流行的 Chrome 扩展程序的风险有多大？

Question

我即将切换到 Chromium，并且安装了几个扩展。每次安装扩展程序时，我都会收到扩展程序可以访问哪些数据的通知，例如：

我确实理解访问该数据对于扩展程序的工作是必要的，但我有点担心这样的扩展程序有一天可能会决定更新和窃取（“回拨”）我所有的浏览数据。

另一个可怕消息的例子（启用隐身窗口扩展时）：

警告：Chromium 无法阻止扩展记录您的浏览历史记录。要在隐身模式下禁用此扩展程序，请取消选择此选项。

使用流行的 Chrome 扩展程序时，这是否可能构成威胁？为您添加到浏览器的每个新功能都必须信任另一方，这有点可怕。

Answer 1

您忘记了以下内容：

扩展程序越流行，没有人注意到该附加组件执行有害操作的可能性就越小。

与此相反，如果您安装了一些其他人以前没有使用过的扩展程序，那么您冒的风险比安装 AdBlock 还多。考虑到有这么多人在使用它，几乎可以肯定地说：有人会注意到异常流量。

事实上，所有扩展都公开了它们的源代码，所以基本上任何人都可以继续自己寻找任何可疑的东西。

警告就在那里，所以你不能因为任何损坏而责怪浏览器供应商，以防你安装了一些与你的数据相悖的东西。在安装之前，请务必阅读您认为可疑的附加组件的评论。

另请注意，例如 Google 可以检查提交内容：

虽然 Google 没有义务监控产品或其内容，但 Google 可以随时审查或测试您的产品及其源代码是否符合本协议、Google Chrome 网上应用店计划政策以及任何其他适用条款、义务、法律或法规，并可能使用自动化手段进行此类审查

删除扩展当然会给开发人员带来一些麻烦。

Answer 2

这是一项艰难的风险评估。流行带来两件事：

• 更多的人试图改进它（发现错误的代码）
• 更多的人试图破解它（并引入不良代码）来攻击更大的用户群

让我们假设对于这些示例，我们谈论的是一个开源项目，其代码托管在 github 之类的东西中。

如果某件事有一个开发人员，那只是一个人检查代码。如果有人（不是开发人员）想要向其中添加代码，他们要么需要欺骗开发人员添加恶意补丁（这种情况发生），要么以开发人员的身份验证为目标，以便他们自己添加代码（也会发生）。这两种情况发生的可能性取决于开发人员的能力及其安全性。

如果有 10 个开发人员，则攻击向量是其 10 倍。但也有可能发现代码的人数是其 10 倍。

我确信在一个项目中，它获得了足够的动力，让人们对其代码执行定期安全审计。但在此之前的任何时间，都是秋千和回旋处。

tl;dr实在是太难了。人为因素太多了。如果重要，请不要相信它，除非您可以自己验证代码。