Jakie ryzyko wiążą się z popularnymi rozszerzeniami Chrome?

Zaraz przejdę na Chromium i zainstalowałem kilka rozszerzeń. Za każdym razem, gdy instalowałem rozszerzenie, byłem informowany o tym, do jakich danych ma dostęp rozszerzenie, np .:

Rozumiem, że dostęp do tych danych jest niezbędny do działania rozszerzenia, ale trochę się martwię, że takie rozszerzenie może pewnego dnia zdecydować o aktualizacji i kradzieży („telefonu do domu”) wszystkich moich danych przeglądania.

Kolejny przykład przerażającej wiadomości (podczas włączania rozszerzeń dla okien incognito):

Ostrzeżenie: Chromium nie może uniemożliwić rozszerzeniom zapisywania historii przeglądania. Aby wyłączyć to rozszerzenie w trybie incognito, odznacz tę opcję.

Czy to możliwe zagrożenie przy korzystaniu z popularnych rozszerzeń Chrome? To trochę przerażające, że trzeba ufać innej osobie dla każdej nowej funkcji dodanej do przeglądarki.

Zapomniałeś:

Im bardziej popularne jest rozszerzenie, tym mniejsza jest szansa, że ​​nikt nie zauważy, że dodatek działa szkodliwie.

W przeciwieństwie do tego, jeśli zainstalujesz jakieś rozszerzenie, którego nikt wcześniej nie używał, ryzykujesz więcej niż, powiedzmy, instalację AdBlocka. Biorąc pod uwagę, że korzysta z niego tak wiele osób, prawie bezpiecznie jest powiedzieć: ktoś zauważyłby niezwykły ruch.

W rzeczywistości wszystkie rozszerzenia ujawniają swój kod źródłowy, więc każdy może po prostu szukać czegoś podejrzanego.

Ostrzeżenia są właśnie tam, więc nie możesz winić dostawców przeglądarki za jakiekolwiek wyrządzone szkody, na wypadek, gdybyś zainstalował coś, co nieuczciwie z Twoimi danymi. Zawsze czytaj recenzje dodatków, które wyglądają na podejrzane przed ich zainstalowaniem.

Pamiętaj też, że na przykład Google może sprawdzić przesłane dane:

Chociaż Google nie jest zobowiązane do monitorowania Produktów lub ich zawartości, Google może w dowolnym momencie sprawdzić lub przetestować Twoje Produkty i ich kod źródłowy pod kątem zgodności z niniejszą Umową, zasadami programu Google Chrome Web Store oraz wszelkimi innymi mającymi zastosowanie warunkami, obowiązkami, przepisami lub przepisy i może korzystać ze zautomatyzowanych środków w celu przeprowadzenia takiego przeglądu

Usunięcie rozszerzenia może oczywiście powodować problemy dla programisty.

Trudno jest podjąć próbę oceny ryzyka. Popularność przynosi dwie rzeczy:

• Więcej osób próbuje to poprawić (wykrywając zły kod)
• Więcej osób próbuje go zhakować (i wprowadzić zły kod), aby zaatakować większą bazę użytkowników

Załóżmy, że dla tych przykładów mówimy o projekcie open source z kodem hostowanym w coś takiego jak github.

Jeśli coś ma jednego programistę, to tylko jedna osoba sprawdza kod. Jeśli ktoś (nie programista) chce dodać do tego kod, albo musi oszukać programistę, aby dodał złośliwą łatkę (zdarza się), albo celować w uwierzytelnianie tego programisty, aby mogli sami dodać kod (również się zdarza). Szansa na jedno z tych zdarzeń zależy od zdolności programisty i ich bezpieczeństwa.

Jeśli jest 10 programistów, jest 10 razy więcej wektorów ataku. Ale także 10 razy więcej osób, które mogą wykryć kod.

Jestem pewien, że w projekcie jest taki moment, że nabiera on wystarczającego tempa, aby ludzie przeprowadzali regularne audyty bezpieczeństwa swojego kodu. Ale w dowolnym momencie to huśtawki i ronda.

tl; dr Są zbyt trudne, aby realistycznie wypracować. Jest zbyt wiele ludzkich elementów. Jeśli ma to znaczenie, nie ufaj mu, chyba że sam możesz zweryfikować kod.