it-swarm-eu.dev

Was kann eine Chrome -Erweiterung im schlimmsten Fall mit "Ihre Daten auf allen Websites" und "Ihre Tabs und Browsing-Aktivitäten" bewirken?

Chrome-Erweiterungen und genau wie andere Browser scheinen häufig einen ziemlich umfangreichen Zugriff auf Ihre Browserdaten zu erhalten. Tatsächlich erfordern die meisten von mir installierten Erweiterungen Zugriff auf:

  • Ihre Daten auf allen Websites
  • Ihre Tabs und Browsing-Aktivitäten

Und das hat mich gefragt, was das genau bedeutet.

Nehmen wir an, jemand schreibt eine böse Erweiterung und nennt sie "I-KNOW-ALLES-DU-TUN und einen RSS-Reader" (er ist böse, aber auch ehrlich). Ich habe wirklich gerne einen RSS-Reader, also installiere ich diesen. Ich sehe diese große Warnung bezüglich der Erweiterung, die Zugriff auf alle meine Daten erfordert, aber auch jede andere Erweiterung. Daher erteile ich diesen Zugriff gerne.

Was kann diese Erweiterung im schlimmsten Fall tun? Kann es:

  1. Eine Liste aller Websites, die ich besuche, an den Hersteller senden?
  2. Daten erfassen, die ich in Formulare eingebe? (wie meine persönlichen Daten, Passwörter usw.)
  3. Sehen Sie, wie lange ich schon auf einer Website bin und welche Seiten ich besucht habe?
  4. Auf Cookies zugreifen?
  5. Auf andere Dateien auf meinem Computer zugreifen? (Ich denke nicht, angesichts der Sandbox Umgebung, aber ich frage mich immer noch)
  6. Etwas Schlimmeres tun?
75
  1. Eine Liste aller Websites, die ich besuche, an den Hersteller senden?

    Ja

  2. Daten erfassen, die ich in Formulare eingebe? (wie meine persönlichen Daten, Passwörter usw.)

    Ja

  3. Sehen Sie, wie lange ich schon auf einer Website bin und welche Seiten ich besucht habe?

    Ja

  4. Auf Cookies zugreifen?

    Aktualisiert, siehe den folgenden Kommentar von Bryan Field für diesen.

    Bryan Field : Großartige Antwort, mit Ausnahme von Nummer 4. Auf Cookies ohne das Flag httponly kann mit Sicherheit zugegriffen werden, darüber hinaus habe ich keine. ' Ich weiß es nicht. Ich möchte hinzufügen, dass es wahrscheinlich ist, dass die Nebenstelle beispielsweise Ihre Google Mail-Seite manuell aufruft und alle Ihre E-Mails abruft, selbst wenn Google Mail während des Öffnens der Nebenstelle nicht geöffnet ist. Sie müssen nur angemeldet sein und es kann diese Seiten aufrufen. Selbst wenn die httponly Cookies nicht direkt angezeigt werden können (Nummer 4), spielt dies keine Rolle, da die Cookies dennoch indirekt und effektiv verwendet werden können

  5. Auf andere Dateien auf meinem Computer zugreifen? (Ich denke nicht, angesichts der Sandbox-Umgebung, aber ich frage mich immer noch)

    Nein - wie Sie sagen, der Sandkasten wird das verhindern.

  6. Etwas Schlimmeres tun?

    Lesen (und senden) Sie Daten auf allen von Ihnen besuchten Seiten.

Einige weitere Details dazu, warum dies häufig benötigt wird, aber nicht immer in dieser Frage behandelt werden Warum benötigen Chrome -Erweiterungen Zugriff auf "alle meine Daten" und "Browsing-Aktivitäten"?

46
Jontas

Google erklärt das Sicherheitsmodell für Erweiterungen im folgenden Blogbeitrag kurz:

http://blog.chromium.org/2009/12/security-in-depth-extension-system.html

Installieren Sie Erweiterungen nur von vertrauenswürdigen Quellen.

8
Serdar