Насколько велик риск для популярных расширений Chrome?


20

Я собираюсь перейти на Chromium, и я установил несколько расширений. Каждый раз, когда я устанавливал расширение, меня уведомляли о том, к каким данным у него есть доступ, например:

введите описание изображения здесь

Я понимаю, что доступ к этим данным необходим для работы расширения, но я немного обеспокоен тем, что такое расширение может однажды решить обновить и украсть («телефонный дом») все мои данные просмотра.

Еще один пример страшного сообщения (при включении расширений для окон в режиме инкогнито):

Предупреждение: Chromium не может помешать расширениям записывать историю просмотров. Чтобы отключить это расширение в режиме инкогнито, снимите этот флажок.

Это возможная угроза при использовании популярных расширений Chrome? Немного страшно доверять другой стороне каждую новую функцию, которую вы добавляете в браузер.


Связанный вопрос о переполнении стека: stackoverflow.com/questions/249106/…
LeopardSkinPillBoxHat

Ответы:


25

Вы забываете следующее:

Чем популярнее расширение, тем меньше шансов, что никто не заметит, что надстройка делает что-то вредное.

В отличие от этого, если вы устанавливаете какое-то расширение, которое раньше никто не использовал, вы рискуете больше, чем, скажем, установка AdBlock. Учитывая, что его используют многие люди, почти с уверенностью можно сказать: кто-то заметил бы необычный трафик.

На самом деле, все расширения раскрывают свой исходный код, так что любой может пойти дальше и сам поискать что-нибудь подозрительное.

Предупреждения просто есть, поэтому вы не можете обвинить производителей браузеров в нанесении какого-либо ущерба в случае, если вы установили что-то, что не соответствует вашим данным. Всегда читайте обзоры надстроек, которые кажутся вам подозрительными, перед их установкой.

Также обратите внимание, что, например, Google может проверить представленные материалы:

Хотя Google не обязан контролировать Продукты или их содержимое, Google может в любое время просматривать или проверять ваши Продукты и их исходный код на соответствие настоящему Соглашению, правилам программы Google Chrome Web Store и любым другим применимым условиям, обязательствам, законам. или нормативные акты, и может использовать автоматизированные средства для проведения такой проверки

Удаление расширения может, конечно, вызвать проблемы у разработчика.


2
Таким образом, расширения могут собирать и отправлять мои данные, но с популярными они менее вероятны, так как исходный код доступен для общественности.
htorque

1
@htorque Расширение могло бы сделать это, да - но учитывая природу вещей, если есть больше людей, чтобы следить, вероятность того, что что-то плохое случится, ниже.
slhck

3
У них могут быть «законные» причины для отправки данных обратно на их серверы. В этом случае, вряд ли это будут большие новости, если кто-то узнает, что они делают.
Стефано Палаццо

1
@ Стефано Это конечно верно. Эй, некоторые расширения даже не будут работать без этого.
slhck

1
Да, больше глаз, как правило, лучше. К сожалению, это также означает, что чем больше людей его используют, тем больше людей будут предполагать, что кто-то другой позаботится о его проверке, а не сделает это самостоятельно, что в результате приведет к завышенному и искусственному чувству безопасности. :-(
Synetech

9

Это сложная оценка риска, чтобы попытаться сделать. Популярность приносит две вещи:

  • Все больше людей пытаются улучшить его (обнаружение плохого кода)
  • Все больше людей пытаются взломать его (и ввести плохой код), чтобы атаковать большую базу пользователей

Давайте предположим, что для этих примеров мы говорим о проекте с открытым исходным кодом с кодом, размещенным в чем-то вроде github.

Если у кого-то есть один разработчик, это всего лишь один человек, проверяющий код. Если кто-то (а не разработчик) хочет добавить к этому код, он должен либо обмануть разработчика, добавив вредоносный патч (это происходит), либо настроить аутентификацию этого разработчика, чтобы он мог добавить код самостоятельно (также происходит). Вероятность того, что это произойдет, зависит от способностей разработчика и его безопасности.

Если есть 10 разработчиков, то в 10 раз больше векторов атаки. Но также в 10 раз больше людей, которые могут заметить код.

Я уверен, что в проекте есть момент, когда он набирает обороты, чтобы люди регулярно проводили проверки безопасности своего кода. Но в любое время до этого это качели и карусели.

tl; dr Слишком сложно реально отработать. Слишком много человеческих элементов. Если это имеет значение, не доверяйте этому, если вы не можете проверить код самостоятельно.


+1, тоже очень хорошее объяснение.
slhck

2
Что ж, я уже доверяю сотням хакеров ядра ... просто странно «вкладывать» доверие в дополнительные третьи стороны для простых функций браузера, таких как поддержка жестов мыши (почему такое расширение получает возможность связаться с внешним миром в первую очередь ?).
htorque

Второй момент Оли заключается именно в том, почему пользователи Linux и Mac настаивают на том, что их платформы лучше и безопаснее Windows, ошибочны. Большинство хакеров не беспокоятся о взломе Linux или Mac, потому что за это не хватает вознаграждения. Если бы было, то количество эксплойтов взорвалось бы (возможно, не так высоко, как Windows, но все же ...) То же самое с любым программным обеспечением, включая расширения. Чем оно популярнее, тем больше стимулов взломать его. (Просто посмотрите на растущее число взломов Facebook / Twitter / и т. Д.)
Synetech
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.