Partendo dalla versione di Chrome 25, le estensioni installate in modalità offline da applicazioni terze, non saranno attive sino a quando l’utente non darà una esplicita conferma. Al momento gli sviluppatori possiedono diverse opzioni che consentono loro di aggiungere estensioni al browser di Google durante l’installazione di altro software. Una di queste opzioni coinvolge l’inclusione di speciali comandi dati al registro di sistema che informano Chrome che una nuova versione di una estensione è disponibile, e che deve essere abilitata.
“La funzionalità è stata creata per consentire l’installazione di estensioni in Chrome come parte di altro software da installare,” afferma un portavoce di Google. “Sfortunatamente, questa possibilità è stata largamente sfruttata in maniera incondizionata da compagnie di terze parti per installare di nascosto estensioni di Chrome non specificatamente richieste ed autorizzate dall’utente.” Al fine di prevenire quindi questo tipo di abuso, con Chrome 25 ogni estensione installata automaticamente da altra applicazione sarà disabilitata di default. Durante il prossimo avvio di Chrome, all’utente sarà presentata la richiesta di abilitazione di una estensione non installata manualmente, così che si possa prendere la decisione di abilitarla o mantenerla silente. Inoltre, durante il primo avvio di Chrome 25, ovvero subito dopo l’aggiornamento del browser, ogni estensione presente sarà disabilitata, e sarà l’utente a doverle abilitare una per una. Mozilla ha implementato un meccanismo molto simile già da un anno, per evitare lo stesso problema. La decisione di Google è evidentemente dettata dal dilagare di attacchi condotti attraverso l’installazione non voluta di applicazioni per browser, i plugin, che vengono utilizzati per veicolare attacchi hacker.
Ad esempio, nel Maggio scorso la fondazione Wikimedia ha presentato un alert circa una estensione di Google Chrome che inseriva pubblicità non previste dalle pagine di Wikipedia; ed in Giugno Google stesso ha limitato l’installazione delle estensioni di Chrome, facendo in modo che fossero associate al browser solo attraverso il canale ufficiale Chrome Web Store. Con la nuova stretta di vite che riguarda l’installazione offline, si cerca quindi di correre ai ripari per limitare il fenomeno del software malevole che, in ultima analisi, ledono anche la popolarità e la sbandierata sicurezza del browser Chrome.
