现代浏览器更强大的功能之一是软件开发人员可以编写浏览器扩展以增强,修改和调整用户访问的页面。由于我们的生活越来越多地迁移到浏览器上,我们是不是有可能将自己暴露给安装浏览器扩展带来的大量隐私和安全漏洞,这些漏洞本质上是恶意的?浏览器扩展的安全风险有多大?
如果作者没有尝试混淆行为,我意识到这些扩展的源代码是可提取和可读的。但是,浏览器鼓励用户保持其最新版本,这种评论的有效性受到了损害。尽管版本1.0的扩展可能是无害的,但用户浏览器可能会建议升级到版本1.1,该版本可能包含恶意代码,可用于从受损浏览器的屏幕上刮取信息。
作为浏览器扩展的用户和开发者,开发人员的声誉是否是向用户提供保证其浏览活动安全的唯一保证?是否有任何机制可以帮助保护用户免受受损浏览器扩展的影响?
是否有任何最佳实践来开发扩展的方式,为用户提供保证,他们安装和更新的代码本质上是良性的?
浏览器扩展可以完成用户可以完成的任何操作。他们可以发送银行密码,在本地磁盘上读取文件,执行命令等。浏览器的安全性不仅取决于浏览器本身,还取决于所有已安装的扩展。
Internet Explorer Browser Helper Objects是非常不安全的。他们基本上允许浏览器运行本地代码,这可能是任何东西。我不确定它们现在是否像过去几年一样普遍,但它们是Internet Explorer比Firefox和其他浏览器更安全的原因之一。
使用XUL和微软的Silverlight插件的Mozilla风格的插件被沙盒化以尝试和防止恶意行为。但是,最终它取决于开发人员对任何被用户认为值得信赖的软件的声誉。即使在开发人员不想编写恶意软件的情况下,程序中的错误也可能暴露安全漏洞。
Mozilla插件(例如Flash,Java)和Mozilla扩展(例如Firebug,AdBlock)之间有区别。 扩展不是沙盒。 – 2009-12-21 19:18:48
这就是为什么你有多台机器,并且如果你买不起一台新机器,可以使用虚拟机来运行大部分内容并监视它的行为。它是我在做任何事之前至少做的事情。
RnVja3Mgd2l0aCBtZSBmYW0hIGhpdCBtZSB1cCBhdCB0aGVib3NzODkwN0B5YWhv by5jb20gaWYgeW91IGhhdmUgYW55IHF1ZXN0aW9ucw ==
我已经写了Chrome中的一些扩展最近,我不知道有多大的危害可扩展之前真的。
扩展需要权限,但这些权限非常宽泛。任何非平凡的扩展最有可能最终会要求“完全权限”,并且大多数用户只会敲打“是”按钮。即使是一个懂技术的用户也可能会将此视为合法的,我知道我有。
大多数扩展是免费的。编写代码需要花费时间和金钱,那么开发人员如何获得投资回报呢?有些人是为了好玩而做的,但是Chrome网上商店专门询问你是否打算增加注入 - 我只能推断这对于扩展开发者来说是一种常见的做法。扩展还可以充当跟踪cookie,并将使用统计信息出售给任何人。
编写一个扩展名将接近您的密码并将它们发送给第三方,这几乎是微不足道的。即使这些密码被“保存”了。我的一个扩展有一个合法的用例来修改所有页面上的所有输入字段,并且我发现chrome只会高兴地以纯文本格式粘贴存储的密码。 CC信息也一样。
许多扩展包括分析包,以帮助开发人员识别他们的用户是谁,应用的哪些部分被使用等等。我认为这是一个合法用例,但您可能不一定同意。
如果您是开发人员,请注意,Chrome扩展程序可能会显着影响网页加载时间。我自己的扩展,我不知疲倦地优化,尽可能轻量化,导致所有页面都有额外的50-200毫秒的加载时间。
因此,在我看到有可能之后,我禁用了除Chrome之外的所有扩展。我真的只想念AdBlock。
这总是让我无法安装多种类型的扩展。有一些非常棒的,但是当我在Chrome中安装扩展程序时(例如),它说:“该扩展程序可以访问您访问的每个网页上的所有私人数据”我停下来,决定不要。臭味,因为我也放弃了很多功能。 – JasCav 2009-12-21 19:26:37