Каковы векторы угроз в отношении расширений Chrome?

Question

В исследовании «Chrome Extensions Security» большинство результатов касаются того, что сами расширения являются угрозами (вредоносные программы и т. Д.).

Если я напишу расширение для использования с моим веб-приложением, чтоугрозы безопасности для расширения (не из расширения)?Защищено ли расширение от вредоносных атак?Может ли код, работающий в расширении, быть скомпрометирован?

Интересно, что в документации Chrome Extensions нет раздела "Безопасность" и слово "безопасность" не упоминается в ChromeРасширения Часто задаваемые вопросы .

Answer 1

Это видео от декабря 2009 года отвечает на одну из моих главных проблем: Расширения Google Chrome: скрипты контента и изолированные миры

Аарон Будман, инженер Google, представляет скрипты контента, одну из функций системы расширений Google Chrome, а также концепцию изолированных миров (сохраняя скрипты контента изолированными друг от друга и от страницы, на которых они работают).

Хорошая цитата из видео: «Поскольку никакие объекты JavaScript не разделяются между« изолированными мирами », JavaScript веб-страницы не может использовать общий DOM, чтобы выйти из обычной песочницы веб-страницы и каким-то образом получить доступ к скрипт контента или его API. "

Хорошее изображение из видео: Изолированные миры

Если у вас есть другие полезные рекомендации по безопасности расширений Chrome, пожалуйста, оставьте комментарий к этому вопросу. Thx.