Dav*_*ave 10 browser security privacy malware
现代浏览器的一个更强大的功能是软件开发人员能够编写浏览器扩展以增强,修改和调整用户访问的页面.随着我们的生活越来越多地迁移到浏览器上,我们是否有可能将自己暴露在由安装恶意本质的浏览器扩展所造成的大量隐私和安全漏洞中?
我意识到如果作者没有尝试混淆行为,这些扩展的源代码是可提取的和可读的.但是,这种类型的审查的有效性受到浏览器的影响,该浏览器鼓励用户使其扩展更新.虽然扩展的1.0版本可能是无害的,但是用户浏览器可能会建议升级到1.1版,其可能包含可用于从受损浏览器的屏幕上抓取信息的恶意代码.
作为浏览器扩展的用户和开发者,开发人员的声誉是唯一能够向用户保证他们的浏览活动是安全的吗?是否有任何机制来帮助保护用户免受受损的浏览器扩展?
是否有任何最佳实践来开发扩展,以便用户确保他们安装和更新的代码本质上是良性的?
浏览器扩展几乎可以执行用户可以执行的操作 他们可以发送您的银行密码,读取本地磁盘上的文件,执行命令等.浏览器的安全性不仅取决于浏览器本身,还取决于所有已安装的扩展.
我最近为Chrome写了一些扩展程序,我不知道扩展在此之前可以做多少伤害.
扩展程序要求权限,但这些权限非常广泛.任何非平凡的扩展很可能最终要求"完全许可",大多数用户只会敲响"是"按钮.即使是精通技术的用户也可能认为这是合法的,我知道我有.
大多数扩展都是免费的 编写代码需要花费时间和金钱,那么开发人员如何获得投资呢?有些人这样做很有趣,但Chrome网上商店特别询问你是否计划注入添加 - 我只能推断这是扩展开发人员的常见做法.扩展程序还可以用作跟踪Cookie,并将使用情况统计信息出售给任何人.
编写一个扩展程序可以将密码全局化并将其发送给第三方,这几乎是微不足道的.即使这些密码被"保存".我的一个扩展程序有一个合法的用例来修改所有页面上的所有输入字段,我发现chrome只是很乐意用纯文本粘贴存储的密码.CC信息也是如此.
许多扩展包括分析包,以帮助开发人员识别用户是谁,使用应用程序的哪些部分等等.我认为这是一个合法的用例,但您可能不一定同意.
如果您是开发人员,请注意Chrome扩展程序可能会显着影响页面加载时间.我自己的扩展,我不知疲倦地优化为尽可能轻量级,导致所有页面额外50-200ms的加载时间.
所以在我看到可能的内容之后,我已经禁用了Chrome中的所有扩展程序,除了我自己的扩展程序.我真的只想念AdBlock.
| 归档时间: |
|
| 查看次数: |
1908 次 |
| 最近记录: |