वैसे भी Chrome वेब स्टोर कितना सुरक्षित है?

वैसे भी Chrome वेब स्टोर कितना सुरक्षित है?

सभी क्रोमियम उपयोगकर्ताओं में से लगभग 33% के पास किसी न किसी प्रकार का ब्राउज़र प्लगइन स्थापित है। पावर उपयोगकर्ताओं द्वारा विशेष रूप से उपयोग की जाने वाली एक विशिष्ट, एज-टेक्नोलॉजी होने के बजाय, ऐड-ऑन सकारात्मक रूप से मुख्यधारा हैं, जिनमें से अधिकांश क्रोम वेब स्टोर और फ़ायरफ़ॉक्स ऐड-ऑन मार्केटप्लेस से आते हैं।





लेकिन वे कितने सुरक्षित हैं?



शोध के अनुसार प्रस्तुत होने के कारण सुरक्षा और गोपनीयता पर IEEE संगोष्ठी में, उत्तर है बहुत नहीं . Google द्वारा वित्त पोषित अध्ययन में पाया गया कि लाखों क्रोम उपयोगकर्ताओं के पास कुछ प्रकार के ऐड-ऑन आधारित मैलवेयर स्थापित हैं, जो कुल Google ट्रैफ़िक का 5% प्रतिनिधित्व करता है।





शोध के परिणामस्वरूप क्रोम ऐप स्टोर से लगभग 200 प्लगइन्स को स्क्रब किया गया, और बाजार की समग्र सुरक्षा पर सवाल उठाया गया।

तो, Google हमें सुरक्षित रखने के लिए क्या कर रहा है, और आप किसी दुष्ट ऐड-ऑन का पता कैसे लगा सकते हैं? मुझे पता चला।



ऐड-ऑन कहां से आते हैं

उन्हें कॉल करें कि आप क्या करेंगे - ब्राउज़र एक्सटेंशन, प्लगइन्स या ऐड-ऑन - ये सभी एक ही स्थान से आते हैं। स्वतंत्र, तृतीय-पक्ष डेवलपर ऐसे उत्पाद तैयार करते हैं जो उन्हें लगता है कि एक आवश्यकता की पूर्ति करते हैं, या किसी समस्या का समाधान करते हैं।

ब्राउज़र ऐड-ऑन आमतौर पर HTML, CSS और जावास्क्रिप्ट जैसी वेब तकनीकों का उपयोग करके लिखे जाते हैं, और आमतौर पर एक विशिष्ट ब्राउज़र के लिए बनाए जाते हैं, हालाँकि कुछ तृतीय-पक्ष सेवाएँ हैं जो क्रॉस-प्लेटफ़ॉर्म ब्राउज़र प्लगइन्स के निर्माण की सुविधा प्रदान करती हैं।



एक बार एक प्लगइन पूरा होने के स्तर तक पहुंच गया है और परीक्षण किया गया है, फिर इसे जारी किया जाता है। प्लगइन को स्वतंत्र रूप से वितरित करना संभव है, हालांकि अधिकांश डेवलपर्स उन्हें मोज़िला, Google और माइक्रोसॉफ्ट के एक्सटेंशन स्टोर के माध्यम से वितरित करने के बजाय चुनते हैं।

हालांकि, इससे पहले कि यह किसी उपयोगकर्ता के कंप्यूटर को छूए, यह सुनिश्चित करने के लिए इसका परीक्षण किया जाना चाहिए कि यह उपयोग करने के लिए सुरक्षित है। यहां बताया गया है कि यह Google Chrome ऐप स्टोर पर कैसे काम करता है।



क्रोम को सुरक्षित रखना

एक्सटेंशन जमा करने से लेकर उसके अंतिम प्रकाशन तक, 60 मिनट की प्रतीक्षा है। यहाँ क्या हुआ? खैर, पर्दे के पीछे, Google यह सुनिश्चित कर रहा है कि प्लगइन में कोई दुर्भावनापूर्ण तर्क, या ऐसा कुछ भी नहीं है जो उपयोगकर्ताओं की गोपनीयता या सुरक्षा से समझौता कर सकता है।

