בהמשך לפוסט בבלוג שלנו בנושא הגנה על משתמשי Windows מפני תוספים זדוניים, אנחנו אוכפים את השינויים הבאים החל מגרסת הבטא של Chrome 33 ומערוצים יציבים ל-Windows:
- המשתמשים יכולים להתקין רק תוספים שמתארחים בחנות האינטרנט של Chrome, מלבד התקנות באמצעות מדיניות הארגון או מצב מפתח.
- תוספים שהותקנו בעבר אבל לא התארחו בחנות האינטרנט של Chrome יהיו מושבתים באופן קשיח (כלומר המשתמש לא יוכל להפעיל שוב את התוספים האלה), מלבד התקנות באמצעות המדיניות הארגונית או מצב הפיתוח.
מה הנימוק של המדד הזה?
אפשר לקרוא את המאמר הגנה על משתמשי Windows מפני תוספים זדוניים.
מה צריך לעשות לגבי תוספים שמתארחים כרגע מחוץ לחנות האינטרנט של Chrome, ומתי?
אם התוספים שלכם מתארחים כרגע מחוץ לחנות האינטרנט של Chrome, עליכם להעביר אותם לחנות האינטרנט של Chrome בהקדם האפשרי. השינויים שתוארו למעלה כבר נכנסו לתוקף ב-Chrome 33 Beta ל-Windows, והם ייכנסו לתוקף ב-Chrome בגרסת הבטא של Chrome 33 ל-Windows (בסביבות סוף פברואר 2014). לאחר שתעבירו את התוספים לחנות האינטרנט של Chrome, לא תהיה לכך השפעה על המשתמשים שלכם, והם יוכלו להמשיך להשתמש בתוסף כאילו שום דבר לא השתנה. אם אתם מעבירים את התוספים לחנות האינטרנט של Chrome, התחילו לבדוק מיד ב-Chrome 33.
מה יקרה אם אעביר את התוסף לחנות האינטרנט של Chrome בעתיד? האם אאבד את כל המשתמשים?
ברגע שהאכיפה תושק בגרסה היציבה/בטא של Chrome 33 ל-Windows, יושבת באופן קשיח אצל המשתמשים. עם זאת, אם התוסף יועבר לחנות האינטרנט של Chrome אחרי ההשקה, המשתמשים יוכלו להפעיל באופן ידני את התוסף שהועבר מדף ההגדרות של התוספים (chrome://extensions) או מדף האפליקציה בחנות האינטרנט של Chrome.
מה קורה אם אני רוצה להגביל גישה של משתמשים מסוימים או למנוע את פרסום התוסף שלי בחנות האינטרנט של Chrome?
תוכלו להגביל את הגישה לתוסף שלכם על ידי הגבלת החשיפה שלו לבודקים נאמנים, או על ידי הסרת התוסף מחנות האינטרנט של Chrome.
אילו מערכות הפעלה וערוצי Chrome יושפעו מהשינוי הזה?
השינויים תקפים רק לערוצים יציבים ובטאים של Windows, החל מ-Chrome 33.
האם זה ישפיע על היכולת שלי לפתח את התוספים שלי ב-Windows?
לא. עדיין אפשר לטעון תוספים לא ארוזים במצב מפתח ב-Windows. בנוסף, תוכלו להמשיך לפתח תוספים בערוץ הפיתוח של Chrome או ב-Canary, במקרים שבהם השינויים האלה אינם יעילים.
איך אפשר להפיץ את התוסף אם לא ניתן להעלות אותו לחנות האינטרנט של Chrome מסיבות הקשורות למדיניות?
השינויים האלה תקפים רק בערוץ היציב ובערוץ הבטא של Windows. משתמשים שרוצים לקבל תוספים שלא מתארחים בחנות האינטרנט של Chrome יכולים לעשות זאת בערוצי Chrome Dev/canary ב-Windows או בכל ערוצי Chrome במערכות הפעלה אחרות.
למה לא ניתן לפתור את הבעיה הזו באמצעות הגדרה/אפשרות לטעינת תוספים שאינם מתארחים בחנות האינטרנט של Chrome?
בשונה ממערכות הפעלה מודרניות למכשירים ניידים, Windows לא פועלת בארגז חול. לכן, לא נוכל להבחין בין משתמש שהסכים להגדרה הזו לבין אפליקציה מקומית זדונית שמבטלת את הגדרת המשתמש.
מהן אפשרויות הפריסה הנתמכות לתוספים אחרי השינוי?
בנוסף למשתמשים שמתקינים תוספים מחנות האינטרנט של Chrome, עדיין תהיה תמיכה באפשרויות הפריסה הבאות:
- ב-OSX וב-Linux, ניתן להתקין תוספים באמצעות קובץ JSON עם העדפות.
- ב-Windows, ניתן להתקין תוספים דרך המרשם של Windows. ברישום של Windows, מוודאים שמפתח הרישום update_url מפנה לכתובת ה-URL הבאה: https://clients2.google.com/service/update2/crx. התקנות מקומיות של .crx דרך מפתח רישום הנתיבים הוצאו משימוש. שימו לב שאפשרות הפריסה הזו פועלת רק בתוספים שמתארחים בחנות האינטרנט של Chrome, וש-update_url לא יכול להפנות למארח אחר מלבד https://clients2.google.com/service/update2/crx.
- עבור ארגונים, נמשיך לתמוך במדיניות הקבוצתית כדי להתקין תוספים, ללא קשר למיקום שבו התוספים מתארחים. שימו לב: כדי שהמדיניות בנושא GPO תהיה יעילה, המחשב של המשתמש צריך להצטרף לדומיין.
האם יש שיקולים אחרים שצריך להביא בחשבון לגבי תוספים שתלויים בקובץ בינארי מקורי של אפליקציה?
בעבר, כשהייתה תמיכה בתוספים מחוץ לחנות, הייתה אפשרות לעדכן ב-Lockstep את הקבצים הבינאריים של האפליקציות של הצד השלישי ואת התוסף שפועל ממקור לא ידוע. עם זאת, תוספים שמתארחים בחנות האינטרנט של Chrome מתעדכנים באמצעות מנגנון העדכון של Chrome, שלא נמצא בשליטת המפתחים. מפתחי תוספים צריכים לשים לב לעדכוני תוספים שתלויים בקובץ הבינארי של האפליקציה המקורית (לדוגמה, תוספים באמצעות העברת הודעות מותאמת או תוספים מדור קודם עם NPAPI).
מה המשתמשים יראו כשהתוסף שלהם שלא בחנות הפיזית יושבת כתוצאה מההשקה הזו?
תוצג להם ההודעה "תוספים חשודים הושבתו" עם קישור למאמר התמיכה הזה.
למה מופיעה בועה עם הכיתוב "השבתת תוספים של מצב מפתח" כשטוענים תוסף לא ארוז בערוצי Windows יציבים/בטא?
אנחנו לא רוצים שמצב הפיתוח ישמש וקטור התקפה להפצת תוספים זדוניים. לכן אנחנו מודיעים למשתמשים על תוספים של מצב פיתוח בערוצים יציבים/בטא של Windows ולתת להם אפשרות להשבית את התוספים האלה.