Les problèmes de sécurité posés par ces outils que l'on peut ajouter aux navigateurs se multiplient ces dernières années.
Nombreuses sont les extensions à demander de larges accès, parfois à des fins malveillantes, les utilisateurs ne faisant pas toujours attention au moment de l'installation. Mais contrairement aux OS mobiles, peu de mécanismes permettent de limiter les risques.
C'est ce que Google veut enfin changer avec Chrome 70. Ainsi, les utilisateurs pourront limiter l'accès aux données à un domaine en particulier, ou encore ne l'autoriser que suite à un clic. Les développeurs vont devoir s'adapter, un guide de transition ayant été mis à leur disposition.
Un nouveau type de manifeste (v3) sera introduit dans le courant de l'année prochaine pour simplifier les choses. Il permettra également de s'adapter à de nouvelles possibilités offertes par les Service Workers.
Les développeurs auront d'autres obligations : utiliser l'authentification à deux facteurs ou des autorisations les plus fines possibles. Google prévient que le processus de validation risque de s'allonger, notamment pour les extensions qui utilisent du code distant. Elles seront désormais scrutées avec plus d'attention.
Le code obfusqué sera également interdit, le géant du Net arguant qu'il n'est de toute façon pas efficace pour éviter que certains récupèrent le code de l'extension, celle-ci étant exécutée localement.
« 70 % des extensions que nous refusons et qui violent les conditions du Chrome Web Store contiennent du code obfusqué » se justifie Google, qui y voit plus de risque pour la communauté que d'intérêts pour les développeurs à titre individuel.
Ainsi, d'ici début janvier, toutes les extensions concernées seront retirées de la boutique virtuelle. Celles qui se contentent d'un code « minifié » (réduction des variables, retrait des espaces, réduction du nombre de fichiers) seront épargnées.