इस प्रक्रिया को 'एन्हांस्ड आइटम वैलिडेशन' (आईईवी) के रूप में जाना जाता है, और यह कड़ी जांच की एक श्रृंखला है जो मैलवेयर की पहचान करने के लिए प्लगइन के कोड और इंस्टॉल होने पर उसके व्यवहार की जांच करती है।

गूगल ने भी एक 'स्टाइल गाइड' प्रकाशित किया ऐसे प्रकार जो डेवलपर्स को बताते हैं कि किन व्यवहारों की अनुमति है, और स्पष्ट रूप से दूसरों को हतोत्साहित करते हैं। उदाहरण के लिए, क्रॉस-साइट स्क्रिप्टिंग हमलों के जोखिम को कम करने के लिए इनलाइन जावास्क्रिप्ट - जावास्क्रिप्ट का उपयोग करना मना है जो एक अलग फ़ाइल में संग्रहीत नहीं है।

Google 'eval' के उपयोग को भी दृढ़ता से हतोत्साहित करता है, जो एक प्रोग्रामिंग निर्माण है जो कोड को कोड निष्पादित करने की अनुमति देता है, और सभी प्रकार के सुरक्षा जोखिमों को पेश कर सकता है। वे दूरस्थ, गैर-Google सेवाओं से कनेक्ट होने वाले प्लगइन्स के लिए भी बहुत उत्सुक नहीं हैं, क्योंकि इससे मैन-इन-द-मिडिल (एमआईटीएम) हमले का खतरा होता है।

ये सरल कदम हैं, लेकिन अधिकांश भाग के लिए उपयोगकर्ताओं को सुरक्षित रखने में प्रभावी हैं। Javvad Malik एलियनवेयर में सुरक्षा अधिवक्ता, सोचते हैं कि यह सही दिशा में एक कदम है, लेकिन ध्यान दें कि उपयोगकर्ताओं को सुरक्षित रखने में सबसे बड़ी चुनौती शिक्षा का मुद्दा है।

'अच्छे और बुरे सॉफ्टवेयर के बीच अंतर करना कठिन होता जा रहा है। व्याख्या करने के लिए, एक व्यक्ति का वैध सॉफ़्टवेयर एक और आदमी की पहचान-चोरी, गोपनीयता-समझौता दुर्भावनापूर्ण वायरस है जो नरक के आंत्र में कोडित है। 'मुझे गलत मत समझो, मैं इन दुर्भावनापूर्ण एक्सटेंशन को हटाने के लिए Google के कदम का स्वागत करता हूं - इनमें से कुछ चाहिए शुरू करने के लिए कभी भी सार्वजनिक नहीं किया गया है। लेकिन Google जैसी कंपनियों के लिए आगे बढ़ने वाली चुनौती एक्सटेंशन को नियंत्रित करना और स्वीकार्य व्यवहार की सीमाओं को परिभाषित करना है। एक बातचीत जो सुरक्षा या प्रौद्योगिकी से परे होती है और बड़े पैमाने पर इंटरनेट का उपयोग करने वाले समाज के लिए एक प्रश्न है।'

Google का उद्देश्य यह सुनिश्चित करना है कि उपयोगकर्ताओं को ब्राउज़र प्लग इन स्थापित करने से जुड़े जोखिमों के बारे में सूचित किया जाए। Google क्रोम ऐप स्टोर पर प्रत्येक एक्सटेंशन आवश्यक अनुमतियों के बारे में स्पष्ट है, और आपके द्वारा दी गई अनुमतियों से अधिक नहीं हो सकता है। यदि कोई एक्सटेंशन असामान्य लगने वाले काम करने के लिए कह रहा है, तो आपके पास संदेह का कारण है।

