现代浏览器更强大的功能之一是软件开发人员能够编写浏览器扩展来增强、修改和调整用户访问的页面。随着我们越来越多的生活迁移到浏览器上,我们是否有可能将自己暴露在安装恶意浏览器扩展程序所造成的巨大隐私和安全漏洞中?
我意识到如果作者没有试图混淆这些行为,这些扩展的源代码是可提取和可读的。但是这种类型的审查的有效性受到浏览器鼓励用户保持其扩展程序最新的影响。虽然 1.0 版扩展程序可能无害,但用户浏览器可能会建议升级到 1.1 版,其中可能包含恶意代码,可用于从受感染浏览器的屏幕上抓取信息。
作为浏览器扩展的用户和开发者,开发者的声誉是唯一能够向用户保证他们的浏览活动是安全的吗?是否有任何机制来帮助保护用户免受受损浏览器扩展的侵害?
是否有任何最佳实践来开发扩展,以确保用户安装和更新的代码本质上是良性的?
浏览器扩展几乎可以做任何用户可以做的事情。他们可以发送您的银行密码、读取本地磁盘上的文件、执行命令等。浏览器的安全性不仅取决于浏览器本身,还取决于所有已安装的扩展。
我最近为 Chrome 编写了一些扩展程序,在此之前我不知道扩展程序真的会造成多大的危害。
扩展程序要求权限,但这些权限非常广泛。任何重要的扩展很可能最终会要求“完全许可”,大多数用户只会点击“是”按钮。即使是精通技术的用户也可能会认为这是合法的,我知道我有。
大多数扩展都是免费的。编写代码需要时间和金钱,那么开发人员如何收回投资呢?有些人这样做是为了好玩,但 chrome 网上商店特别询问您是否打算注入添加 - 我只能推断这是扩展开发人员的常见做法。扩展程序还可以充当跟踪 cookie,并将使用情况统计信息出售给任何人。
编写一个扩展您的密码并将其发送给第三方的扩展程序几乎是微不足道的。即使这些密码被“保存”。我的一个扩展有一个合法的用例来修改所有页面上的所有输入字段,我发现 chrome 会很乐意以纯文本形式粘贴存储的密码。CC信息也是如此。
许多扩展包括分析包,以帮助开发人员识别他们的用户是谁,使用了应用程序的哪些部分等等。我认为这是一个合法的用例,但您可能不一定同意。
如果您是开发人员,请注意 Chrome 扩展程序可能会显着影响页面加载时间。我自己的扩展,我不知疲倦地优化为尽可能轻量级,导致所有页面有额外的 50-200 毫秒加载时间。
因此,在我看到可能发生的事情之后,我已经禁用了 Chrome 中的所有扩展,除了我自己的。我真的只是想念 AdBlock。
Internet Explorer浏览器帮助程序对象非常不安全。它们基本上允许浏览器运行本机代码,可以是任何东西。我不确定它们现在是否仍像过去几年一样普遍,但它们是 Internet Explorer 的安全性远低于 Firefox 和其他浏览器的原因之一。
Mozilla 风格的插件使用XUL和 Microsoft 的Silverlight插件被沙盒化,以试图阻止恶意行为。然而,最终它取决于开发人员对任何类型的软件是否被用户认为值得信赖的声誉。即使在开发人员不尝试编写恶意软件的情况下,程序中的错误也可能暴露安全漏洞。
这就是为什么你有多台机器,如果你买不起一台新机器,使用虚拟机来运行大部分东西并监控它的行为。在我做任何事情之前,我至少会做这件事。
RnVja3Mgd2l0aCBtZSBmYW0hIGhpdCBtZSB1cCBhdCB0aGVib3NzODkwN0B5YWhv by5jb20gaWYgeW91IGhhdmUgYW55IHF1ZXN0aW9ucw==