Cirka 33% av alla Chromium-användare har installerat någon form av webbläsare. I stället för att vara en nisch, kantteknologi som används exklusivt av strömanvändare, är tillägg positivt vanliga, med majoriteten som kommer från Chrome Web Store och Firefox Add-Ons Marketplace.
Men hur säkra är de?
Enligt forskning som presenteras på IEEE Symposium om säkerhet och integritet är svaret inte så mycket . Den Google-finansierade undersökningen hittade tiotals miljoner Chrome-användare har installerat en mängd olika tilläggsbaserade skadliga program, vilket motsvarar 5% av den totala trafiken i Google.
Forskningen resulterade i att nästan 200 plugins skruvas bort från Chrome App Store och ifrågasatte den övergripande säkerheten på marknaden.
Så, vad gör Google för att hålla oss säkra, och hur kan du upptäcka ett skurkligt tillägg? Jag fick reda på.
Där tillägg kommer från
Ring dem vad du vill - webbläsartillägg, plugins eller tillägg - de kommer alla från samma plats. Oberoende utvecklare från tredje part som producerar produkter som de känner, behöver ett behov eller löser ett problem.
Browser-tillägg skrivs vanligen med webbteknik, till exempel HTML, CSS och JavaScript. Vad är JavaScript, och kan Internet existera utan det? Vad är JavaScript, och kan Internet existera utan det? JavaScript är ett av de saker som många tar för givet. Alla använder det. Läs mer, och brukar byggas för en viss webbläsare, även om det finns några tjänster från tredje part som underlättar skapandet av plattformspluggar på plattformen.
När en plugin har nått en nivå av färdigställande och testas, släpps den sedan. Det är möjligt att distribuera ett plugin självständigt, även om de flesta utvecklare väljer att istället distribuera dem via Mozilla, Google och Microsofts extensionsbutiker.
Även innan det någonsin berör en användares dator måste den testas för att säkerställa att den är säker att använda. Så här fungerar det i Google Chrome App Store.
Håller Chrome säkert
Från inlämnandet av en förlängning, till dess eventuella publicering, finns det en 60 minuters väntan. Vad händer här? Tja bakom kulisserna ser Google till att plugin inte innehåller någon skadlig logik eller något som kan äventyra användarnas integritet eller säkerhet.
Denna process är känd som "Enhanced Item Validation" (IEV), och är en serie av noggranna kontroller som granskar ett plugins kod och dess beteende när det installeras för att identifiera skadlig kod.
Google har också publicerat en "style guide" av sorter som berättar utvecklare vilka beteenden som är tillåtna och avskräcker uttryckligen andra. Det är till exempel förbjudet att använda inline JavaScript - JavaScript som inte lagras i en separat fil - för att mildra risken mot skriptattacker på plats. Vad är Cross-Site Scripting (XSS), och varför det är en säkerhetsrisk? -Site Scripting (XSS), och varför det är en säkerhetsrisk. Säkerhetsproblem på websidor är det största säkerhetsproblemet idag. Studier har funnit att de är chockerande vanliga - 55% av webbplatserna innehöll XSS sårbarheter under 2011, enligt White Hat Securitys senaste rapport, släpptes i juni ... Läs mer.
Google motverkar också starkt användningen av "eval", som är en programmeringskonstruktion som tillåter kod att utföra kod och kan införa alla möjliga säkerhetsrisker. De är inte särskilt angelägna om plugins som kopplar till fjärranslutna, icke-Googles tjänster, eftersom det innebär risken för en MITM-attack (Man-In-The-Middle) Vad är en man-i-mittattack? Säkerhetsjargon förklarade Vad är en man-i-mittenattack? Security Jargon Explained Om du har hört talas om "man-in-the-middle" -attacker men inte helt säkra på vad det betyder är det här artikeln för dig. Läs mer .
Det här är enkla steg, men är för det mesta effektiva för att hålla användarna säkra. Javvad Malik, säkerhetsadvokat vid Alienware, anser att det är ett steg i rätt riktning, men konstaterar att den största utmaningen att hålla användarna säkra är en fråga om utbildning.
Att göra skillnaden mellan bra och dålig programvara blir allt svårare. För att parafrasera är en mans legitim mjukvara ett annat identitetsstjälande, privatlivskompromissande skadligt virus kodat i helvetets tarmar.
"Missa mig inte, jag välkomnar flytten från Google för att ta bort dessa skadliga tillägg - några av dessa borde aldrig ha blivit offentliga för att börja med. Men utmaningen framåt för företag som Google är att polisera förlängningarna och definiera gränserna för vad som är acceptabelt beteende. En konversation som sträcker sig bortom en säkerhet eller teknik och en fråga för internet som använder samhället i stort. "
Google har som mål att se till att användarna är informerade om riskerna med att installera webbläsarpluggar. Varje förlängning i Google Chrome App Store är explicit om de behörigheter som krävs och kan inte överstiga de behörigheter du ger den. Om en förlängning ber om att göra saker som verkar ovanliga, har du då anledning till misstankar.
Men ibland, som vi alla vet, glider malware igenom.
När Google får det fel
Google, överraskande, håller ett ganska tight fartyg. Inte mycket glider över deras klocka, åtminstone när det gäller Google Chrome Webshop. När något gör det är det dåligt.
- AddToFeedly var ett Chrome-plugin som gjorde det möjligt för användare att lägga till en webbplats till deras RSS Feed-läsare Feedly, ombedd: Vad gör det för en sådan Google Reader-ersättning? Feedly, Reviewed: Vad gör det för en sådan Google Reader-ersättning? Nu när Google Reader är bara ett avlägset minne är kampen för framtiden för RSS verkligen på. En av de mest anmärkningsvärda produkterna som bekämpar den goda kampen är Feedly. Google Reader var inte en ... Läs mer prenumerationer. Det började livet som en legitim produkt som släpptes av en hobbyistutvecklare, men köptes för en fyrafallsbelopp i 2014. De nya ägarna snurrade sedan pluginprogrammet med SuperFish-adware, som injicerade reklam för sidor och sprungade popup-fönster. SuperFish blev berömd tidigare i år när det skedde Lenovo hade skickat det med alla sina slutgiltiga Windows-bärbara datorer Lenovo Laptop Owners Var försiktig: Din enhet kan ha förinstallerat skadlig kod Lenovo bärbara ägare Var uppmärksam: Din enhet kan ha förinstallerat skadlig kod Kinesisk datorproducent Lenovo har erkänt de bärbara datorerna som skickades till butiker och konsumenter i slutet av 2014 hade skadlig programvara förinstallerade. Läs mer .
- WebPage Skärmdump tillåter användare att fånga en bild av hela en webbsida som de besöker, och har installerats på över 1 miljon datorer. Det har dock också överfört användarinformation till en enda IP-adress i USA. Ägarna till WebPage-skärmdump har förnekat något fel och insisterar på att det var en del av deras kvalitetssäkring. Google har sedan tagit bort det från Chrome Web Store.
- Adicionar Ao Google Chrome var en skurk förlängning som kapade Facebook-konton 4 Saker att göra omedelbart när ditt Facebook-konto är hackat 4 Saker att göra omedelbart när ditt Facebook-konto är hackat Att ha ditt Facebook-konto hackade är en mardröm. En främling har nu tillgång till all din personlig information och kan chocka dina vänner och anhängare. Här är vad du kan göra för att innehålla skadorna. Läs mer och dela obehöriga statuser, inlägg och foton. Malware spreds via en webbplats som efterliknade YouTube och berättade för användarna att installera plugin för att kunna titta på videoklipp. Google har sedan tagit bort plugin.
Med tanke på att de flesta använder Chrome för att göra den stora delen av sin dator, är det oroande att dessa plugins lyckades glida genom sprickorna. Men åtminstone var det ett förfarande att misslyckas. När du installerar tillägg från någon annanstans är du inte skyddad.
Såsom Android-användare kan installera någon app som de önskar, kan Google låta dig installera vilken Chrome-tillägg du vill. Så här installerar du Chrome Extensions manuellt. Så här installerade du Chrome Extensions manuellt. Google bestämde dig nyligen för att inaktivera installationen av Chrome-tillägg från tredje parts webbplatser, men vissa Användare vill fortfarande installera dessa tillägg. Så här gör du det. Läs mer, inklusive de som inte kommer från Chrome Web Store. Det här är inte bara för att ge konsumenterna lite extra val, utan snarare att tillåta utvecklare att testa koden som de har arbetat med innan de skickas ut för godkännande.
Det är dock viktigt att komma ihåg att eventuella tillägg som installerats manuellt inte har gått igenom Googles noggranna testprocedurer och kan innehålla alla typer av oönskade beteenden.
Hur är risken du?
I 2014 invände Google Microsofts Internet Explorer som dominerande webbläsare och representerar nu nästan 35% av Internetanvändarna. Som ett resultat, för alla som vill göra snabba pengar eller distribuera skadlig kod, är det fortfarande ett frestande mål.
Google har för det mesta lyckats klara av sig. Det har inträffat incidenter, men de har isolerats. När skadlig programvara har lyckats gå igenom, har de tagit itu med det och med den professionalism du förväntar dig av Google.
Det är emellertid klart att förlängningar och plugins är en potentiell attackvektor. Om du planerar att göra något känsligt, till exempel logga in på din webbbank, kanske du vill göra det i en separat, pluginfri webbläsare eller ett inkognito-fönster. Och om du har några av de tillägg som anges ovan, skriv krom: // tillägg / i din adressfält i Chrome, hitta sedan och ta bort dem, för att vara säkra.
Har du någonsin av misstag installerat någon skadlig kod från Chrome? Lev för att berätta sagan? Jag vill höra om det. Släpp mig en kommentar nedan, och vi chattar.
Bildkrediter: Hammer på krossat glas Via Shutterstock