משתמשים בוואטסאפ בדפדפן? תוסף האבטחה החדש של וואטסאפ הוא בשבילכם

מטא, חברת האם של וואטסאפ, משיקה ביחד עם ענקית הרשת Cloudflare תוסף אבטחה חדש, שיוודא שהקוד שרץ לכם בדפדפן הוא הקוד הנכון והאמיתי

מקור: Meta

למרות המוניטין "המעורב" נקרא לזה של פייסבוק בכל הקשור לשמירה על מידע, מטא לא מפסיקה להדגיש את נושאי האבטחה, הפרטיות וההצפנה של מוצר הדגל שלה – וואטסאפ. כעת משיקה מטא תוסף חדש לדפדפנים, כדי לוודא שגרסת הווב של וואטסאפ והשיחות שלנו – אכן בטוחים.

מוודא שהקוד שלכם תקין

מטא הכריזה בפוסט חדש בבלוג שלה על תוסף בשם Code Verify המיועד לדפדפנים מבוססי כרומיום (כרום ואדג') ופיירפוקס, ונועד לשפר את רמת האבטחה של קליינט הווב המאוד פופולרי שלה: Whatsapp Web. התוסף החדש בוחן את הקליינט בזמן אמת, כדי לוודא שהקוד שרץ בפועל, הוא הקוד המקורי של החברה, ולא כזה שמישהו התעסק איתו, והוסיף לו כל מיני סוכריות.

ענקית הטכנולוגיה חברה ל-Cloudflare כדי להוציא לפועל את המהלך, ואף חלקה איתה ה-Hash הקריפטוגרפי (ערך הגיבוב) לקוד הג'אווה סקריפט של גרסת הווב של וואטסאפ. כך, לאחר שתתקינו את התוסף, בכל פעם שתטענו את Whatsapp Web תישלח בקשה לשרתי קלאודפלייר – שיבחנו את הגרסה שלכם, יוודאו שהיא תקינה ויעבירו לכם את ה-Hash הנחוץ לפתיחת העמוד של הקליינט.

בלעדי התוסף, אם מישהו מצליח לדוג אתכם לאתר מתחזה, שנראה כמו וואטסאפ ווב, אתם תהיו חשופים לקוד זדוני; אך בזכות היכולת לוודא את הקוד מול Cloudflare, תוכלו לראות זאת מייד באייקון התוסף לדפדפן – שמשתמש בשיטת "רמזור" כדי לעדכן אתכם באמיתות הקוד.  אם הכל תקין, תקבלו סימון V ירוק, שיאמר לכם שהכל בסדר. מנגד, תוכלו לקבל אור צהוב עם סימן שאלה כשיש "סיכון אפשרי" – ככל הנראה בגלל תוסף דפדפן אחר ששינה את קוד העמוד; או סימן קריאה על רקע אדום עם הודעה על "שגיאה באישור הקוד" במקרה הכי קיצוני.

מקור: Meta

בפוסט שמציג את התוסף החדש, מבהירה מטא כי אין צורך להתעסק עם התוסף לאחר התקנתו, והיא זו שאחראית על פעולה חלקה מול Cloudflare – כשיעודכן התוסף או אם ישתנה ה-Hash של גרסת הווב.

הפיתוח החדש מסייע ביכולת אחרת חדשה יחסית של וואטסאפ – היכולת  להתחבר לעד ארבעה מכשירים במקביל ומבלי שנצטרך להיות בהכרח מחוברים לרשת (בדומה לאפליקציות דוגמת טלגרם). מכיוון שלא מעט מהחיבורים המרובים הללו יהיו דרך המחשב, וספציפית דרך הקליינט המאוד פופולרי של Whatsapp Web, רוצה מטא להקטין את הסיכויים למתקפות נגד משתמשי וואטסאפ ופיתחה את התוסף החדש לדפדפן.

פעולה חלקה – לא באדג'

מההתנסות ראשונית שלנו בדפדפן, הוא עובד מהר מאוד, ולא ניכרת השפעה על זמן הטעינה של וואטסאפ ווב. בדקנו את התוסף בכרום ופיירפוקס כמעט ללא בעיות מיוחדות, למעט באחד מהמחשבים שתוסף כלשהו, שמריץ סקריפטים של Javascript באתרים, פגם בפעולה שלו, מה שהוביל לכך ש-Code Verify הציג בפנינו את הסימון הצהוב על "סיכון אפשרי". עם זאת, לאחר ניטרול התוסף בעמוד הזה, קיבלנו V ירוק, שמסמן שהכל בסדר. דווקא Edge של מיקרוסופט הציג הודעת שגיאה אדומה בוהקת על בעיה באישור הקוד – למרות שניטרלנו כל תוסף אפשרי. התוסף גם הציע לנו לבדוק את קוד המקור ולהוריד אותו – אך כשניסינו לעשות זאת פשוט קיבלנו שגיאה לפיה האפשרות לא באמת קיימת עדיין.

התוסף החדש פותח במסגרת פרויקט הקוד הפתוח של מטא, והריפו שלו זמין לכולם בגיטאהב. התוסף עצמו זמין להורדה עם השקתו עבור כרום, Edge ופיירפוקס.

