Компания Google объявила (https://blog.google/technology/safety-security/update-projec.../) об ужесточении правил размещения дополнений в кататлоге Chrome Web Store. Первая часть изменений связана с проектом Strobe, в рамках которого проведено рецензирование методов, используемых сторонними разработчиками приложений и дополнений для доступа к сервисами, связанным с учётной записью пользователя в Google, или к данным на устройствах Android.
В дополнение к ранее представленным новым правилам обращения с данными Gmail и ограничениям доступа (https://www.opennet.ru/opennews/art.shtml?num=49973) к SMS и спискам звонков для приложений в Google Play, компания Google анонсировала проведение похожей инициативы для дополнений к Chrome. Основной целью изменения правил является борьба с практикой запроса дополнениями излишних полномочий - в настоящее время нередко дополнения запрашивают максимально возможные полномочия, в которых нет реальной необходимости. В свою очередь у пользователя замыливается глаз и он перестаёт обращать внимание на запрашиваемые полномочия, что создаёт благоприятную почву для развития вредоносных дополнений.
Летом планируется внести в правила каталога Chrome Web Store изменения, которые будут требовать от разработчиков дополнений запрашивать доступ только к расширенным возможностям, которые действительно необходимы для реализации заявленной функциональности. Более того, если для воплощения задуманного можно использовать несколько видов полномочий, то разработчик должен использовать разрешение, предоставляющее доступом к меньшему объёму данных. Ранее подобное поведение описывалось в форме рекомендации, а теперь будет переведено в разряд обязательных требований, при невыполнении которых дополнения не будут приниматься в каталог.
Также расширены ситуации, при которых разработчики дополнений обязаны публиковать правила обработки персональных данных. Кроме дополнений, явно обрабатывающих персональные и конфиденциальные данные, правила обработки персональных данных должны будут публиковать и дополнения, обрабатывающие любой пользовательский контент и любые персональные коммуникации.
На начало следующего года также намечено (https://cloud.google.com/blog/products/identity-security/enh...) ужесточение правил доступа к API Google Drive - пользователи смогут явно контролировать, какие данные можно отдавать и каким приложениям можно предоставить доступ, а также выполнять верификацию приложений и просматривать установленные привязки.
Вторая часть изменений касается (https://blog.chromium.org/2019/05/taking-action-on-deceptive...) защиты от злоупотреблений с навязыванием установки непрошенных дополнений, которые часто используются для осуществления мошеннических действий. В прошлом году уже был введён (https://www.opennet.ru/opennews/art.shtml?num=48776) запрет установки дополнений по запросу со сторонних сайтов без перехода в каталог дополнений. Подобный шаг позволил снизить число жалоб на непрошенную установку дополнений на 18 %. Теперь планируется запретить и некоторых другие уловки, применяемые для установки дополнений обманным путём.
С 1 июля из каталога начнут удаляться дополнения, которые продвигаются с использованием нечестных методов. В частности, будут подлежать дополнения при распространении которых используются вводящие в заблуждение интерактивные элементы, такие как обманные кнопки активации или формы, которые явно не отмечены как приводящие к установке дополнения. Также будут удаляться дополнения, которые замалчивают сведения о маркетинговом обеспечении или пытаются скрыть своё истинное назначение на странице Chrome Web Store.
URL: https://blog.chromium.org/2019/05/taking-action-on-deceptive...
Новость: https://www.opennet.ru/opennews/art.shtml?num=50782
