Google會更新Chrome網上應用店審核流程并設置新的擴展程序代碼要求

谷歌今天宣布對Chrome網上應用店進行五項重大更改。前兩個現在正在發生：開發人員正在接受更嚴格的審核流程，Chrome網上應用店不再接受混淆的JavaScript文件。幾周后，Chrome用戶就可以選擇限制其擴展程序的主機訪問權限。在2019年，另外兩項更改將生效：Chrome網上應用店開發者帳戶需要兩步驗證，Google將推出擴展平臺的清單版本3。

Google經常打擊導致Chrome用戶體驗不佳的應用和擴展程序。2015年5月，Google開始屏蔽Chrome網上應用店中未列出的擴展程序。2015年9月，該公司禁用了某些Chrome擴展程序的內聯安裝，然后在2018年6月，它完全禁用了內聯安裝。

Google今天表示，Chrome網上應用店中有超過180,000個擴展程序，其中近一半的Chrome桌面用戶使用擴展程序。這些更改旨在為用戶提供更高的透明度和控制力，同時還幫助Chrome Web Store團隊減少惡意行為。

審核流程和新代碼可讀性要求的更改

今天生效，請求強大權限的擴展程序將受到額外的合規性審核。Google在此處未提供太多詳細信息，但它確實表示您的擴展程序的權限應盡可能縮小范圍，并且所有代碼都應直接包含在擴展程序包中，以最大限度地縮短審閱時間。如果您的擴展程序使用遠程托管代碼，Google也會仔細研究(并會持續監控)。

從今天開始，Chrome網上應用店將不再接受包含模糊JavaScript文件的新擴展程序，包括擴展程序包內的擴展程序包以及擴展程序包提取的任何外部代碼或資源。

此策略適用于所有新的擴展提交，而具有模糊代碼的現有擴展可以在接下來的90天內繼續提交更新。但是，如果不合規，它們將在1月初從Chrome網上應用店中刪除。

Google解釋說，目前該公司從Chrome網上應用店阻止的超過70%%的惡意和違反政策的擴展程序都包含模糊代碼。打擊混淆還有其他三個原因：它為審核過程增加了很多復雜性(因為它主要用于隱藏代碼功能)，它不足以保護專有代碼免受真正有動力的逆向工程師的影響(因為JavaScript代碼總是在用戶的機器上本地運行)，并且存在大量的性能成本(執行速度較慢，文件和內存占用增加)。

相反，谷歌建議縮小，因為它通常可以加快代碼執行，因為它減少了代碼大小，并且更容易審查。這包括刪除空格，換行符，代碼注釋和塊分隔符; 縮短變量和函數名稱; 并折疊JavaScript文件的數量。

如果您在Chrome網上應用店中有擴展程序，則應查看更新的內容政策和推薦的縮小技術。您需要在2019年1月1日之前提交新的合規版本。

用戶控制主機權限

從計劃于10月16日到達的Chrome 70開始(我們目前使用的是Chrome 69)，用戶可以選擇限制擴展程序主機訪問自定義網站列表或配置擴展程序以要求單擊以訪問當前頁面。

主機權限允許擴展程序自動讀取和更改網站上的數據，支持各種功能強大且具有創造性的用例，但Google表示它們還會導致各種惡意和無意的誤用。“我們的目標是提高用戶透明度并控制擴展程序何時能夠訪問網站數據，”Chrome擴展產品經理James Wagner解釋道。

在后來的Chrome版本中，Google計劃進一步調整其瀏覽器如何處理圍繞主機權限的用戶體驗。與此同時，如果您的擴展程序請求主機權限，則應查看轉換指南，并在接下來的兩周內進行必要的更改。

必需的兩步驗證和清單v3

在2019年，所有的Chrome Web Store開發帳戶必須注冊在兩步驟驗證。這需要通過手機或物理安全密鑰進行第二次身份驗證步驟，從而增加了額外的安全層。

熱門擴展可以吸引想要劫持相應開發者帳戶的攻擊者。如果您想要更強大的帳戶安全性，Google建議使用高級保護計劃，該計劃需要物理安全密鑰，并提供Google為其員工所依賴的相同級別的安全性。

最后，谷歌將在2019年推出其擴展平臺的下一個版本(具體時間和推出計劃將在稍后公布)。Manifest v3旨在創建更強大的安全性，隱私和性能保證。清單v3的主要目標包括：

更狹隘的范圍和聲明性API，以減少對過度廣泛訪問的需求，并使瀏覽器實現更高性能的實現，同時保留重要功能

用戶可以使用其他更簡單的機制來控制授予擴展的權限

現代化以與新的Web功能保持一致，例如支持Service Workers作為一種新型的后臺進程

Google承認所有上述更改都可能對擴展程序開發人員造成痛苦。“但我們相信，對于所有用戶，開發人員以及Chrome擴展生態系統的長期健康狀況來說，集體結果將是值得的，”Wagner認為。如果您有任何問題，意見或疑慮，請訪問Chromium擴展論壇。