De browser Chrome heeft een aantal kritieke beveiligingsinstellingen om door te nemen.
Chrome heeft een instelling die vaak over het hoofd wordt gezien die lijkt op de locatiebeheerfeature van Android. Hij zit nog niet zo heel lang in elke extensie die je installeert en met de optie kun je beheren wat een extensie mag zien als je rondsurft en welke details deze mag inzien. Als je de instellingen van extensies bekijkt, zie je wellicht dingen die je laten fronsen.
Laten we bij het begin beginnen. Typ chrome:extensions
in je adresbalk en klik bij elke extensie op deze pagina op Details. In die lijst met informatie over de extensie vind je een tussenkop Toegang tot site met – als de extensie inderdaad deze toegang heeft – drie opties van wanneer de add-on kan meekijken:
Bij klik: Daarmee kan de extensie alleen lezen en wijzigen bij links waar je actief op klikt en alleen voor de site die op dat moment open staat in dit specifieke tabblad.
Op specifieke sites: De extensie kan gegevens lezen en wijzigen van de site die je specifiek benoemt in deze lijst (je kunt domeinen toevoegen als je hierop klikt).
Op alle sites: De browser kan te allen tijde gegevens van alle sites die je bezoekt lezen en wijzigen, zonder beperkingen.
Afhankelijk van wat je extensie zou moeten doen, is dat mogelijk legitiem nodig dat dit soort toegang nodig is. Denk aan adblockers of extensies die scripts blokkeren – deze software moet elke pagina die je opent zien om content te kunnen detecteren en eventueel te blokkeren als het ongewenst is.
Maar realistisch gezien heeft de grote meerderheid van extensies niet zoveel toegang nodig. Meestal hoeven ze alleen te zien wat je opent op een specifieke url of wanneer je er actief op klikt. En toch vragen veel Chrome-extensies de onbeperkte toegang tot je browserdata – een analyse eerder dit jaar meldde zelfs dertig procent – en toen ik door mijn eigen lijst vlooide, zag ik wat verbijsterende voorbeelden.
Bijvoorbeeld Save to Pocket, wiens enige doel is om een artikel op te slaan om later te lezen. Deze hoeft dat alleen te doen als ik op het pictogram klik en toch heeft het ongelimiteerde toegang. Er is absoluut geen enkele reden dat deze software alles moet zien op elke site die ik bezoek en op elk moment. Maar toch:
Nog zo’n verrassing was de officiële Authy Chrome-extensie die als snelkoppeling fungeert om de Authy-app te openen voor het beheer van tweefactor-codes. Deze app heeft geen toegang nodig tot al mijn browsergegevens, maar toch:
Wanneer je zo’n extensie tegenkomt – en als je goed hebt nagedacht over wat een lager toegangsniveau betekent voor diens functionaliteit – zet je de toegang op een lager niveau. Het addertje is dat sommige extensies dan niet meer werken. Pocket bijvoorbeeld, zou voldoende moeten hebben aan Bij klik, maar na de aanpassing krijg ik een foutmelding dat de pagina niet kan worden opgeslagen. Dat betekent dat ik de keuze heb tussen dat het blijven gebruiken van de extensie ondanks deze vergaloppering, of dat ik hem vervang door een alternatief (zoals de simpele bookmarklet van de dienst die hetzelfde bereikt zonder al die toegang).
In de meeste gevallen zou je geen verschil moeten zien qua functionaliteit. Met Authy veranderde in de toegang naar Op specifieke sites en definieerde ik daar het Authy-domein (er is namelijk geen enkele manier om de toegang helemaal uit te schakelen, dus dit leek me de effectiefste manier).
Andere extensies die ik aanpaste waren bijvoorbeeld een tool om een webafbeelding op te slaan als PNG en zelfs Google’s eigen Opslaan in Google Drive. Deze extensies lazen allemaal standaard alle gegevens te allen tijde, maar ze hebben eigenlijk alleen Bij klik nodig.
Om eerlijk te zijn is het niet waarschijnlijk dat extensies deze toegang vereisen voor boosaardige doeleinden. Deze instelling bestaat nog maar een jaar en voor die tijd was het een binair voorstel: alle data of helemaal niets. De extensies die ik hier net noemde zijn voor het laatst bijgewerkt vóór deze wijziging van kracht werd, dus dit lijkt meer een legacy-issue. Dit geldt ook voor Authy, maar niet voor Pocket, die in juli nog werd bijgewerkt.
Ik moet hierbij ook vermelden dat op het moment dat je een nieuwe extensie vanuit de Chrome Web Store installeert, je een pop-up ziet met de lijst van machtigingen die de app gebruikt. En hier zie je ook de melding dat de extensie alle gegevens kan lezen en wijzigen. Maar de meeste mensen lezen deze niet. Dat doen we waarschijnlijk allemaal wel eens.
Dus de laatste stap zou zijn dat als je toch bezig bent met het nalopen van extensies dit je nieuwe proces wordt: klik dit soort pop-ups niet gedachteloos weg maar kijk even naar de machtiging als je een nieuwe installeert en denk na of dit betekent dat je de instelling opnieuw naloopt.
Bron: Door JR Raphael |Webwereld | 14 okt 2019