1. casa
  2. Domanda e risposta
  3. Quanto è grande il rischio per la sicurezza le estensioni del browser?

Quanto è grande il rischio per la sicurezza le estensioni del browser?

2009-12-21 12 views
9

Una delle funzionalità più potenti dei moderni browser è la possibilità per gli sviluppatori di software di scrivere estensioni del browser per migliorare, modificare e modificare le pagine visitate dall'utente. Man mano che la maggior parte delle nostre vite migrano nel browser, non stiamo forse esponendo noi stessi a un enorme problema di privacy e sicurezza creato dall'installazione di un'estensione del browser di natura dannosa?Quanto è grande il rischio per la sicurezza le estensioni del browser?

Mi rendo conto che il codice sorgente di queste estensioni è estraibile e leggibile se l'autore non ha tentato di offuscare il comportamento. Ma l'efficacia di questo tipo di revisione è compromessa dal browser che incoraggia gli utenti a mantenere aggiornate le loro estensioni. Sebbene la versione 1.0 di un'estensione possa essere innocua, un browser degli utenti potrebbe suggerire un aggiornamento alla versione 1.1 che potrebbe contenere codice dannoso che potrebbe essere utilizzato per raccogliere informazioni dallo schermo del browser compromesso.

Come utente e sviluppatore di estensioni del browser, la reputazione dello sviluppatore è l'unica cosa in atto per fornire garanzie agli utenti che la loro attività di navigazione sarà sicura? Esistono meccanismi per proteggere gli utenti da un'estensione del browser compromessa?

Esistono buone pratiche per sviluppare estensioni in modo da fornire agli utenti la certezza che il codice che installano e aggiornano è di natura benigna?

fonte

2009-12-21 Dave

risposta

4

Le estensioni del browser possono fare quasi tutto ciò che l'utente può fare. Possono inviare le password della banca, leggere i file sul disco locale, eseguire comandi, ecc. La sicurezza di un browser dipende non solo dal browser stesso, ma anche da tutte le estensioni installate.

fonte

2009-12-21 19:16:41

+2

Questo è sempre ciò che mi impedisce di installare molti tipi di estensioni. Ci sono alcuni veramente grandi là fuori, ma quando installo le estensioni in Chrome (ad esempio) e dice "Questa estensione può accedere a tutti i dati privati ​​su ogni pagina web che visiti" mi fermo e decido di non farlo. Puzza perché sto anche rinunciando a molte funzionalità. – JasCav

2

Internet Explorer Browser Helper Objects sono estremamente pericolosi. Fondamentalmente consentono al browser di eseguire codice nativo, che potrebbe essere qualsiasi cosa. Non sono sicuro che siano ancora così diffusi ora come lo erano negli anni passati, ma sono uno dei motivi per cui Internet Explorer è molto meno sicuro di Firefox e di altri browser.

I plug-in di stile Mozilla con XUL ei plug-in di Microsoft Silverlight sono in modalità sandbox per cercare di prevenire comportamenti dannosi. In definitiva, si basa sulla reputazione dello sviluppatore per qualsiasi tipo di software che sia ritenuto affidabile dai suoi utenti, comunque. Anche nei casi in cui lo sviluppatore non sta tentando di scrivere malware, i bug nel programma potrebbero rivelare degli exploit di sicurezza.

fonte

2009-12-21 19:15:56 Parappa

+3

C'è differenza tra il plug-in di Mozilla (ad esempio Flash, Java) e l'estensione Mozilla (ad esempio Firebug, AdBlock). Le estensioni non sono in modalità sandbox. –

-4

Questo è il motivo per cui disponi di più macchine e, se non puoi permetterne una nuova, utilizza una macchina virtuale per eseguire la maggior parte delle cose e monitorarne il comportamento. È quello che faccio almeno prima di fare qualsiasi cosa.

RnVja3Mgd2l0aCBtZSBmYW0hIGhpdCBtZSB1cCBhdCB0aGVib3NzODkwN0B5YWhv by5jb20gaWYgeW91IGhhdmUgYW55IHF1ZXN0aW9ucw ==

fonte

2009-12-21 19:34:38

4

Ho scritto un paio di estensioni per Chrome di recente, e non avevo idea di come le estensioni danno molto potrebbe davvero fare prima.

  • Le estensioni chiedono permessi, ma questi sono molto ampi. Qualsiasi estensione non banale molto probabilmente finirà per chiedere "Permesso completo", e la maggior parte degli utenti semplicemente batte il pulsante "SÌ". Persino un utente esperto di tecnologia potrebbe ritenerlo legittimo, lo so.

  • La maggior parte delle estensioni sono gratuite. Costa tempo e denaro per codificarli, quindi in che modo gli sviluppatori stanno recuperando il loro investimento? Alcuni lo fanno per divertimento, ma il web store di Chrome ti chiede in particolare se stai pianificando di aggiungere degli add - posso solo dedurre che questa è una pratica comune per gli sviluppatori di estensioni. Le estensioni potrebbero anche fungere da cookie di tracciamento e vendere statistiche di utilizzo a chiunque.

  • È quasi banale scrivere un'estensione che potrebbe accrescere le password e inviarle a terzi. Anche se queste password sono "salvate". Una delle mie estensioni aveva un caso d'uso legittimo per modificare tutti i campi di input su tutte le pagine, e ho scoperto che chrome avrebbe semplicemente incollato felicemente le password memorizzate in testo normale. Lo stesso vale per le informazioni CC.

  • Molte estensioni includono pacchetti di analisi, per aiutare gli sviluppatori a identificare chi sono i loro utenti, quali parti dell'app è utilizzata e così via. Penso che questo sia un caso d'uso legittimo, ma potresti non essere necessariamente d'accordo.

  • Se sei uno sviluppatore, tieni presente che le estensioni di Chrome potrebbero influire in modo significativo sui tempi di caricamento della pagina. La mia estensione, che ho ottimizzato instancabilmente per essere il più leggero possibile, ha causato a tutte le pagine un tempo di caricamento aggiuntivo di 50-200 ms.

Quindi, dopo aver visto cosa è possibile, ho disattivato tutte le estensioni in Chrome tranne che per il mio. Mi manca davvero solo AdBlock.

fonte

2015-02-11 05:34:15 Gleno

Problemi correlati

 Problemi correlati