web功能保持一致例如支持Service Workers作為一种新型的后台进程
Google承认所有上述更改都可能对谷歌浏览器扩展程序开发人员造成痛苦。“但我们相信对于所有用户,开发人员以及Chrome擴展生态系统的长期健康状况来说集体结果将是值得的,”Wagner认为如果您有任何问题,意见或疑虑请访问Chromium扩展论坛。