venerdì 1 dicembre 2017

Google impedirà ai software di terze parti l'injection code in Chrome.


Google nella giornata di ieri, con un post sul blog Chromium, ha annunciato alcune novità importanti per gli utenti del browser Chrome. Dalla metà del prossimo anno, in maniera tale da migliorare le prestazioni e ridurre i crash causati dal software delle terze parti su Windows,  non sarà più consentito alle app di terze parti di iniettare codice all'interno di Chrome. Le "prime vittime" di questa modifica saranno proprio gli antivirus e altri software di sicurezza, i quali spesso eseguono l'injection code nei processi del browser per intercettare e scansire malware, pagine di phishing e altri rischi. 

Nonostante ciò Google è intenzionato a proseguire su questa strada perchè, oltre a riuscire a bloccare così molti malware, ritiene di venire incontro ad un problema che riguarda una parte rilevante di utenti: Chris Hamilton del Chorme's Stability Team conferma che 2/3 di tutti gli utenti che usano Chrome usano app che iniettano codice in Chrome: questi utenti hanno il 15% in più di possibilità di subire crash del sistema. 

L'azienda statunitense ha annunciato quindi un programma  che si svolgerà l'anno venturo attraverso 3 successivi passaggi:
  1. Nell'Aprile 2018 Chrome 66 inizierà a mostrare agli utenti affetti un avviso dopo un crash: ciò per avvisarli del fatto che un altro software sta iniettando codice in Chrome. Li guiderà quindi nell'update e nella rimozione del software.
  2. Nel Luglio 2018, Chrome 68 impedirà ai software di terze parti di iniettare codice nei processi di Chrome. Se questo blocco impedirà a Chrome di avviarsi, il browser si riavvierà e consetirà il code injection, ma mostrerà un alert che guiderà l'utente nella rimozione del software. 
  3.  Gennaio 2019 -  Dal prossimo Gennaio, però è in arrivo la novità più importante. Non ci saranno infatti più scappatoie e con il lancio della versione 72 di Chrome, Google bloccherà completamente l'inserimento del codice da ogni software di terze parti. 
Ci saranno comunque alcune eccezioni. Google Chrome continuerà infatti a consentire l'iniezione di codice firmato da Microsoft, il software di accessibilità e l'IME (Input Method Editor). Il post pubblicato sul blog ieri, è anche una notifica preventiva per tutti gli sviluppatori di applicazioni che continuano ad approntare funzioni che si basano sull'injection code.

Google raccomanda ai vendor di software di abbandonare quindi l'antiquata tecnica del code injection per passare a forme più avanzate: ad esempio consiglia di  usare le moderne caratteristiche di Chrome, come le estensioni del browser e ll "Native Messagging API".

Stando all'azienda statunitense, entrambi i metodi possono essere utilizzati dagli  sviluppatori per salvaguardare le proprie funzionalità dal rischio di blocchi del browser. '

'
Un numero inferiore di crash comporta utenti più felici, e noi siamo impazienti di continuare a rendere Chrome migliore per tutti''- ha affermato Google sintetizzando il suo post sul blog.

Nessun commento:

Posta un commento