it-swarm-eu.dev

Jaký je nejhorší scénář, co může rozšíření Chrome) dělat s „Vaše data na všech webech“ a „Vaše karty a aktivita při procházení“?

Rozšíření prohlížeče Chrome a podobně jako ostatní prohlížeče se zdají často získat poměrně rozsáhlý přístup k datům vašeho prohlížeče. Většina rozšíření, které jsem nainstaloval, ve skutečnosti vyžaduje přístup k:

  • Vaše data na všech webových stránkách
  • Vaše karty a aktivita při procházení

A to mě přimělo přemýšlet, co to znamená, přesně.

Řekněme, že někdo napíše špatné rozšíření, nazývá ho „Já-Vím, VŠE-DĚLÁTE, a RSS čtečku“ (je zlý, ale také upřímný). Opravdu ráda mám čtečku RSS, takže ji instaluji. Vidím toto velké varování o rozšíření, které vyžaduje přístup ke všem mým údajům, ale znovu, stejně jako každé další rozšíření, takže tento přístup s radostí uděluji.

Co může toto rozšíření udělat, myslíme v horším případě? Mohlo by to:

  1. Odeslat seznam všech webů, které navštěvuji, výrobci?
  2. Zachytávat data, která zadávám do formulářů? (jako moje osobní údaje, hesla atd.)
  3. Vidíte, jak dlouho jsem na webových stránkách a které stránky jsem navštívil?
  4. Přístup k cookies?
  5. Přístup k ostatním souborům v mém počítači? (Myslím, že ne, vzhledem k prostředí Sandbox , ale pořád mě zajímá)
  6. Dělat něco horšího?
75
please delete me
  1. Odeslat seznam všech webů, které navštěvuji, výrobci?

    Ano

  2. Zachytávat data, která zadávám do formulářů? (jako moje osobní údaje, hesla atd.)

    Ano

  3. Vidíte, jak dlouho jsem na webových stránkách a které stránky jsem navštívil?

    Ano

  4. Přístup k cookies?

    Aktualizováno, viz následující komentář od Bryan Field k tomuto.

    Bryan Field : Skvělá odpověď, s výjimkou čísla 4. K souborům cookie bez příznaku httponly lze určitě přistupovat. nevím. Dodal bych, že je pravděpodobné, že by rozšíření mohlo volat ručně, například na vaši stránku Gmailu, a získat všechny vaše e-maily, i když nemáte Gmail otevřený během doby, kdy je rozšíření otevřeno. Stačí se přihlásit a může tyto stránky volat. Takže i když nelze soubory cookie httponly zobrazit přímo (číslo 4), nezáleží na tom, protože soubory cookie lze stále nepřímo a efektivně používat

  5. Přístup k ostatním souborům v mém počítači? (Myslím, že ne, vzhledem k prostředí Sandbox, ale pořád mě zajímá)

    Ne - jak říkáte, karanténa tomu zabrání.

  6. Dělat něco horšího?

    Čtěte (a odesílejte) data na všech navštívených stránkách.

Další podrobnosti o tom, proč je to často nutné, ale ne vždy, jsou diskutovány v této otázce Proč Chrome rozšíření potřebují přístup k 'všem mým údajům' a 'procházení aktivit'?

46
Jontas

Google stručně vysvětluje model zabezpečení rozšíření v následujícím příspěvku na blogu:

http://blog.chromium.org/2009/12/security-in-depth-extension-system.html

Rozšíření instalujte pouze z důvěryhodných zdrojů.

8
Serdar