Google срезает привилегии для Chrome, потому что это не сказка
Google убирает администраторские права Chrome, чтобы уменьшить угрозу, исходящую от подозрительных расширений.
В следующих версиях Chrome для Windows, скорее всего, по умолчанию не будут работать с правами администратора. Это должно лучше защитить пользователей от подозрительных расширений, рискованных сайтов и других потенциально вредоносных действий.
Ранее в мае старший инженер-программист компании Microsoft, Стефан Смолен, представил коммит в исходный код Chromium, согласно которому Chrome автоматически понижает привилегии при попытке запуска с повышенными правами.
"Этот CL основан на изменениях, которые у нас были в Edge примерно с 2019 года, который пытается автоматически понизить браузер, когда он запускается с повышенной частью разделенного/связанного токена," - заявил Смолен в коммите. "Этот процесс автоматически пытается перезапустить один раз, а затем, если он по-прежнему не удается, возвращается к текущему поведению (которое пытается запустить с правами администратора)."
Эта функция присутствует в Edge с 2019 года. Когда пользователи запускают Edge с повышенными правами, браузер показывает предупреждение и рекомендацию перезапустить без прав администратора.
"Мы добавляем командный переключатель, чтобы предотвратить автоматическую перезагрузку, если по какой-либо причине мы получаем повторный запуск в администраторском режиме," - говорится в коммите. "Мы не понижаем права Chrome, когда он работает в режиме автоматизации, чтобы не вмешиваться в инструменты автоматизации." Эта функция также предотвращает потенциальные бесконечные циклы.
Будучи окном в более широкий интернет, веб-браузер является одной из самых часто нацеленных программ. Он постоянно обрабатывает недоверенные данные из бесчисленных источников, что объясняет, почему киберпреступники всегда ищут уязвимости - будь то в коде, плагинах или плохо защищенных сайтах. Компрометация браузера может дать злоумышленникам доступ к конфиденциальной информации, включая учетные данные для входа, личные данные и многое другое.
Убирая административные права от браузера, Microsoft разоружает его, предотвращая действия злоумышленников по запуску вредоносных программ или кражу персонально идентифицируемой информации. Поэтому Редмондский гигант рекомендует всем пользователям не запускать свои браузеры с правами администратора.
Вот так, Microsoft, вновь стремится спасти мир от чадящего зла киберпреступности. Инженеры корпорации неожиданно пришли к озарению, что у браузеров в руках пользователя не должно быть никаких супергеройских полномочий. По меньшей мере, после летнего отпуска им стало яснее, что администраторские права — это не сверхсила, а скорее привод к беде.
Это, конечно, не случайная догадка — в 2019 году Microsoft усмотрела в своем браузере Edge нечто недоступное для ума неподготовленного пользователя, и к 2023-му решили отобрать права у Chrome. Почему бы не воспользоваться находкой конкурента, словно у них в кармане завалялась последняя модель швейцарского ножа на распродаже?
Теперь считается, что понижение прав — это забота о том, чтобы злоумышленники не споткнулись о повышенные полномочия над браузером. Разумеется, им неясно, почему, если открыть бокал «обновлений», за ним скрываются тёмные стереотипы дремучего программиста, тянущегося за кнопкой «Установить».
Не стоит забывать, что сам смысл браузера — это обрабатывать ненадежные данные из интернета. Являясь жертвой великой современной стихии, киберпреступления рвут с умиротворением сбоев систем и уязвимости кода. Microsoft теперь поёт дифирамбы своей безопасности, однако все прекрасно понимают, что это лишь способ заставить нас верить в их намерения — пока остальная индустрия копит свои тотемы защиты и мантры о «гибкости подстраиваний».
Конечно, "не запускать браузеры с правами администратора" звучит, как если бы они советовали не заряжать оружие, когда пытаетесь отразить атаку вампиров в переулке. Предложение весьма заманчивое — но кто же будет слушать этого Редмондского мудреца, когда за окном уже сидит стая хакеров с гнусными улыбками, готовых разыграть свою козырную карту без разрешения?
Неудивительно, что стратегические метания Microsoft о якобы напёрсточниках интернет-пространства в конечном итоге выглядят скорее как попытка прикрыть собственные ошибки, чем искреннее желание проверить безопасность пользователя. В конце концов, что может лучше улучшить реноме компании, чем разоружение брокеров комплексов неправильных прав?