Chrome更新擴充功能安全措施，進一步提升瀏覽器安全性

Chrome瀏覽器的擴充功能系統已經問市將近10年，擴充功能的生態也在社群與開發者的努力下蓬勃發展，Chrome線上應用程式商店至今已經有超過180,000套擴充套件，也有將近一半的Chrome使用者啟用擴充功能，因此提升相關的安全性也是Chrome團隊的重點工作。

除了功能實用，安全性也不能輕忽

對Chrome擴充功能的開發團隊而言，2個主要的任務就是讓使用者可以根據個人需求與喜好客製化Chrome的功能，並協助開發者能夠構建豐富且實用的擴充套件，但是在這之上，更應讓使用者能夠信任擴充套件的安全性、隱私性與運作效能，讓使用者瞭解擴充套件能存取的資料權限也相當重要。

近期Chrome團隊導入了許多改善安全性的措施，例如透過Out-of-Process iframes技術，將出現在同一網頁中卻來自外部網站的iframe獨立至額外的處理程序，也移除直接在外部網頁安裝擴充套件的功能（Inline Installation），並在機器學習的協助下強化偵測與阻擋惡意擴充套件的能力。

為了進一步強化Chrome擴充功能的安全性，開發團隊導入了更多改善措施，首先就是簡明的權限控制。在Chrome 70中，使用者可以對擴充套件的主機授權（Host Permissions）進行細部設定，限制套件是否能存取某些網站或網頁中資料，不但提高擴充套件在資料存取方面的透明度，也讓使用者能更確實掌握相關權限設定，Chrome團隊也會持續強化該功能的易用性以提升使用者體驗。

▲ Out-of-Process iframes技術可以將網頁中的iframes與擴充套件分派至不同的處理程序以降低資安風險。（圖片來源：Chromium部落格）

▲ 直接安裝擴充套件的功能雖然方便，但也因可能暗藏惡意程式而被移除。（圖片來源：Chrome部落格）

▲ Chrome 70強化了存取權限的設定功能。（圖片來源：Google資安部落格）

官方也加強把關力道

在讓使用者自主管理擴充套件權限的同時，Chrome團隊也著手加強擴充套件的審查，除了針對要求較高權限的套件增加額外的審查之外，也仔細檢查包含存放於遠端主機程式碼的套件。

在這樣的審查制度下，等於藉由縮短審查流程，鼓勵開發者盡可能降低要求的權限，並將所有程式碼儲存於套件程式本體，可以發揮增進安全性的效果。

另一方面，Chrome團隊也不再允許包含混淆程式碼的擴充套件，這個新的規則也包含擴充套件會從網路或任何外部來源存取額外程式碼。由於混淆程式碼的主要用意是隱藏程式功能，因此會增加審核過程的複雜性，因此才會被禁止。

這個規則也會溯及既往，如果現有擴充套件包含混淆程式碼，則需在90天內進行修正，否則將在2019年1月從Chrome網上應用店中刪除，至於新提交的擴充套件則需直接符合新規則才能上架。

▲ Chrome團隊將強化擴充套件資安部分的審查，讓應用程式商店更安全。

除了這些改變之外，擴充套件的開發者帳號也將在2019年強制實施更安全的二階段登入，以避免帳號被冒用，並希望帶動開發者一起努力，為使用者打造更安全的上網環境。