現代瀏覽器更強大的功能之一是軟件開發人員可以編寫瀏覽器擴展以增強,修改和調整用戶訪問的頁面。由於我們的生活越來越多地遷移到瀏覽器上,我們是不是有可能將自己暴露給安裝瀏覽器擴展帶來的大量隱私和安全漏洞,這些漏洞本質上是惡意的?瀏覽器擴展的安全風險有多大?
如果作者沒有嘗試混淆行爲,我意識到這些擴展的源代碼是可提取和可讀的。但是,瀏覽器鼓勵用戶保持其最新版本,這種評論的有效性受到了損害。儘管版本1.0的擴展可能是無害的,但用戶瀏覽器可能會建議升級到版本1.1,該版本可能包含惡意代碼,可用於從受損瀏覽器的屏幕上刮取信息。
作爲瀏覽器擴展的用戶和開發者,開發人員的聲譽是否是向用戶提供保證其瀏覽活動安全的唯一保證?是否有任何機制可以幫助保護用戶免受受損瀏覽器擴展的影響?
是否有任何最佳實踐來開發擴展的方式,爲用戶提供保證,他們安裝和更新的代碼本質上是良性的?
瀏覽器擴展可以完成用戶可以完成的任何操作。他們可以發送銀行密碼,在本地磁盤上讀取文件,執行命令等。瀏覽器的安全性不僅取決於瀏覽器本身,還取決於所有已安裝的擴展。
Internet Explorer Browser Helper Objects是非常不安全的。他們基本上允許瀏覽器運行本地代碼,這可能是任何東西。我不確定它們現在是否像過去幾年一樣普遍,但它們是Internet Explorer比Firefox和其他瀏覽器更安全的原因之一。
使用XUL和微軟的Silverlight插件的Mozilla風格的插件被沙盒化以嘗試和防止惡意行爲。但是,最終它取決於開發人員對任何被用戶認爲值得信賴的軟件的聲譽。即使在開發人員不想編寫惡意軟件的情況下,程序中的錯誤也可能暴露安全漏洞。
Mozilla插件(例如Flash,Java)和Mozilla擴展(例如Firebug,AdBlock)之間有區別。 擴展不是沙盒。 – 2009-12-21 19:18:48
這就是爲什麼你有多臺機器,並且如果你買不起一臺新機器,可以使用虛擬機來運行大部分內容並監視它的行爲。它是我在做任何事之前至少做的事情。
RnVja3Mgd2l0aCBtZSBmYW0hIGhpdCBtZSB1cCBhdCB0aGVib3NzODkwN0B5YWhv by5jb20gaWYgeW91IGhhdmUgYW55IHF1ZXN0aW9ucw ==
我已經寫了Chrome中的一些擴展最近,我不知道有多大的危害可擴展之前真的。
擴展需要權限,但這些權限非常寬泛。任何非平凡的擴展最有可能最終會要求「完全權限」,並且大多數用戶只會敲打「是」按鈕。即使是一個懂技術的用戶也可能會將此視爲合法的,我知道我有。
大多數擴展是免費的。編寫代碼需要花費時間和金錢,那麼開發人員如何獲得投資回報呢?有些人是爲了好玩而做的,但是Chrome網上商店專門詢問你是否打算增加註入 - 我只能推斷這對於擴展開發者來說是一種常見的做法。擴展還可以充當跟蹤cookie,並將使用統計信息出售給任何人。
編寫一個擴展名將接近您的密碼並將它們發送給第三方,這幾乎是微不足道的。即使這些密碼被「保存」了。我的一個擴展有一個合法的用例來修改所有頁面上的所有輸入字段,並且我發現chrome只會高興地以純文本格式粘貼存儲的密碼。 CC信息也一樣。
許多擴展包括分析包,以幫助開發人員識別他們的用戶是誰,應用的哪些部分被使用等等。我認爲這是一個合法用例,但您可能不一定同意。
如果您是開發人員,請注意,Chrome擴展程序可能會顯着影響網頁加載時間。我自己的擴展,我不知疲倦地優化,儘可能輕量化,導致所有頁面都有額外的50-200毫秒的加載時間。
因此,在我看到有可能之後,我禁用了除Chrome之外的所有擴展。我真的只想念AdBlock。
這總是讓我無法安裝多種類型的擴展。有一些非常棒的,但是當我在Chrome中安裝擴展程序時(例如),它說:「該擴展程序可以訪問您訪問的每個網頁上的所有私人數據」我停下來,決定不要。臭味,因爲我也放棄了很多功能。 – JasCav 2009-12-21 19:26:37