it-swarm-vi.com

Trường hợp xấu nhất, phần mở rộng Chrome có thể làm gì với "Dữ liệu của bạn trên tất cả các trang web" và "Tab và hoạt động duyệt web của bạn"?

Các tiện ích mở rộng của Chrome và cũng giống như các trình duyệt khác, dường như thường nhận được khá nhiều quyền truy cập vào dữ liệu trình duyệt của bạn. Trên thực tế, hầu hết các tiện ích mở rộng tôi đã cài đặt đều yêu cầu quyền truy cập vào:

  • Dữ liệu của bạn trên tất cả các trang web
  • Các tab và hoạt động duyệt web của bạn

Và điều này khiến tôi tự hỏi điều đó ngụ ý gì, chính xác.

Giả sử ai đó viết một phần mở rộng xấu xa, gọi nó là "TÔI-BIẾT-MỌI THỨ-BẠN-LÀM, và Trình đọc RSS" (anh ta xấu xa, nhưng cũng trung thực). Tôi thực sự muốn có một trình đọc RSS, vì vậy tôi cài đặt nó. Tôi thấy cảnh báo lớn này về tiện ích mở rộng yêu cầu quyền truy cập vào tất cả dữ liệu của tôi, nhưng sau đó một lần nữa, mọi tiện ích mở rộng khác cũng vậy, vì vậy tôi sẵn sàng cấp quyền truy cập này.

Suy nghĩ kịch bản trường hợp xấu hơn, phần mở rộng này có thể làm gì? Có thể nó:

  1. Gửi danh sách tất cả các trang web tôi truy cập cho nhà sản xuất?
  2. Thu thập dữ liệu tôi nhập vào biểu mẫu? (như dữ liệu cá nhân, mật khẩu của tôi, v.v.)
  3. Xem tôi đã ở trên một trang web được bao lâu và những trang nào tôi đã truy cập?
  4. Truy cập cookie?
  5. Truy cập các tập tin khác trên máy tính của tôi? (Tôi đoán là không, với môi trường Sandbox , nhưng tôi vẫn đang tự hỏi)
  6. Làm gì tệ hơn?
75
please delete me
  1. Gửi danh sách tất cả các trang web tôi truy cập cho nhà sản xuất?

    Đúng

  2. Thu thập dữ liệu tôi nhập vào biểu mẫu? (như dữ liệu cá nhân, mật khẩu của tôi, v.v.)

    Đúng

  3. Xem tôi đã ở trên một trang web được bao lâu và những trang nào tôi đã truy cập?

    Đúng

  4. Truy cập cookie?

    Đã cập nhật, Xem nhận xét sau từ Bryan Field cho cái này.

    Trường Bryan : Câu trả lời tuyệt vời, ngoại trừ số 4. Có thể truy cập cookie không có cờ httponly, ngoài ra tôi không thể truy cập t biết Tôi sẽ nói thêm rằng có khả năng tiện ích mở rộng có thể gọi thủ công, ví dụ trang Gmail của bạn và nhận tất cả email của bạn, ngay cả khi bạn không mở Gmail trong thời gian tiện ích mở rộng được mở. Bạn chỉ cần đăng nhập và nó có thể gọi những trang đó. Vì vậy, ngay cả khi cookie httponly không thể được xem trực tiếp (số 4), điều đó không thực sự quan trọng, vì cookie vẫn có thể được sử dụng gián tiếp và hiệu quả

  5. Truy cập các tập tin khác trên máy tính của tôi? (Tôi đoán là không, với môi trường Sandbox, nhưng tôi vẫn đang tự hỏi)

    Không - như bạn nói hộp cát sẽ ngăn chặn điều đó.

  6. Làm gì tệ hơn?

    Đọc (và gửi) dữ liệu trên tất cả các trang bạn truy cập.

Một số chi tiết khác về lý do tại sao điều này thường cần thiết, nhưng không phải lúc nào cũng được thảo luận trong câu hỏi này Tại sao Chrome tiện ích mở rộng cần quyền truy cập vào 'tất cả dữ liệu của tôi' và 'hoạt động duyệt web'?

46
Jontas

Google giải thích ngắn gọn về mô hình bảo mật cho các tiện ích mở rộng trong bài đăng trên blog sau:

http://blog.chromium.org/2009/12/security-in-depth-extension-system.html

Chỉ cài đặt tiện ích mở rộng bằng các nguồn đáng tin cậy.

8
Serdar