Как Adobe Shadow Chrome Extension может отслеживать изменения без каких-либо соответствующих разрешений в манифесте?

Question

Adobe выпустит новый интересный продукт - Adobe Shadow. А в его ядре находится расширение chrome, которое прослушивает подключение к удаленным устройствам (также интересно, как это делается, но я думаю, что оно может использовать собственную службу http для передачи такого запроса), но более интересно то, что он слушает DOM Изменения JavaScript и CSS (с помощью Chrome Inspector для разработчиков) и сообщить об этих изменениях другим устройствам. Тем не менее, в манифесте это расширение только объявить, что было известно только о переключении вкладок - как это возможно?

Answer 1

Вы не правы в том, что Shadow Chrome Extension прослушивает изменения DOM, JavaScript и CSS на странице.Когда вы нажимаете кнопку «Удаленная инспекция» в расширении Chrome, мы открываем окно для weinre-сервера и вставляем необходимый javascript-код weinre на страницу устройства. Окно weinre выглядит как Chrome Dev Tools, поскольку оба они используют WebInspector,часть WebKit.

Подробнее об этом в The Shadow FAQ

Подробнее о weinre

Расширение Shadow Chromeничего не слушает на уровне страницы.Он получает URL-адрес для отправки на устройства с разрешения вкладок.

Answer 2

Я только кратко ознакомился с кодом (помеченным как «конфиденциальный»), я рекомендую вам взглянуть на файл skylab.js.

Похоже, что они в основном используют WebSockets , чтобы совершать вызовы службы, работающей на вашем компьютере в. Я предполагаю, что это принадлежит толстому клиенту Adobe Shadow.

Возможно, потому что ваш вызов уже существующей службе, работающей на локальной машине Chrome, не требует каких-либо дополнительных разрешений. Я искал код и не вижу упоминания о дополнительных разрешениях.

Это очень интересно, поскольку я думаю, что это может быть проблемой для безопасности, но, возможно, только на машинах, которые уже заражены вредоносным кодом.