Este fórum foi descontinuado. LEIA AQUI e participe da Comunidade BABOO :)

Ir para conteúdo
mick.07

Chrome e nova política que impede injeção de scripts

Mensagem Recomendada

Deixei essa pergunta num vídeo do Baboo, mas acho relevante postar aqui também pra que outras pessoas possam ter acesso - até porque nem sei quando e/ou se ele vai me responder lá.

O caso: recentemente a nova versão do Chrome começou a exibir avisos sobre programas de terceiros que impedem a boa execução do navegador e sugerindo que o usuário desinstale o programa, principalmente antivírus (no fórum do KIS, MBAM e Bitdefender têm vários usuários relatando isso). Isso faz parte da nova política do Chrome de impedir que programas de terceiros injetem script no navegador - algo que a maioria dos programas de segurança costuma fazer pra analisar exploits e urls maliciosas - , alegando que a maioria dos crashes do navegador se dá por conta de incompatibilidade de scripts de terceiros. 

Tendo em vista que o Edge já adotou essa política, e que isso deve virar tendência, o que pode ser do futuro dos programas antivírus, ao serem impedidos de usar script nos navegadores? Significa que eles não vão mais conseguir bloquear downloads e acesso a sites maliciosos, ficando apenas com antivírus de arquivos?

O Chrome vem implementando medidas de segurança contra sites suspeitos, me parece até que fechou parceria com a ESET. Mas seria suficiente?

 

Links:

https://www.bleepingcomputer.com/news/google/google-chrome-showing-alerts-about-incompatible-applications/

 

Malwarebytes tira proteção anti-exploit do Chrome pra evitar problemas: https://support.malwarebytes.com/docs/DOC-2656

Bitdefender também desabilita anti-exploit do Chrome: https://www.bleepingcomputer.com/news/google/bitdefender-disables-anti-exploit-monitoring-in-chrome-after-google-policy-change/

 

Editado por mick.07

Compartilhar este post


Link para o post
Compartilhar em outros sites

"Aproximadamente dois terços dos usuários do Windows Chrome têm outros aplicativos em suas máquinas que interagem com o Chrome, como software de acessibilidade ou antivírus. No passado, este software precisava injetar código no Chrome para funcionar adequadamente; Infelizmente, os usuários com software que injeta código no Windows Chrome têm 15% mais probabilidade de sofrer falhas. Com as extensões do Chrome e o Native Messaging, agora existem alternativas modernas para executar o código dentro dos processos do Chrome. A partir de setembro de 2018, o Chrome 69 começará a impedir que softwares de terceiros injetem código no Chrome no Windows. Essas mudanças ocorrerão em três fases. Em abril de 2018, o Chrome 66 começará a mostrar aos usuários afetados um aviso após o acidente, alertando-os de que outro software está injetando código no Google Chrome e orientando-os a atualizar ou remover esse software.

Em setembro de 2018, o Chrome 69 começará a impedir que softwares de terceiros sejam injetados nos processos do Google Chrome. Se esse bloqueio impedir que o Chrome seja iniciado, o Chrome será reiniciado e permitirá a injeção, mas também mostrará um aviso que orienta o usuário a remover o software. Por fim, em janeiro de 2019, o Chrome 72 removerá essa acomodação e sempre bloqueará a injeção de código. Embora a maioria dos softwares que inserem códigos no Chrome seja afetada por essas alterações, existem algumas exceções. O código assinado pela Microsoft, o software de acessibilidade e o software IME não serão afetados. Como acontece com todas as alterações do Chrome, os desenvolvedores são incentivados a usar o Chrome Beta para testes iniciais. Menos falhas significam mais usuários felizes e esperamos continuar melhorando o Chrome para todos. Postado por Chris Hamilton, Equipe de Estabilidade do Chrome Atualizado em 2018-06-21: o software de terceiros será impedido de injetar código no Chrome no Windows a partir do Chrome 69
." Posted by: Chris Hamilton, Chrome Stability Team.

Aparentemente o Chrome está investindo em uma nova maneira de proteger seus usuários de threats.  Fechando parceria com ESET, etc.

Porque, fazer isto? bom, pelo o que entendi, para evitar erros de softwares de terceiros. Alguns Antivírus e Anti-Malware, podem fazer com que ocorra erros no navegador, Os desenvolvedores sabendo disso, investem em uma nova forma de contornar/solucionar este problema.

Muito provável veremos mais navegadores Web, com próprias funcionalidades de proteção embutida, visando proteger aqueles usuários leigos que não instalam antivírus ou se instalam, é um Baidu... A primeira mão, pode parecer um horror essa decisão da google, mas lembre que tanto existe códigos bom como existe os códigos maliciosos.

Não seria o correto tirar a proteção sem antes ter outra melhor. Eu espero que os desenvolvedores da Google sejam experientes o suficientemente para saber disto.

 

Compartilhar este post


Link para o post
Compartilhar em outros sites

Os desenvolvedores do MBAM e KIS já estão em contato com os desenvolvedores do Chrome pra tentar ver uma solução. Ao que me consta, apesar do Edge impedir execução de scripts de terceiros, ele permite se o programa tiver certificado digital confiável na base de dado da Microsoft. O Google poderia fazer o mesmo.

Compartilhar este post


Link para o post
Compartilhar em outros sites

×
×
  • Criar Novo...