Oggi vi presentiamo un metodo che renderà le estensioni del browser più sicure.
Da tempo gli sviluppatori che lavorano al browser di Mountain View stanno tentando di allineare le estensioni alla Content Security Policy (CSP) stabilita dal W3C, ma farlo di default creerebbe problemi di compatibilità per le estensioni, pertanto i programmatori hanno sempre avuto la possibilità di caricare le proprie estensioni nel Web Store anche se non garantivano la sicurezza che il consorzio vorrebbe.
Chrome 18 (attualmente in fase beta) si arricchisce di una funzionalità che introduce la seguente policy CSP:
Condizione necessaria affinchè si applichi questo maggiore sistema di sicurezza è che le estensioni devono essere aggiornate al manifest-version 2 e devono seguire queste tre direttive:script-src 'self'; object-src 'self'
- Non possono essere usati script inline ( <script>...</script> ), ma le estensioni devono essere dotate di script esterni, presenti comunque all'interno del pacchetto ( <script src="script.js"></script> )
- Non è più possibile utilizzare eval(). Se era utilizzato per il parse JSON, è possibile ora utilizzare JSON.parse
- Le estensioni possono caricare plugin solo se presenti all'interno del pacchetto o se provenienti da una fonte HTTPS presente in whitelist.
Questi accorgimenti porteranno indubbiamente ad una sicurezza delle estensioni superiore rispetto a quella attuale a prezzo di uno sforzo minimo da parte degli sviluppatori. A conferma di ciò vi è uno studio di alcuni ricercatori dell'Università della California di Berkeley, i quali sostengono che, adottando queste policy, sarà aumentata del 96% la possibilità di scovare vulnerabilità nel software.
Da parte di Google non ci saranno pressioni affinchè questi nuovi sistemi di sicurezza siano applicati immediatamente, ma gli sviluppatori saranno comunque incoraggiati ad adottare le direttive del W3C per migliorare la sicurezza delle loro estensioni.
Via | The Chromium Blog
Nessun commento:
Posta un commento