Zainstaluj rozszerzenia GNOME za pośrednictwem strony internetowej: luka w zabezpieczeniach?

9

Znalazłem rozszerzenie GNOME podczas wyszukiwania w Google (używając Chromium) i byłem bardzo zaskoczony, że mogłem po prostu przełączyć przełącznik On / Off, aby strona internetowa zainstalowała pełne rozszerzenie GNOME na moim komputerze bez żadnych innych ręcznych czynności. (przetestowane, działa to również z Firefoksem). To prawda, że ​​pojawia się okno dialogowe z prośbą o potwierdzenie instalacji, ale ...

  1. Chociaż jest to świetne ze względu na łatwość użycia i użyteczność, czy nie ma w tym luk bezpieczeństwa? Chciałbym wiedzieć, jak dokładnie działa ta funkcja i czy powinienem się martwić o jakiekolwiek „backdoory”, które mogłyby pozwolić hakerom na łatwą instalację plików wykonywalnych na moim komputerze.

  2. Czy sprawdzane są rozszerzenia strony GNOME ? Czy istnieje sposób, aby stwierdzić, czy rozszerzenia są bezpieczne, czy nie?

  3. Czy przeglądarki Chromium i Firefox są modyfikowane przez GNOME, aby umożliwić tę funkcję? Czy są jakieś niestandardowe zmiany GNOME Chromium / Firefox, o których użytkownicy powinni wiedzieć?

AKTUALIZACJA: Po zrozumieniu, jak to działa, teraz uważam, że jest to naprawdę świetna funkcja, szczególnie dla użytkowników nietechnicznych, ale trochę mnie to zaalarmowało, gdy po raz pierwszy ją spotkałem.

gnome security gnome-shell gnome-shell-extension extension Suman
źródło

Odpowiedzi:

3

Tak i nie.

Najpierw zakodowany został link, który kliknąłeś, aby zainstalować rozszerzenie, a konkretnie (tak myślę) do gnome 3.2 jako metody wkraplania. W tym sensie jest to strona „zaufana”.

Po drugie, rozszerzenia gnome to skrypty użytkownika, przechowywane tylko dla twojego użytkownika. Nie mają dostępu do żadnych informacji, do których użytkownik nie ma dostępu. Na przykład nie może być rozszerzeń powłoki do zapisywania plików w /.

Po trzecie, przeglądarki nie zostały zmodyfikowane, ale zrobiono to z powłoką gnome.

Zasadniczo metoda instalacji jest nie mniej bezpieczna niż udostępnienie pliku tar.gz i nakazanie ręcznego wypakowania go do katalogu domowego. Poszczególne rozszerzenia są raczej bezpieczne - decyzja należy podejmować indywidualnie dla każdego przypadku. Jednak gnome.org jest wiarygodną witryną, podobnie jak subdomena rozszerzeń.

Coteyr
źródło
Rozumiem, wielkie dzięki za szczegółowe wyjaśnienie. Ale czy aby umożliwić automatyczną instalację, czy przeglądarka nie musi być modyfikowana, aby na to pozwolić? Czytałem jeszcze trochę. Wygląda na to, że odbywa się to za pomocą wtyczki Firefox / Chromium?
Suman
Tak Wtyczka „Gnome Shell Integration” we Firefox i Chrome.
coteyr