עוד סיפורים כאלו מחכים לכם עכשיו עוד סיפורים כאלו מחכים לכם עכשיו בערוץ העדכונים הרשמי של גיקטיים

אושרי אלקסלסי

Your Friendly Neighborhood Geek. יש לכם סיפור טכנולוגי? דברו איתי: [email protected]

הגב

15 תגובות על "משתמשים בוואטסאפ בדפדפן? תוסף האבטחה החדש של וואטסאפ הוא בשבילכם"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
יגיל
Guest

ווצאפ דואגים לאבטחה שלנו? כמה בולשיט
הם פשוט מודאגים מהתוספים שנותנים אסטרא פיצ'רים מעל גירסת הדפדפן.
במובייל הם מכריחים להתשמש באפליקציה שלהם ולא פותחים אותה לתוספים, כמו שלמשל טלגרם מאפשרים. הם גם לא מוכנים לחשוף API. ואז כשסופסוף בדפדפנים יש אפשרות להתממשק, הם חוסמים מ"טעמי אבטחה" עלק

nope
Guest

במקום לבזבז זמן על פלטפורמה שצועקת מי אבו שוקרי המקורי, אולי תורידו את הדרישה הדבילית הזו להשאיר את הטלפון דלוק כשמשתמשים בדפדפן?

שניצל
Guest

לא קראת את הכתבה בכלל אה..?

גדי
Guest

דבר ראשון, פיירפוקס לא מבוסס על כרומיום אלא על קוואנטום, אז יש לכם טעות קטנה בכתבה.

דבר שני, למי שלא רוצה שהטלפון שלו יצטרך להשאר דולק כדי לעבוד עם ווטסאפ במחשב, שיצטרף לבטא של ווטסאפ, ושם לא תצטרך.

עמיר כהן
Guest

תלמד לקרוא. הוא כתב לכרומיום, ושם את כרום ואדג׳ הסוריים, ובנוסף גם לפיירפוקס. עברית 2.0

איציק
Guest

השועל לא מבוסס על כרומיום – תחזרו בבקשה ליקום המקביל שלכם!

יאפ
Guest

הלו הלו!!!! פיירפוקס זה לא כרומיום!!
קריטי!

משה
Guest

תוסף שלם רק בשביל ווצאפ? לא יכלו כבר לעשות שיעבוד על כל אתר?

אבו שוקרי המקורי
Guest
אבו שוקרי המקורי

הסכם הפרטיות זה כזה – "פייסבוק יכולה ותוכל להשתלט על חשבונות, לשאוב מידע, לאתר מיקום, לעשות לייקים לעצמה, בעצמה, לא בעצמה, לא לעצמה, לאכול, לתת גרעפס, להקיא, לגהק ולישון בשם המשתמש…מסכימים :)))))? "

בקיצור….לא תודה

מהנדס באפל
Guest

זה משעשע. גוגל עושה אותו הדבר, היא גם לא מסתירה שהיא קוראת את המיילים ועוקבת אחריך גם כשאתה באינקוגניטו. בניגוד לפייסבוק, היא לא משתמשת במזהה של המכשיר אלא במשהו שלא תלוי בו וזה דווקא אמור לעורר יותר חשד.
ובניגוד לפייסבוק, כמעט כל אתר משתמש בשירותים של גוגל(אנליטיקס וכו) כך שהם עוקבים אחרינו אפילו בלי לתת לנו המשתמשים שום תמורה או תועלת.

רפי
Guest

לא הבנתי… האתר מוארח ב-443 SSL. אני לא מבין איך ניתן "להזריק" קוד לדפדפן בלי שהוא יצעק שמשהו לא תקין באבטחה של האתר. האם מדובר על הזרקה לוקאלית? כלומר, התקנתי תוסף שמתעסק לי עם ה-Javascript? אם כן, התוסף הזה יכול תיאורתית גם לגעת בתוסף של Meta. בקיצור, לי זה נשמע די חרטא. מישהו יכול לשכנע אותי אחרת?

yoni
Guest

צדקת בהכל חוץ מזה שתוסף לא יכול לגעת בתוסף אחר.

מהנדס
Guest

בגדול כל מה שהתוסף הזה אומר לך, זה האם אתה באתר המקורי של ווצאפ או לא. שלא יעשו לך פישינג של אתר שנראה בדיוק אותו הדבר
איך הם עושים את זה? האשינג לקוד JS. למה האשינג? כדי לוודא שזה אכן הקוד של ווצאפ. למה לא פשוט לוודא URL? לא יודע, שאלה טובה. אולי כדי לעשות את זה פתוח לשינויים עתידיים בURL או וואטאבר. בכל מקרה אין פה איזו טכנולוגיה חדשנית

שניצל
Guest

אוקיי, אני אחכה קצת עד שיצא תוסף שבודק את האותנטיות של הCloudflare, ורק אז ארשה לעצמי להתחבר לווטסאפ.

דני
Guest

שטויות, הם סך הכל רוצים לקבל עוד DATA של משתשמשים, כי בשונה מגוגל להם אין דפדפן משלהם

wpDiscuz

תגיות לכתבה: