Новости про Google, безопасность и разработчики

Средство Assembler объединяет различные существующие техники для выявления распространённых типов манипуляций, включая изменение яркости и вставку скопированных пикселей для сокрытия монтажа и придания идентичной визуальной текстуры. Также в системе есть детектор дипфейков, по типу создаваемых StyleGAN, алгоритмом генерации реалистичных лиц.

При своей работе система сообщает пользователям, насколько вероятен факт подделки изображения.

Безусловно, Assembler является хорошим шагом для борьбы с манипулятивными медиа, однако он покрывает не все техники манипуляции, включая те, что используются в видео, так что разработчикам ещё есть над чем трудиться.

«Также всё это существует в виде отдельной платформы, от каналов, где исследуемые изображения обычно публикуются. Эксперты рекомендуют технологическим гигантам, таким как Facebook и Google, внедрить эти типы детекции непосредственно в свои платформы. Такой способ проверки может быть проведен почти в реальном в времени, по мере загрузки и распространения видео и фотографий», — говорится в отчёте Массачусетского Института Технологии.

В операционной системе OS X существует похожий процесс, называемый Gatekeeper, а Windows 10 вообще блокирует установку приложений не из магазина. В Android при попытке установки неверифицированного приложения, вы увидите уведомление об этом. Чтобы продолжить установку потребуется набрать «продолжить» в специальном поле, что требует несколько больше усилий, чем нажать кнопку «OK» даже не всматриваясь в суть сообщений на экране.

Предупреждение также содержит название приложения и его разработчика, что должно позволить вам защититься в случае фишинговой атаки. Кроме того, такой подход позволяет разработчикам приступить к тестированию приложения, не дожидаясь прохождения верификации.

«Мы являемся приверженцами создания здоровой экосистемы, как для пользователей, так и для разработчиков», — заявили Навин Агарвал и Уисли Чан в блоге Google. «Эти новые отметки проинформируют пользователей автоматически, если они будут подвержены риску, позволив им принять проинформированное решение для сохранения информации в безопасности, а также сделать тестирование и разработку приложений более простыми».

Чтобы снизить риски возникновения подобных ошибок в будущем, Linux Foundation анонсировала организацию новой группы, которая должна помочь предотвратить возникновение новых проблем, подобных Heartbleed .

В эту группу, названную Core Infrastructure Initiative, вошли ряд компаний, включая таких гигантов как Microsoft, Google, Intel, Amazon, Facebook, Dell, IBM. Основной целью группы станет помощь членам ассоциации свободного ПО в проектах, которым требуется поддержка, и первостепенной задачей станет помощь OpenSSL. Члены Core Infrastructure Initiative постараются вложить в проект средства, чтобы повысить его безопасность, наряду с ускорением выпуска патчей.

По поводу присоединения к группе компания Microsoft, в лице директора по программной безопасности Стива Липнера, сообщила: «Безопасность — это вопрос, касающийся всей отрасли и требующий сотрудничества всей отрасли. Core Infrastructure Initiative согласуется с нашим участием в проектах с открытым исходным кодом и улучшении в разработке безопасности во всех платформах, устройствах и сервисах».

Кроме членов-участников группы каждый имеет возможность помочь повысить безопасности финансово. Эти средства будут использованы Linux Foundation и/или проектом Core Infrastructure Initiative.

Новая политика вступает в силу в январе для каналов стабильных сборок и бета версий, а это означает, что ужесточённая политика коснётся лишь конечных пользователей, и не затронет разработчиков и корпоративных клиентов, имеющих локальные плагины.

Ерик Кэй, директор по инжинирингу в Google заявил, что существующий механизм безопасности подвергается риску, в случае если расширение устанавливается тихо безо всяких сообщений. Это подозрительное расширение затем может делать различные вещи, включая изменение настроек браузера, замену вкладки с сайтам без разрешения и т.д. Он отметил, что на это было много жалоб, в связи с чем компания решила избавить от этого пользователей в Chrome для Windows.

После того, как разработчики столкнутся с проблемой, они смогут легко перенести приложения в Chrome Web Store. Процесс миграции не скажется на пользователях, которые продолжат пользоваться расширениями даже не заметив изменений. Есть правда одна не очень приятная деталь. Дело в том, что Google требует за регистрацию разработчика расширения единоразово заплатить 5 долларов США и по 5% за каждую транзакцию, сделанную через Chrome Web Store Payments, встроенную платёжную систему.

Данное изменение станет последним в ряде изменений браузера, направленных на повышение безопасности. Недавно компания также добавила специальную кнопку сброса, которая возвращает браузер в первоначальное состояние, какое было сразу после его установки. Эта кнопка может оказаться полезной, если пользователь заметил за обозревателем какое-то странное поведение.

Они считают, что самым слабым местом в сетевой безопасности являются пароли, поскольку людям приходится запоминать длинные сложные комбинации знаков для каждой учётной записи. Надо признать, что в большинстве случаев люди используют одинаковые или похожие пароли для всех учётных записей. Конечно, проведение ликбезов в этой области важно, но это не выход из ситуации.

Решение же проблемы Google видит в использовании маленьких USB ключей, которые хранят ваши онлайн идентификаторы.

Суть в том, что физическое устройство не только позволяет хранить множественные пароли, как для вэбсайтов, так и для входа в ОС, но его также тяжелее скопировать. Сейчас злоумышленник может украсть ваши пароли, находясь на другом конце Земли, однако он не сможет добраться до вашего кармана, где лежит USB брелок.

В январе компания Google обещает выпустить документа, в котором отдел безопасности компании раскроет способы реализации таких брелков и расскажет о протоколе работы этих устройств для аутентификации пользователей.

Также команда разработчиков занята работой над модификацией браузера Google Chrome, для обеспечения его работы с YubiKey, криптографической USB картой, которая уже может использоваться для менеджмента паролей. Однако после проведенных модификаций браузер от Google сможет работать с YubiKey автоматически, без дополнительной настройки.

В будущем же в Google хочет видеть ещё более простые и беспроводные средства ауентификации, которыми могут стать сотовые телефоны или даже кольца на пальцах.