cs 
Znáte ten pocit, když otevřete uživatelský prohlížeč a vypadá to tam jako na blešáku? Panely nástrojů, kupónové pluginy, poznámkové vychytávky, „produktivitní“ pomocníci… a nikdo pořádně neví, proč jich je tolik. Přidejte všudypřítomná okna „Přihlásit se pomocí Google/Microsoft“ a máte dvě stálé cesty, kudy mohou téct data ven: podezřelá rozšíření a rizikové OAuth aplikace.
Dobrá zpráva: ManageEngine Browser Security Plus (BSP) vám dává realistický, admin-friendly způsob, jak to celé zkrotit, aniž by se celá firma obrátila proti IT. Tenhle návod držíme lidsky a prakticky. Bez žargonu jen proto, abychom zněli chytře—jen jasné kroky, které fungují.
Co probereme:
- Proč jsou rozšíření měkký cíl a jak se zneužívají v praxi
- Jak ve skutečnosti funguje zneužití OAuth (a proč hesla a MFA někdy nestačí)
- Fázovaný plán zpevnění v BSP: inventura → allowlist → blokace podle oprávnění → utažení nastavení prohlížeče
- Chytrá nastavení prohlížeče, která snižují riziko kolem OAuth přímo na endpointu
- Kde končí BSP a kde přebírají vaše identity nástroje (Microsoft 365/Entra ID, Google Workspace)
- 30denní rollout plán
- Časté zádrhele a jak je obejít
Dva problémy, které ve skutečnosti řešíte
1) Rozrůstající se zoo rozšíření (aneb „proč má Kája 14 doplňků?“)
Rozšíření jsou malé aplikace uvnitř prohlížeče. Lidi je instalují, aby si ulehčili život: přeložit stránku, udělat screenshot, ukládat si výstřižky, blokovat reklamy, vyplnit formuláře… Háček: rozšíření umí číst obsah stránek, hrabat se v požadavcích, a někdy si sáhnou i na lokální počítač. To je spousta síly namířené na vaše klenoty—e-mail, dokumenty, chaty, finanční portály, HR nástroje, zdrojáky, prostě všechno.
Reálná rizika:
- Tichý přístup k datům. Některá rozšíření vidí obsah stránek a pošlou ho pryč.
- Manipulace s provozem. Doplňky s „network“ háky umí zachytávat požadavky, vkládat skripty nebo lovit tokeny.
- Mosty do lokálu. Rozšíření, která mluví s lokálními aplikacemi, mohou data vyvést nebo spouštět akce mimo dohled prohlížeče.
- Měňavky. Při instalaci nevinné, po „aktualizaci“ něco, co byste nikdy neschválili.
BSP na to jde jednoduše a účinně: uvidíte všechno nainstalované, určíte, co smí běžet, vypnete zbytek a (to je tajná zbraň) budete blokovat podle oprávnění, ne jen podle názvu. Když je nějaká schopnost obecně nebezpečná, zakážete ji všude.
2) Zneužití OAuth (aneb „consent phishing“)
Nejhorší na zneužití OAuth je, že to vypadá legitimně. Uživatel klikne na „Přihlásit se pomocí…“, vyskočí opravdové souhlasové okno od Microsoftu nebo Googlu a on dá třetí straně oprávnění číst e-maily nebo soubory. Žádná krádež hesla. Žádná falešná přihlašovačka. Naprosto normální flow.
Od té chvíle může útočník (nebo pochybná appka) používat tokeny k přístupu k datům—někdy hodně dlouho. Změna hesla ta oprávnění nevezme zpět. Musíte odvolat souhlas nebo aplikaci centrálně zablokovat.
Identity platformy na to mají páky—workflow pro admin souhlas, allowlist aplikací, skórování rizika. Ale BSP taky hraje velkou roli: na endpointu můžete snížit šanci, že se uživatel do takových flow vůbec dostane, a zkrátit život tokenům a cookies, které by jinak na stroji zůstávaly.
Co přináší Browser Security Plus do boje
BSP berte jako řídicí centrum prohlížečových politik a rozšíření:
- Inventura a klasifikace rozšíření napříč Chrome, Edge a Firefoxem. Kdo co má, kde, s jakými oprávněními.
- Allowlist/Blocklist rozšíření, takže běží jen schválené doplňky. Nové instalace můžete prostě vypnout.
