Chrome浏览器中新增反恶意软件广告功能

谷歌宣布在Chrome浏览器中新增三个安全功能,阻止网站在未经用户或网站所有人同意的情况下悄悄将用户重定向至新的网址。

虽然所有的这三个功能都广受欢迎,不过其中有一个功能有可能让一些恶意广告在行进中消逝,而且可能瓦解恶意软件在未来几个月的进展。

Chrome将拦截内嵌框架重定向

这三个安全功能中最重要的一个功能将出现在于2018年1月末官方发布的Chrome64中。

(adsbygoogle = window.adsbygoogle || []).push({});

从v64版本开始,Chrome将会拦截由页面内嵌框架内部加载的代码所触发的URL重定向尝试。多数网站所有人在创建自己的站点时并不会使用内嵌框架,而内嵌框架通常会出现在通过广告加载的页面上。

恶意广告将使用加载到这些内嵌框架中的JavaScript代码将用户重定向至恶意网站。通过拦截内嵌框架重定向用户,谷歌会从明年开始拦截恶意广告。

阿拉巴马大学伯明翰分校的计算机取证研究主任GaryWarner指出,谷歌的这一措施将会起到很大的作用。受恶意广告攻击最严重的是依靠广告网络传播恶意广告的人。他们在传播基础设施方面投入巨大,在某些情况下他们甚至不惜收购广告公司来传播恶意软件。遗憾的是,它可能带来的副作用是,传播“本地”恶意软件的现象可能会因此而上涨。他指的是托管在被黑站点上的恶意软件,而不是通过将用户重定向至利用包的恶意广告活动传播的恶意软件。

但是恶意广告的表现形式多样,而谷歌新增的安全功能不会终结所有的恶意广告形式。例如,依靠由被黑站点组成的僵尸网络的恶意广告活动,它的重定向含在被黑站点的源代码中而非通过内嵌框架实现,这些恶意广告活动可能不会受影响。

Tab-under将不复存在

不过,谷歌还推出了其它让犯罪分子头疼的新功能。

第二个安全功能是拦截tab-under(“页签下”)行为的一种新机制。Tab-under是一种比较新的概念,它说明的是网页在新页签下打开链接后将旧页签重定向至新URL。

不止是恶意广告商、普通广告商也在使用tab-under,主要原因是它们绕过Chrome的内置弹出消息拦截器,从而让广告商打开推送恶意产品、服务或站点的多个页签。

这个功能将会在Chrome65中发布,该版本定于在2018年3月初发布。谷歌通过上述两个安全功能拦截恶意(内嵌框架或tab-under)重定向,并在页面地面展示工具栏,详细说明被拦截行为的详情。

拦截重定向用户的误导性UI元素

谷歌新增的第三个安全功能是“滥用体验报告”,是以网站黑名单的形式出现的。这些网站使用误导性的UI元素,在未经用户同意的情况下重定向用户。

谷歌指出,这些(误导性UI元素)包含伪装成播放键或其它网站控制的第三方站点的链接,或者是网站上的透明覆盖图,抓取所有的点击和开放的新页签或窗口。

在谷歌上注册了站点的网站所有人将会在谷歌控制台的“滥用体验报告”部分收到关于这种误导性质的UI元素的警告信息。谷歌表示从明年1月份开始,没有处理这些报告的网站所有人将会通过Chrome内置弹出消息拦截器经由这些误导性元素触发重定向。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏北京马哥教育

Linux Shell从入门到删除根目录跑路指南

shell 作为一门 linux 下使用广泛的系统语言,语法简单,上手容易,但是想要用好,少犯错误,也不是那么容易的一件事,可谓虽是居家旅行之良药,但也是杀人灭...

3257
来自专栏北京马哥教育

sqlserver、Mysql、Oracle三种数据库的优缺点总结

? 一、sqlserver 优点: 易用性、适合分布式组织的可伸缩性、用于决策支持的数据仓库功能、与许多其他服务器软件紧密关联的集成性、良好的性价比等; 为...

4676
来自专栏数据和云

Oracle 12.2以及版本计划

在刚刚结束的Oracle 38周年大会上,12.2版本的发布日期被披露出来,预计12.2将在2016年上半年发布,而相应的,Oracle 11.2.0.3版本的...

3569
来自专栏Crossin的编程教室

【Git 第1课】 什么是Git?

今天起,我会在微信推送文章里穿插一个新的系列:Git。和之前Python入门教程不同,这个系列需要有一点编程的经验。倒不是因为它很难,只是如果没有开发过稍大一点...

32610
来自专栏Zephery

谈谈个人网站的建立(七)—— 那些建站必备的插件

欢迎访问我的网站http://www.wenzhihuai.com/ 。感谢,如果可以,希望能在GitHub上给个star,GitHub地址https://gi...

4427
来自专栏python小白到大牛

python黑科技:让你无所遁形,附源码!

懂的人肯定看到标题就明白了,这就是木马程序,从第一句话就看得出来。注册表是个什么东西?这个是黑客、网络安全工程师必须精通的一项技术,所有的木马、病毒基本都是通过...

3454
来自专栏林喜东的专栏

你的账号安全吗?

账号安全无小事,近些年持续不断爆出的安全事件,有很多低级错误其实都是拥有一个健壮的账号体系可以避免的;多次听闻后曾写一写账号安全相关的东西,但直...

2694
来自专栏web前端教室

领读《深入浅出NODEJS》—第二章 模块机制

领读,领你读,把书的重点提出来。尝试以知识管理、快速阅读的方式来学习。 为什么要写这个类型的文章呢?第一是想要学习NODEJS了,第二是觉得之前写了那么多的学习...

2178
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–现金管理(160)-28现金集中-F111运行清算付款请求

4.8.3 F111通过 F111-付款运行清算付款请求 可以使用付款程序对客户和供应商进行付款,或在总分类帐户间使用。和标准付款程序不同,此付款不是建立在未清...

3997
来自专栏程序员互动联盟

我在苹果公司学到的编程技巧

当我还在苹果在线商店工作的时候,我们从来没有对在线网站做过负载测试。我们也不觉得需要这么做。然而,当每次史蒂夫·乔布斯在演示某个幻灯片过程中切换到在线商店时,会...

34312

扫码关注云+社区

领取腾讯云代金券