Chrome Web Store: spíše tržnice než supermarket
Z Chrome Web Store byste neměli cokoli instalovat důvěřivě. Kdyby vás snad skutečnost, že Chrome Web Store provozuje Google, navedla domnívat se, že veškerý obsah je Googlem předem prověřen, byli byste na omylu.
Google nemá sílu anebo zájem vše předem prověřovat — na rozdíl od Applu si to nezvolil za svůj způsob. Příliv aplikací a rozšíření by to totiž přinejmenším zbrzdilo a Google zatížilo prací a odpovědností. Google dává přednost otevřenosti, ta však přináší určitá nebezpečí. Neříkáme, že Google se nebezpečí nesnaží omezit, nemůže je ovšem vyloučit.
Kdo může něco umístit na Chrome Web Store?
Může to každý, kdo si založil účet u Googlu a zaplatil jednorázově pět dolarů skrze Google Checkout — zprostředkování online plateb provozované Googlem. Pro Google Checkout potřebujete platební kartu a musíte z ní zadat obvyklé údaje.
Tím je sice omezena, nikoli však vyloučena možnost, že do Chrome Web Store vloží někdo úmyslně něco škodlivého. Záškodníkovi by stačilo založit nový účet u Googlu a zaplatit těch pět dolarů pomocí odcizených údajů o něčí platební kartě. Otázka pak je, zda by dokázal ještě před odhalením záškodnosti své aplikace nebo rozšíření získat prospěch dostatečný na to, aby se mu vyplatilo obětovat odcizenou kartu.
Kromě toho lze uvažovat tvůrce „šedé zóny“: ty, kteří si nemyslí, že činí něco špatného, ale vy byste mohli mít opačný názor.
Google zasahuje v zásadě teprve tehdy, když mu někdo podá stížnost.
Jaká jsou nebezpečí?
„Aplikace“ z Chrome Web Store může být jen odkazem na nějaký web, anebo může být napsána jako rozšíření. Před instalací se to však nepozná. Oba druhy mohou instalací získat určitá práva, která by běžný cizí web jinak neměl. V Chrome Web Store jsou pak vedle aplikací ještě rozšíření běžná, jež o něco doplňují prohlížeč. I ta získávají instalací práva, a to často dost zásadní.
Katalog rozšíření se ptá takto
I odkazovaný web může být myslitelně záškodný, ale jeho adresu alespoň vidíte. Zato aplikace napsaná jako rozšíření může komunikovat s adresami v internetu, aniž víte, se kterými. Jen pokročilejší skriptování vyžaduje váš souhlas s přístupem na určité internetové adresy.
Aplikace napsaná jako rozšíření, takzvaně „balená“ aplikace, je vlastně webovou stránkou uloženou na vašem počítači a má přístup k některým možnostem, která mají rozšíření.
Otázka je, co by mohl záškodník někam do internetu sdělovat… Samozřejmě vše, co sami dobrovolně do aplikace nebo do rozšíření vložíte a co v ní (nebo v něm) činíte. Ale má přístup k údajům z vašeho počítače a z vašeho prohlížeče? Bez vašeho souhlasu nemá (kromě běžného přístupu ke cookies). Samozřejmě pokud se autorovi nepodaří objevit v Google Chrome nějakou skulinku…
Chrome Web Store se neptá — jen vypisuje
Váš souhlas vyžaduje vše vyjmenované v nápovědě Google Chrome. Trochu matoucí je pojem „vaše data“ na určitých webech. Abychom to upřesnili: rozšíření, kterému to povolíte, získá pro uvedené weby úplný přístup k veškerému obsahu stránek zobrazených ve vašem prohlížeči. Včetně obsahu políček formulářů… Přemýšlejte o tom, komu to povolujete. Zároveň toto oprávnění povoluje pokročilou skriptovou komunikaci s uvedenými adresami.
Čekali bychom, že při instalaci vyskočí okno s požadovanými oprávněními a v něm je budete musit odsouhlasit. Je tomu tak v původním katalogu rozšíření, na který vás dosud přesměruje prohlížeč Chrome, pokud je nastaven do češtiny. Jenže v Chrome Web Store je tomu jinak, a nemůžeme říci, že změna je k lepšímu: která zvláštní práva rozšíření nebo aplikace požaduje, ta jsou jen vypsána pod tlačítkem Install (Instalovat). Máte si je tam přečíst. Kliknutím na instalaci s nimi souhlasíte bez dalšího upozornění!
Chrome Web Store ponechává vaši bezpečnost na vaší schopnosti rozlišit tvůrce důvěryhodného od nedůvěryhodného. K tomu účelu máte na Chrome Web Store jen několik vodítek: kolik lidí to už nainstalovalo, kolik lidí to instaluje týdně, jaké napsali názory a jak aplikaci nebo rozšíření hodnotí. Uvedl tvůrce svůj web? Jak ten web vypadá? Na koho je doména registrována? O mnoho bezpečnější je, když byl tvůrce prověřen Googlem na to, že je tím, za koho se vydává. Pak je v popise aplikace označen zeleným zatržítkem jako „verified author“ (ověřený autor).
Vyznáte‑li se ve webových technologiích, můžete si také ovšem (již nainstalované!) rozšíření vyhledat na disku a pročíst si jeho kód.
Celý model je vlastně postaven na tom, že nahraje‑li do Chrome Web Store něco nějaký neznámý, neprověřený tvůrce, musí se najít odvážlivci, kteří jeho rozšíření nebo aplikaci vyzkoušejí první. Zvažte, nakolik si troufáte patřit mezi ně.
7 foto