- Blokace podle oprávnění (velká věc). Když nechcete, aby rozšíření zachytávala provoz nebo pracovala s tokeny, zakažte tyhle schopnosti všude. Jakýkoli doplněk, který je vyžaduje, se sám vypne.
- Přesun tvrdých nastavení do prohlížečů: blok třetích stran cookies, vynucení Safe Browsing/SmartScreen, zákaz přihlašování osobních účtů do prohlížeče, režim „jen session data“ a další.
- Filtrování webu a omezení downloadů, aby se lidi netoulali po špatných webech a nestahovali rizikové formáty z náhodných míst.
- Izolace nedůvěryhodného prohlížení v jednorázovém „kontejneru“—co se stane v tom tabu, umře v tom tabu.
- Reporty a alerty, abyste viděli drift a uklidili dřív, než z toho bude průšvih.
Praktický plán zpevnění (nasazujte po fázích)
Fáze 1 — Nejprve viditelnost, pak základní postoj
- Inventura všeho.
Pusťte přehled rozšíření v BSP. Vytáhněte seznamy podle prohlížeče, uživatele a stroje. Označte nejhorší kousky a všechno, co má široká/senzitivní oprávnění. To je vaše startovní mapa. - Vyberte baseline: allowlist nebo blocklist.
Jestli vás nebaví hrát na whack-a-mole, zvolte allowlist-first: schvalte krátký seznam legitimních rozšíření (správce hesel, SSO helper, Grammarly, firemní poznámkovač, schválený screen capture atd.) a zbytek blokněte. Vysvětluje se to snadno a vynucuje ještě snadněji. - Omezte zdroje instalací.
Držte instalace jen přes oficiální obchody a spravované kanály. Nedovolte uživatelům „sideloadovat“ zipy někde z netu.
- Inventura všeho.
Komunikační tip: Pošlete krátké, přátelské upozornění:
„Čistíme rozšíření v prohlížečích, aby byly účty bezpečnější a prohlížeče rychlejší. Zůstanou vám A, B a C. Pokud něco potřebujete navíc, požádejte tady. Reakce budou rychlé.“
Začněte pilotem v IT a jednom business útvaru na týden. Zjistěte, co (když už) praská, a pak rozšiřte dosah.
Fáze 2 — Buďte chytří: blokujte rozšíření podle oprávnění
Tady BSP opravdu září. Názvy se mění, vydavatelé taky—oprávnění ne. Když zakážete některé schopnosti, všechno, co je potřebuje, je zastaveno u dveří. Zvažte tři velké:
- identity (OAuth/token flow).
Většina rozšíření nepotřebuje vydávat OAuth tokeny. Pokud se na tom výslovně nezakládá nějaký vámi schválený doplněk, zákaz identity drží tokeny dál od nedůvěryhodných rozšíření. - webRequest (zachytávání provozu).
Často zneužívané k injekci reklam a šmírování provozu. Nemáte-li odůvodněné použití, prostě to blokněte. Síťaři vám poděkují. - nativeMessaging (most do lokálního OS).
Užitečné pro legitimní případy, nebezpečné pro exfiltraci. Když to fakt potřebujete, povolte výjimkou a co nejužší skupině.
Permission blacklist v BSP zastaví jakékoli rozšíření, které o tahle oprávnění požádá. Je to chirurgický řez rizika bez hádání, který brand se zblázní příští měsíc.
Jak to zavést bez chaosu:
- Začněte pilotem a blokujte jen jedno oprávnění (třeba webRequest). Sledujte dopady.
- Přidejte identity, potom nativeMessaging.
- U každé žádosti o výjimku se ptejte: Jaký byznys úkol padá? Které weby? Existuje bezpečnější alternativa? Když musíte povolit, ohraničte to.
Fáze 3 — Zmenšete „OAuth plochu“ nastaveními prohlížeče
OAuth není jen o souhlasovém okně. Je to o tom, co si prohlížeč pamatuje a co pustí mezi weby. Pár voleb udělá hromadu práce:
- Blok třetích stran cookies. Omezí cross-site trackování a některé přenosy tokenů. Ano, pár aplikací je potřebuje; od toho jsou cílené výjimky.
