浏览器扩展程序对安全的风险有多大？

Question

10

现代浏览器的一个更强大的特性是软件开发人员可以编写浏览器扩展程序，以增强、修改和调整用户访问的页面。随着我们生活的更多内容迁移到浏览器上，我们是否潜在地面临着由安装恶意浏览器扩展程序创建的大规模隐私和安全漏洞？

我知道这些扩展程序的源代码如果作者没有尝试混淆行为，是可提取和可读的。但是，浏览器鼓励用户保持他们的扩展程序最新，这种审查方式的效果会受到影响。虽然版本1.0的扩展程序可能是无害的，但用户的浏览器可能建议升级到版本1.1，该版本可能包含恶意代码，用于从受损浏览器的屏幕中获取信息。

作为浏览器扩展程序的用户和开发人员，开发者的声誉是否是唯一能够向其用户提供保证其浏览活动安全的东西？有没有任何机制可以帮助保护用户免受受损浏览器扩展程序的影响？

有没有任何最佳实践来开发扩展程序，以使用户确信他们安装和更新的代码是良性的？

- Dave

4个回答

5

浏览器扩展可以做用户能做的几乎所有事情。它们可以发送您的银行密码、读取本地磁盘上的文件、执行命令等。浏览器的安全性不仅取决于浏览器本身，还取决于所有已安装的扩展程序。

- el.pescado - нет войне

3

这总是让我不敢安装很多类型的扩展程序。虽然有一些真的很好用的扩展程序，但当我在Chrome（例如）中安装扩展程序时，它说：“此扩展程序可以访问您访问的每个网页上的所有私人数据”，我就会停下来并决定不安装了。这很糟糕，因为我也放弃了很多功能。 - JasCav

2

Internet Explorer的浏览器帮助对象非常不安全。它们基本上允许浏览器运行本地代码，这可能是任何东西。我不确定它们现在是否像过去那样普遍，但它们是Internet Explorer比Firefox和其他浏览器更不安全的原因之一。

使用 XUL 和Microsoft的 Silverlight 插件的Mozilla风格插件被沙箱化以尝试防止恶意行为。然而，最终软件是否值得信任取决于开发者的声誉，即使在开发者没有试图编写恶意软件的情况下，程序中的漏洞也可能会暴露安全漏洞。

- Parappa

3

Mozilla插件（例如Flash、Java）和扩展（例如Firebug、AdBlock）之间存在差异。扩展没有沙盒保护。 - el.pescado - нет войне

-4

这就是为什么你需要多台机器，如果你买不起新的，可以使用虚拟机来运行大部分的东西并监控它的行为。至少在我做任何事情之前都是这样做的。

Runes with me fam! hit me up at theboss8907@yahoo.com if you have any questions

- Peter Neversoft

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Gleno · Accepted Answer

我最近为Chrome编写了一些扩展程序，之前我并不知道扩展程序可能带来多大的危害。

扩展程序会要求权限，但这些权限通常非常广泛。任何一个较复杂的扩展程序大概率都需要请求“完全权限”，而大多数用户只会轻易地点击“是”按钮。即使是技术娴熟的用户也可能认为这是合法的，我也曾经这么认为过。

大多数扩展程序都是免费的。编写扩展程序需要时间和金钱，那么开发者是如何回收投入的呢？有些人只是出于兴趣而编写扩展程序，但Chrome网上应用店特别询问是否计划注入广告——我只能推断这是扩展程序开发者的常见做法。扩展程序还可以充当跟踪Cookie，并向任何人出售使用统计数据。

编写一个能够捕获你的密码并将其发送给第三方的扩展程序几乎是很容易的事情，即使这些密码已经被“保存”了。我的一个扩展程序有一个合法的用例，可以修改所有页面上的所有输入字段，然后我发现Chrome会直接以明文形式粘贴存储的密码。信用卡信息同样适用。

许多扩展程序包括分析软件包，帮助开发者确定谁是他们的用户，使用了哪些应用程序等。我认为这是一个合法的用例，但你可能并不一定同意。

如果你是一名开发者，请注意Chrome扩展程序可能会显著影响页面加载时间。即使是我自己不断地优化以尽可能轻量化的扩展程序也会导致所有页面多出50-200毫秒的加载时间。

因此，在看到了扩展程序可能带来的危害后，我在Chrome中禁用了除自己编写的扩展程序以外的所有扩展程序。我只是真正想念AdBlock而已。