您现在的位置是:首页 >动态 > 2021-04-09 09:53:38 来源:

Google会更新Chrome网上应用店审核流程并设置新的扩展程序代码要求

导读 谷歌今天宣布对Chrome网上应用店进行五项重大更改。前两个现在正在发生:开发人员正在接受更严格的审核流程,Chrome网上应用店不再接受混淆

谷歌今天宣布对Chrome网上应用店进行五项重大更改。前两个现在正在发生:开发人员正在接受更严格的审核流程,Chrome网上应用店不再接受混淆的JavaScript文件。几周后,Chrome用户就可以选择限制其扩展程序的主机访问权限。在2019年,另外两项更改将生效:Chrome网上应用店开发者帐户需要两步验证,Google将推出扩展平台的清单版本3。

Google会更新Chrome网上应用店审核流程并设置新的扩展程序代码要求

Google经常打击导致Chrome用户体验不佳的应用和扩展程序。2015年5月,Google开始屏蔽Chrome网上应用店中未列出的扩展程序。2015年9月,该公司禁用了某些Chrome扩展程序的内联安装,然后在2018年6月,它完全禁用了内联安装。

Google今天表示,Chrome网上应用店中有超过180,000个扩展程序,其中近一半的Chrome桌面用户使用扩展程序。这些更改旨在为用户提供更高的透明度和控制力,同时还帮助Chrome Web Store团队减少恶意行为。

审核流程和新代码可读性要求的更改

今天生效,请求强大权限的扩展程序将受到额外的合规性审核。Google在此处未提供太多详细信息,但它确实表示您的扩展程序的权限应尽可能缩小范围,并且所有代码都应直接包含在扩展程序包中,以最大限度地缩短审阅时间。如果您的扩展程序使用远程托管代码,Google也会仔细研究(并会持续监控)。

从今天开始,Chrome网上应用店将不再接受包含模糊JavaScript文件的新扩展程序,包括扩展程序包内的扩展程序包以及扩展程序包提取的任何外部代码或资源。

此策略适用于所有新的扩展提交,而具有模糊代码的现有扩展可以在接下来的90天内继续提交更新。但是,如果不合规,它们将在1月初从Chrome网上应用店中删除。

Google解释说,目前该公司从Chrome网上应用店阻止的超过70%%的恶意和违反政策的扩展程序都包含模糊代码。打击混淆还有其他三个原因:它为审核过程增加了很多复杂性(因为它主要用于隐藏代码功能),它不足以保护专有代码免受真正有动力的逆向工程师的影响(因为JavaScript代码总是在用户的机器上本地运行),并且存在大量的性能成本(执行速度较慢,文件和内存占用增加)。

相反,谷歌建议缩小,因为它通常可以加快代码执行,因为它减少了代码大小,并且更容易审查。这包括删除空格,换行符,代码注释和块分隔符; 缩短变量和函数名称; 并折叠JavaScript文件的数量。

如果您在Chrome网上应用店中有扩展程序,则应查看更新的内容政策和推荐的缩小技术。您需要在2019年1月1日之前提交新的合规版本。

用户控制主机权限

从计划于10月16日到达的Chrome 70开始(我们目前使用的是Chrome 69),用户可以选择限制扩展程序主机访问自定义网站列表或配置扩展程序以要求单击以访问当前页面。

主机权限允许扩展程序自动读取和更改网站上的数据,支持各种功能强大且具有创造性的用例,但Google表示它们还会导致各种恶意和无意的误用。“我们的目标是提高用户透明度并控制扩展程序何时能够访问网站数据,”Chrome扩展产品经理James Wagner解释道。

在后来的Chrome版本中,Google计划进一步调整其浏览器如何处理围绕主机权限的用户体验。与此同时,如果您的扩展程序请求主机权限,则应查看转换指南,并在接下来的两周内进行必要的更改。

必需的两步验证和清单v3

在2019年,所有的Chrome Web Store开发帐户必须注册在两步骤验证。这需要通过手机或物理安全密钥进行第二次身份验证步骤,从而增加了额外的安全层。

热门扩展可以吸引想要劫持相应开发者帐户的攻击者。如果您想要更强大的帐户安全性,Google建议使用高级保护计划,该计划需要物理安全密钥,并提供Google为其员工所依赖的相同级别的安全性。

最后,谷歌将在2019年推出其扩展平台的下一个版本(具体时间和推出计划将在稍后公布)。Manifest v3旨在创建更强大的安全性,隐私和性能保证。清单v3的主要目标包括:

更狭隘的范围和声明性API,以减少对过度广泛访问的需求,并使浏览器实现更高性能的实现,同时保留重要功能

用户可以使用其他更简单的机制来控制授予扩展的权限

现代化以与新的Web功能保持一致,例如支持Service Workers作为一种新型的后台进程

Google承认所有上述更改都可能对扩展程序开发人员造成痛苦。“但我们相信,对于所有用户,开发人员以及Chrome扩展生态系统的长期健康状况来说,集体结果将是值得的,”Wagner认为。如果您有任何问题,意见或疑虑,请访问Chromium扩展论坛。