- Vynutit „jen data relace“ (ephemeral mode). Po zavření prohlížeče zmizí cookies, local storage i další session data. Tím zkrátíte život zbylým tokenům a starým relacím.
- Zakázat přihlašování osobních účtů do prohlížeče na firemních zařízeních. Když lidi přihlásí prohlížeč vlastním Google/Microsoft účtem, vznikne „cookie guláš“, mix syncu a nečekané souhlasové cesty. Držte firemní profil čistý.
- Nechat přísný Safe Browsing/SmartScreen a blokovat „přesto pokračovat“. Méně návštěv pochybných webů = méně pochybných souhlasových oken.
- Zakázat DevTools pro ne-vývojáře. Není to stříbrná kulka, ale méně příležitostí hrabat se v storage, tokenech a obcházet CSP.
Tohle vše pošlete z BSP a máte konzistenci napříč Chrome/Edge/Firefox. Bez GPO akrobacie a „v jednom prohlížeči to funguje, v druhém ne“.
Fáze 4 — Dejte neznámým webům pískoviště (izolace)
Neodhadnete každý web, kam uživatel zabloudí. Izolace je záchranná síť:
- Vaše důvěryhodné byznys aplikace dejte na seznam normálního režimu.
- Všechno ostatní se otevře v izolované relaci, která se po zavření vymaže.
- Uživatelé mohou dělat výzkum, číst, zjišťovat—ale co se snaží ten web nechat na stroji, nezůstane.
Spárujte izolaci s Web Filteringem (blok kategorií se špatnou pověstí, nově registrované domény, kryptotěžba apod.) a omezeními stahování (blok rizikových typů souborů z nedůvěryhodných míst). Jednoduché páky, velký efekt.
Kde ve skutečnosti žije governance pro OAuth (a jak to BSP doplňuje)
Ať je to jasné: BSP nerozhoduje, které OAuth appky smí do vašeho Microsoft 365 nebo Google Workspace tenantů. To je práce identity týmu. Rozdělení je takhle:
Ve vaší identity vrstvě (udělejte tam):
- Zapněte workflow pro admin souhlas, aby uživatelé nemohli nasypat vysoká oprávnění náhodné appce.
- Pravidelně kontrolujte aplikace třetích stran. Dejte allowlist legitimním, zbytek zakažte nebo omezte.
- Odebírejte staré souhlasy a tokeny při offboardingu nebo změnách v týmu.
Na endpointu s BSP (udělejte tady):
- Omezte, jak často se uživatel dostane do podezřelých souhlasových flow (web filtering, Safe Browsing, izolace).
- Zkraťte život tokenům a cookies (session-only data, blok třetích stran cookies).
- Zabraňte rozšířením, aby manipulovala s OAuth nebo provozem (permission blacklist).
Dohromady—identity vrstva řeší kdo smí k datům. BSP určuje jak se prohlížeče na cestě budou chovat. Potřebujete obojí.
Týden 1 — Zjištění + komunikace
- Spusťte inventuru rozšíření napříč prohlížeči.
- Seřaďte podle používání a oprávnění. Identifikujte top 10 byznys kritických rozšíření, která povolíte.
- Napište a pošlete „heads-up“ e-mail. Krátký, přátelský, konkrétní: co se mění a jak žádat výjimky.
Týden 2 — Pilot
- Vytvořte pilotní politiku:
- Zakázat nové instalace rozšíření.
- Allowlist schválené sady.
- Blacklist jedno rizikové oprávnění (začněte webRequest).
- Pošlete baseline zpevnění prohlížeče na pilotní skupinu:
- Blok třetích stran cookies.
- Režim „jen data relace“.
- Zákaz přihlášení osobních účtů do prohlížeče.
- Přísný Safe Browsing/SmartScreen; zákaz obcházení varování.
- Zakázat DevTools pro ne-vývojáře.
- Sledujte: Co si stěžuje? Které weby potřebují výjimky? Upravit opatrně a vždy zdůvodnit.
Týden 3 — Rozšíření
- Zasaďte 30–50 % uživatelů, ideálně po odděleních kvůli komunikaci.
- Přidejte další oprávnění na blacklist (identity), potom nativeMessaging, pokud nic kritického nepadá.
- Zapněte Web Filtering (zprvu konzervativně) a omezení stahování pro spustitelné/archivní formáty z nedůvěryhodných webů.