लेकिन कभी-कभी, जैसा कि हम सभी जानते हैं, मैलवेयर फिसल जाता है।

फोटोशॉप में टेक्स्ट में टेक्सचर कैसे जोड़ें

जब Google गलत हो जाता है

Google, आश्चर्यजनक रूप से, काफी तंग जहाज रखता है। कम से कम जब Google क्रोम वेब स्टोर की बात आती है, तो उनकी घड़ी से ज्यादा फिसलता नहीं है। हालाँकि, जब कुछ होता है, तो यह बुरा होता है।

  • AddToFeedly एक क्रोम प्लगइन था जिसने उपयोगकर्ताओं को अपने फीडली आरएसएस रीडर सब्सक्रिप्शन में एक वेबसाइट जोड़ने की अनुमति दी थी। इसने जीवन को एक वैध उत्पाद के रूप में शुरू किया एक शौकिया डेवलपर द्वारा जारी किया गया , लेकिन 2014 में चार अंकों की राशि के लिए खरीदा गया था। नए मालिकों ने तब सुपरफिश एडवेयर के साथ प्लगइन लगाया, जिसने विज्ञापनों को पृष्ठों में इंजेक्ट किया और पॉप-अप को जन्म दिया। सुपरफिश ने इस साल की शुरुआत में कुख्याति प्राप्त की, जब यह पता चला कि लेनोवो इसे अपने सभी लो-एंड विंडोज लैपटॉप के साथ शिपिंग कर रहा है।
  • वेबपेज स्क्रीनशॉट उपयोगकर्ताओं को उनके द्वारा देखे जा रहे वेबपेज की संपूर्णता की एक छवि कैप्चर करने की अनुमति देता है, और 1 मिलियन से अधिक कंप्यूटरों पर स्थापित किया गया है। हालाँकि, यह संयुक्त राज्य में उपयोगकर्ता की जानकारी को एकल IP पते पर भी प्रसारित कर रहा है। वेबपेज स्क्रीनशॉट के मालिकों ने किसी भी गलत काम से इनकार किया है, और जोर देकर कहा कि यह उनकी गुणवत्ता आश्वासन प्रथाओं का हिस्सा था। Google ने तब से इसे क्रोम वेब स्टोर से हटा दिया है।
  • Google Chrome में जोड़ें एक दुष्ट एक्सटेंशन था जो अपहृत फेसबुक अकाउंट , और अनधिकृत स्थितियाँ, पोस्ट और तस्वीरें साझा कीं। मैलवेयर एक साइट के माध्यम से फैला था जो YouTube की नकल करता था, और उपयोगकर्ताओं को वीडियो देखने के लिए प्लगइन स्थापित करने के लिए कहता था। Google ने तब से प्लगइन को हटा दिया है।

यह देखते हुए कि अधिकांश लोग अपनी अधिकांश कंप्यूटिंग करने के लिए क्रोम का उपयोग करते हैं, यह परेशान करने वाला है कि ये प्लगइन्स दरार से फिसलने में कामयाब रहे। लेकिन कम से कम वहाँ था प्रक्रिया असफल होना। जब आप कहीं और से एक्सटेंशन इंस्टॉल करते हैं, तो आप सुरक्षित नहीं होते हैं।

जैसे Android उपयोगकर्ता अपनी इच्छानुसार कोई भी ऐप इंस्टॉल कर सकते हैं, वैसे ही Google आपको कोई भी Chrome एक्सटेंशन इंस्टॉल करने देता है, जिसमें वे भी शामिल हैं जो Chrome वेब स्टोर से नहीं आते हैं। यह केवल उपभोक्ताओं को कुछ अतिरिक्त विकल्प देने के लिए नहीं है, बल्कि डेवलपर्स को उस कोड का परीक्षण करने की अनुमति देने के लिए है जिस पर वे इसे अनुमोदन के लिए भेजने से पहले काम कर रहे हैं।

हालांकि, यह याद रखना महत्वपूर्ण है कि मैन्युअल रूप से इंस्टॉल किया गया कोई भी एक्सटेंशन Google की कठोर परीक्षण प्रक्रियाओं से नहीं गुजरा है, और इसमें सभी प्रकार के अवांछनीय व्यवहार हो सकते हैं।

आप कैसे जोखिम में हैं?

