除了增加内联安装、基于机器学习的恶意扩展拦截、进程外iframe之外,谷歌还会根据Chrome Web Store所有开发者的要求,增加两步认证(也叫双因素认证)。
双因素身份验证将使Chrome扩展的开发人员能够增加一层保护,防止攻击者破坏他们的帐户并将扩展的恶意副本推送到商店。
同样,从Chrome 70开始,浏览器用户将能够设置限制,允许已安装的扩展仅访问有限的网站列表,或者单击以确认对页面的访问。
Chrome扩展还必须遵守额外的合规性要求,Chrome扩展审核团队将密切关注使用远程托管代码的扩展,这些扩展可能会受到威胁并成为潜在的攻击媒介。
Chrome在线应用商店开发者还必须遵守新的代码可读性规范,包含令人困惑的代码的扩展将被自动拒绝。
所有包含混淆代码的Chrome扩展都有90天的时间在2019年1月1日之前提交人类可读的代码更新,以便Chrome Web Store的调查小组进行审查,否则将自担风险(提示:从Chrome Web Store中删除)。
根据瓦格纳的说法,“我们从Chrome的在线应用商店阻止的恶意和违反政策的扩展中,超过70%包含令人困惑的代码。”
谷歌还将在2019年推出新的扩展Manifest v3,它将具有“更强的安全性、隐私性和性能保证”。