- Aktivujte izolaci pro všechno mimo seznam důvěryhodných.
Týden 4 — Dotažení + identity práce
- Aplikujte politiky napříč organizací s dokumentovanými výjimkami.
- V identity tenantovi:
- Zapněte workflow pro admin souhlas u citlivých oprávnění.
- Projděte třetí strany; dejte allowlist důvěryhodným; zakážte zbytek.
- Odebírejte staré souhlasy u uživatelů a servisních účtů.
- Nastavte měsíční reporty v BSP:
- Nová/blokovaná rozšíření
- Zásahy permission blacklistu
- Hity web filtru
- Využití izolace
- Domluvte 30min review s podporou nebo „security ambasadory“ pro zpětnou vazbu a backlog.
Průběžně (čtvrtletně)
- Znovu projděte allowlist. Není-li rozšíření už kritické, pryč s ním.
- Revidujte výjimky a zkuste je stáhnout, pokud už nejsou potřeba díky změnám v aplikacích nebo lepším alternativám.
- Audit offboardingu: smažte prohlížečový profil, odvolejte OAuth souhlasy, odstraňte data rozšíření.
FAQ:
„Nebude blok třetích stran cookies a session-only mód všechno rozbíjet?“
Občas. Proto pilot a cílené výjimky. Držte přísné defaulty a povolujte jen konkrétní domény, které to opravdu potřebují. Neotvírejte vrata kvůli jednomu mrzutému LOB nástroji.
„Proč prostě nezakázat všechna rozšíření?“
Můžete, ale bude to bolet a lidi si najdou neofiko cesty. Krátký allowlist + blacklist oprávnění je lepší balanc: skutečná kontrola bez totálního zabití produktivity.
„Co když potřebujeme nástroj s nativeMessaging nebo webRequest?“
Berme to jako výkonný nástroj: povolit výjimkou, zdokumentovaný business případ, omezeno na týmy, které to fakt potřebují, a čtvrtletní revize. Okolní workflow klidně chraňte izolací.
„Zastaví to samo o sobě OAuth útoky?“
Žádný jeden produkt ne. V identity vrstvě musíte řídit, jaké aplikace lze odsouhlasit a kým. BSP zpevní endpoint: méně podezřelých flow, kratší život session dat, a rozšíření, která si nesáhnou na tokeny ani na provoz.
„Není izolace overkill?“
Je to pás a airbagy. V běžný den si jí nevšimnete, ale při průšvihu vás zachrání. Pro neznámé destinace je to levná pojistka.
„Jak na vývojáře a power-users?“
Vytvořte separátní politiku se zmírněním tam, kde je to opodstatněné (DevTools povoleny, některá oprávnění whitelisted). Omezte na pojmenovanou skupinu a čtvrtletně kontrolujte, že to stále potřebují. Vývojáři mají být výjimka, ne
default.
“A co osobní zařízení (BYOD)?”
Pokud je pouštíte, použijte podmíněný přístup a kontroly stavu prohlížeče. Držte firemní data v managed profilech a vynucujte stejné politiky, kde to jde. Když vynucovat nemůžete, omezte, k čemu se ta zařízení vůbec dostanou.
Tipy z praxe (abyste se neučili bolestně)
- Rozšíření se tiše updatují. Dnešní neškodný pomocník si zítra řekne o širší oprávnění. Permission blacklist je váš pás—nechte ho zapnutý.
- Lidi zapomenou, že přihlásili prohlížeč. Zákaz osobních přihlášení brání „cookie guláši“ a divným sync kolizím mezi prací a soukromím.
- Výjimky bují, když je neprořezáváte. Udělejte z revizí rutinu. Když důvod padl, výjimku zrušte.
- Pojmenovávejte politiky srozumitelně. „Sales-Laptops-BSP-Strict-v3“ je lepší než „Nová prohlížečová politika (2)“.
- Publikujte, když to jde, jednu změnu najednou. Když přepnete šest věcí a něco se rozbije, nepoznáte, co to způsobilo.
- Pište si vzory poruch. Když site padá kvůli třetím stranám cookies, zaznamenejte domény, které jste museli povolit—příště se to hodí.
- Najděte si „championy“. Jeden člověk na oddělení, co včas zachytí trable a vysvětlí „proč“ svým. Malý náklad, velký efekt.
