Насколько велика угроза безопасности для расширений браузера?

Question

Одной из наиболее мощных функций современных браузеров является возможность для разработчиков программного обеспечения создавать расширения браузера для улучшения, изменения и настройки страниц, посещаемых пользователем. По мере того как все больше наших жизней переходят на браузер, разве мы не подвергаем себя огромным пробелам в конфиденциальности и безопасности, создаваемым установкой расширения для браузера, которое по своей природе является вредоносным?

Я понимаю, что исходный код этих расширений можно извлечь и прочитать, если автор не предпринял попыток запутать поведение. Но эффективность этого типа обзора снижается браузером, побуждающим пользователей постоянно обновлять свои расширения. В то время как версия 1.0 расширения может быть безвредной, пользовательский браузер может предложить обновление до версии 1.1, которое может содержать вредоносный код, который может использоваться для очистки информации с экрана скомпрометированного браузера.

Являясь как пользователем, так и разработчиком расширений для браузера, является ли репутация разработчика единственной возможностью обеспечить своим пользователям гарантии безопасности их работы в Интернете? Существуют ли механизмы защиты пользователей от скомпрометированного расширения браузера?

Существуют ли передовые практики для разработки расширений таким образом, чтобы пользователи могли быть уверены, что код, который они устанавливают и обновляют, является доброкачественным?

Answer 1

Расширения браузера могут делать практически все, что может делать пользователь. Они могут отправлять пароли вашего банка, читать файлы на локальном диске, выполнять команды и т. Д. Безопасность браузера зависит не только от самого браузера, но и от всех установленных расширений.

Answer 2

Недавно я написал несколько расширений для Chrome, и я понятия не имел, сколько вредных расширений действительно может принести до этого.

• Расширения запрашивают разрешения, но они очень широкие. Любое нетривиальное расширение, скорее всего, в конечном итоге будет запрашивать «Полное разрешение», а большинство пользователей просто нажимают кнопку «ДА». Даже технически подкованный пользователь может проигнорировать это как законное, я знаю, что имею.

• Большинство расширений бесплатны. На их кодирование уходит время и деньги, так как же разработчики возвращают свои инвестиции? Некоторые делают это для удовольствия, но Chrome Web Store специально спрашивает, планируете ли вы добавлять добавления - я могу только сделать вывод, что это обычная практика для разработчиков расширений. Расширения также могут выполнять функцию отслеживания файлов cookie и продавать статистику использования кому бы то ни было.

• Почти тривиально написать расширение, которое будет собирать ваши пароли и отправлять их третьим лицам. Даже если эти пароли «сохранены». У одного из моих расширений был законный вариант использования для изменения всех полей ввода на всех страницах, и я обнаружил, что Chrome просто с радостью вставит сохраненные пароли в виде обычного текста. То же самое касается информации CC.

• Многие расширения включают аналитические пакеты, чтобы помочь разработчикам определить, кто их пользователи, какие части приложения используются и так далее. Я думаю, что это законный вариант использования, но вы не обязательно согласны.

• Если вы разработчик, имейте в виду, что расширения Chrome могут значительно повлиять на время загрузки страницы. Мое собственное расширение, которое я неутомимо оптимизировал, чтобы сделать его максимально легким, заставило все страницы иметь дополнительное время загрузки 50-200 мс.

Так что после того, как я увидел, что возможно, я отключил все расширения в Chrome, кроме своего собственного. Я действительно скучаю только по AdBlock.

Answer 3

Internet Explorer Объекты поддержки браузера крайне небезопасны. Они в основном позволяют браузеру запускать собственный код, который может быть любым. Я не уверен, что они все еще распространены сейчас, как это было в прошлые годы, но они являются одной из причин, почему Internet Explorer намного менее безопасен, чем Firefox и другие браузеры.

Плагины в стиле Mozilla, использующие XUL и плагины Microsoft Silverlight , помещаются в «песочницу» для предотвращения вредоносного поведения. В конечном счете, он опирается на репутацию разработчика любого программного обеспечения, которое пользователи считают заслуживающим доверия. Даже в тех случаях, когда разработчик не пытается писать вредоносные программы, ошибки в программе могут раскрыть эксплойты безопасности.

Answer 4

Именно поэтому у вас есть несколько машин, и если вы не можете позволить себе новую, используйте виртуальную машину, чтобы запустить большинство вещей и отслеживать их поведение. Это то, что я делаю, по крайней мере, прежде чем сделать что-нибудь.

RnVja3Mgd2l0aCBtZSBmYW0hIGhpdCBtZSB1cCBhdCB0aGVib3NzODkwN0B5YWhv by5jb20gaWYgeW91IGhhdmUgYW55IHF1ZXN0aW9ucw ==