2014 में, Google ने माइक्रोसॉफ्ट के इंटरनेट एक्सप्लोरर को प्रमुख वेब ब्राउज़र के रूप में पीछे छोड़ दिया, और अब लगभग 35% इंटरनेट उपयोगकर्ताओं का प्रतिनिधित्व करता है। नतीजतन, कोई भी व्यक्ति जो जल्दी पैसा कमाना चाहता है या मैलवेयर वितरित करना चाहता है, यह एक आकर्षक लक्ष्य बना हुआ है।

अधिकांश भाग के लिए, Google सामना करने में सक्षम रहा है। घटनाएं हुई हैं, लेकिन उन्हें अलग-थलग कर दिया गया है। जब मैलवेयर खिसकने में कामयाब हो जाता है, तो उन्होंने इससे तेजी से निपटा है, और उस व्यावसायिकता के साथ जिसकी आप Google से अपेक्षा करते हैं।

हालांकि, यह स्पष्ट है कि एक्सटेंशन और प्लगइन्स एक संभावित अटैक वेक्टर हैं। यदि आप अपने ऑनलाइन बैंकिंग में लॉग इन करने जैसे संवेदनशील कुछ करने की योजना बना रहे हैं, तो आप इसे एक अलग, प्लगइन-मुक्त ब्राउज़र या गुप्त विंडो में करना चाहेंगे। और यदि आपके पास ऊपर सूचीबद्ध कोई एक्सटेंशन है, तो टाइप करें क्रोम: // एक्सटेंशन / अपने क्रोम एड्रेस बार में, फिर सुरक्षित रहने के लिए उन्हें ढूंढें और हटाएं।

क्या आपने कभी गलती से कोई क्रोम मैलवेयर इंस्टॉल किया है? कहानी कहने के लिए जीते हैं? मैं इसके बारे में सुनना चाहता हूं। मुझे नीचे एक टिप्पणी दें, और हम चैट करेंगे।

छवि क्रेडिट: टूटे शीशे पर हथौड़ा शटरस्टॉक के माध्यम से

साझा करना साझा करना कलरव ईमेल डार्क वेब बनाम डीप वेब: क्या अंतर है?

डार्क वेब और डीप वेब को अक्सर एक ही समझ लिया जाता है। लेकिन ऐसा नहीं है, तो क्या फर्क पड़ता है?

आगे पढ़िए संबंधित विषय
  • ब्राउज़र्स
  • सुरक्षा
  • गूगल क्रोम
  • ऑनलाइन सुरक्षा
लेखक के बारे में मैथ्यू ह्यूजेस(386 लेख प्रकाशित)

मैथ्यू ह्यूजेस लिवरपूल, इंग्लैंड के एक सॉफ्टवेयर डेवलपर और लेखक हैं। वह शायद ही कभी अपने हाथ में एक कप मजबूत ब्लैक कॉफी के बिना पाया जाता है और अपने मैकबुक प्रो और अपने कैमरे को बिल्कुल पसंद करता है। आप उनके ब्लॉग को http://www.matthewhughes.co.uk पर पढ़ सकते हैं और ट्विटर पर @matthewhughes पर उनका अनुसरण कर सकते हैं।

मैथ्यू ह्यूजेस की और फ़िल्में या टीवी शो

हमारे न्यूज़लेटर की सदस्यता लें

तकनीकी युक्तियों, समीक्षाओं, निःशुल्क ई-पुस्तकों और अनन्य सौदों के लिए हमारे न्यूज़लेटर से जुड़ें!

सब्सक्राइब करने के लिए यहां क्लिक करें