Chrome70加强把关扩充套件安全，提升使用者的控制能力

Google将在Chrome 70继续收紧扩充套件政策，除了之前启用独立（Out-of-process）iframe并移除内联安装外，现在还要调整用户控制主机权限（User Controls for Host Permissions），并且即日起禁止扩充套件使用程式码混淆（Obfuscated Code）技术，违反规定的扩充套件将在明年1月遭到移除。

Chrome在十年前推出了扩充套件系统，目前Chrome线上应用程序商店已经有超过18万个扩充套件，接近一半的Chrome桌面使用者，会主动下载扩充套件来客制化Chrome浏览器。为了要保护使用者隐私以及维持浏览器效能，Google采取了一系列措施，以强化扩充套件的安全性，包括独立（Out-of-process）iframe、移除内联安装，还使用机器学习技术，侦测并阻挡恶意扩充套件。

而从Chrome 70开始，Google还要调整用户控制主机权限，用户现在可以用自定义网站列表，限制扩充套件的存取权限，或是进行手动设定，授予扩充套件存取当前页面的权限。Google提到，主机权限赋予许多扩充套件强大的功能，但同时也带来了风险，Google目标是要提高透明度，让使用者自行控制扩充套件存取网站资料的时机。

而Google也修正了扩充套件审核流程，新的流程即刻生效。即日起Chrome线上应用程序商店将不再允许源代码使用程式码混淆技术的扩充套件。Google阻挡的恶意扩充套件当中，其中有70％使用程式码混淆，而且同时也增加了Chrome扩充套件团队审核的复杂性。程式码混淆虽然会将源代码转成难以阅读的形式防止剽窃或是破解，但Google表示，由于JavaScript程式码都在用户端执行，根本无法保护专有程式码，这种程度的防护不足以防范有心的逆向工程师。

Google表示，使用程式码混淆的扩充套件，有90天的时间可以修正，并在2019年1月1日前重新提交，届时不符合规定的扩充套件，将会从Chrome线上应用程序商店中移除。另外，为了强化开发者的账户安全，在2019年，Chrome线上应用程序商店开发者的账号将需要采用两阶段验证，可以选择使用手机或是实体安全金钥来增加额外安全性。

Google还预告在2019年，将发布下一个扩充套件Manifest版本，Manifest v3将需要额外的平台修改，目的要建立更强健的安全性、隐私和效能保证，官方提到，用Manifest v3将会让撰写高效能和安全的扩充套件变得简单，并且难以产出不安全的套件。