19

Я собираюсь перейти на Chromium, и я установил несколько расширений. Каждый раз, когда я устанавливал расширение, меня уведомляли о том, к каким данным у него есть доступ, например:

Я понимаю, что доступ к этим данным необходим для работы расширения, но я немного обеспокоен тем, что такое расширение может однажды решить обновить и украсть ("телефонный дом") все мои данные просмотра.

Еще один пример страшного сообщения (при включении расширений для инкогнито окон):

Предупреждение: Chromium не может помешать расширениям записывать историю просмотров. Чтобы отключить это расширение в режиме инкогнито, снимите этот флажок.

Это возможная угроза при использовании популярных расширений Chrome? Немного страшно доверять другой стороне для каждой новой функции, которую вы добавляете в браузер.

|источник

2 ответа2

25

Вы забываете следующее:

Чем популярнее расширение, тем меньше шансов, что никто не заметит, что надстройка делает что-то вредное.

В отличие от этого, если вы устанавливаете какое-то расширение, которое раньше никто не использовал, вы рискуете больше, чем, скажем, установка AdBlock. Учитывая, что его используют многие люди, почти с уверенностью можно сказать: кто-то заметил бы необычный трафик.

На самом деле, все расширения раскрывают свой исходный код, так что любой может пойти дальше и сам поискать что-нибудь подозрительное.

Предупреждения просто есть, поэтому вы не можете обвинить производителей браузеров в нанесении какого-либо ущерба, если вы установили что-то, что пошло не так с вашими данными. Всегда читайте обзоры надстроек, которые кажутся вам подозрительными, перед их установкой.

Также обратите внимание, что, например, Google может проверить представленные материалы:

Хотя Google не обязан контролировать Продукты или их содержимое, Google может в любое время просматривать или проверять ваши Продукты и их исходный код на соответствие настоящему Соглашению, правилам программы Google Chrome Web Store и любым другим применимым условиям, обязательствам, законам. или нормативные акты, и может использовать автоматизированные средства для проведения такой проверки

Удаление расширения может, конечно, вызвать проблемы у разработчика.

|источник
9

Это сложная оценка риска, чтобы попытаться сделать. Популярность приносит две вещи:

  • Все больше людей пытаются улучшить его (обнаружение плохого кода)
  • Все больше людей пытаются взломать его (и ввести плохой код), чтобы атаковать большую базу пользователей

Давайте предположим, что в этих примерах мы говорим о проекте с открытым исходным кодом с кодом, размещенным в чем-то вроде github.

Если у кого-то есть один разработчик, это всего лишь один человек, проверяющий код. Если кто-то (а не разработчик) хочет добавить к этому код, он должен либо обмануть разработчика, добавив вредоносный патч (это происходит), либо настроить аутентификацию этого разработчика, чтобы он мог добавить код самостоятельно (также происходит). Вероятность того, что это произойдет, зависит от способностей разработчика и его безопасности.

Если есть 10 разработчиков, то в 10 раз больше векторов атаки. Но также в 10 раз больше людей, которые могут заметить код.

Я уверен, что в проекте есть момент, когда он набирает достаточный импульс, чтобы люди регулярно проводили проверки безопасности своего кода. Но в любое время до этого это качели и карусели.

tl; dr Слишком сложно реально отработать. Слишком много человеческих элементов. Если это имеет значение, не доверяйте этому, если вы не можете проверить код самостоятельно.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .