ความเสี่ยงใหญ่แค่ไหนที่เป็นส่วนขยายของ Chrome ที่ได้รับความนิยม

20

ฉันกำลังจะเปลี่ยนไปใช้ Chromium และฉันได้ติดตั้งส่วนขยายสองสามรายการ ทุกครั้งที่ฉันติดตั้งส่วนขยายฉันได้รับแจ้งว่าข้อมูลที่ส่วนขยายสามารถเข้าถึงได้เช่น:

ป้อนคำอธิบายรูปภาพที่นี่

ฉันเข้าใจว่าการเข้าถึงข้อมูลนั้นเป็นสิ่งจำเป็นสำหรับส่วนขยายในการทำงาน แต่ฉันกังวลเล็กน้อยว่าวันหนึ่งส่วนขยายดังกล่าวอาจตัดสินใจที่จะอัปเดตและขโมย ("โทรศัพท์บ้าน") ข้อมูลการท่องเว็บทั้งหมดของฉัน

อีกตัวอย่างของข้อความที่น่ากลัว (เมื่อเปิดใช้งานส่วนขยายสำหรับหน้าต่างที่ไม่ระบุตัวตน):

คำเตือน: Chromium ไม่สามารถป้องกันส่วนขยายจากการบันทึกประวัติการเข้าชมของคุณ หากต้องการปิดใช้งานส่วนขยายนี้ในโหมดไม่ระบุตัวตนให้ยกเลิกการเลือกตัวเลือกนี้

เป็นภัยคุกคามที่เป็นไปได้หรือไม่เมื่อใช้ส่วนขยาย Chrome ที่เป็นที่นิยม มันค่อนข้างน่ากลัวที่จะเชื่อใจอีกฝ่ายสำหรับฟังก์ชั่นใหม่ที่คุณเพิ่มลงในเบราว์เซอร์

security  google-chrome-extensions 
htorque
แหล่งที่มา
คำถามที่เกี่ยวข้องกับสแต็คโอเวอร์โฟลว์: stackoverflow.com/questions/249106/ …
LeopardSkinPillBoxHat

คำตอบ:

25

คุณลืมสิ่งต่อไปนี้:

ส่วนขยายที่ได้รับความนิยมยิ่งมีขนาดเล็กลงโอกาสที่จะไม่มีใครสังเกตเห็นว่าส่วนเสริมนั้นทำอะไรที่เป็นอันตราย

ในทางตรงกันข้ามหากคุณติดตั้งส่วนขยายที่ไม่มีใครใช้มาก่อนคุณมีความเสี่ยงมากกว่าสมมติว่าติดตั้ง AdBlock เมื่อพิจารณาว่ามีคนจำนวนมากกำลังใช้งานอยู่มันเกือบจะปลอดภัยที่จะพูดว่า: บางคนจะสังเกตเห็นการจราจรที่ผิดปกติ

ในความเป็นจริงส่วนขยายทั้งหมดเปิดเผยซอร์สโค้ดของตนดังนั้นใครก็ตามสามารถไปข้างหน้าและมองหาสิ่งที่น่าสงสัยด้วยตนเอง

คำเตือนอยู่ที่นั่นเพื่อให้คุณไม่สามารถตำหนิผู้ขายเบราว์เซอร์สำหรับความเสียหายใด ๆ ที่เกิดขึ้นในกรณีที่คุณติดตั้งบางอย่างที่ผิดพลาดกับข้อมูลของคุณ อ่านคำวิจารณ์เกี่ยวกับส่วนเสริมที่ดูน่าสงสัยก่อนทำการติดตั้ง

โปรดทราบว่าตัวอย่างเช่น Google สามารถตรวจสอบการส่ง:

ในขณะที่ Google ไม่มีภาระผูกพันในการตรวจสอบผลิตภัณฑ์หรือเนื้อหาของพวกเขา Google อาจตรวจสอบหรือทดสอบผลิตภัณฑ์ของคุณและซอร์สโค้ดของพวกเขาได้ตลอดเวลาเพื่อให้สอดคล้องกับข้อตกลงนี้นโยบายโปรแกรมร้านค้า Google Chrome เว็บสโตร์และข้อกำหนดอื่น ๆ หรือกฎระเบียบและอาจใช้วิธีการอัตโนมัติเพื่อดำเนินการตรวจสอบดังกล่าว

แน่นอนว่าการลบส่วนขยายอาจทำให้เกิดปัญหากับผู้พัฒนา

slhck
แหล่งที่มา
2
ดังนั้นส่วนขยายสามารถรวบรวมและส่งคืนข้อมูลของฉันได้ แต่มีโอกาสน้อยกว่าเมื่อได้รับความนิยมเนื่องจากซอร์สโค้ดมีให้สำหรับสาธารณะ
htorque
1
@ htorque ส่วนขยายสามารถทำเช่นนั้นได้ใช่ - แต่เนื่องจากลักษณะของสิ่งต่าง ๆ หากมีผู้คนจำนวนมากที่ต้องระวังโอกาสของสิ่งที่ไม่ดีเกิดขึ้นจะลดลง
slhck
3
อาจมีเหตุผล "ถูกต้อง" สำหรับพวกเขาในการส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ของพวกเขา ในกรณีนี้มันไม่น่าจะเป็นข่าวใหญ่หากมีคนรู้ว่าพวกเขาทำ
Stefano Palazzo
1
@ สเตฟาโนใช่แล้วใช่ไหม สวัสดีส่วนขยายบางอย่างอาจไม่ทำงานหากไม่มีสิ่งนั้น
slhck
1
ใช่ตามากขึ้นมักจะดีกว่า น่าเสียดายที่มันยังหมายความว่ายิ่งมีคนใช้มากขึ้นคนก็จะคิดว่าคนอื่นจะดูแลตรวจสอบและไม่ทำเช่นนั้นเองซึ่งจะส่งผลให้เกิดความรู้สึกปลอดภัย :-(
Synetech
9

เป็นการประเมินความเสี่ยงที่ยากที่จะทำ ความนิยมนำสองสิ่ง:

  • มีคนพยายามปรับปรุงให้มากขึ้น (ระบุรหัสที่ไม่ถูกต้อง)
  • มีคนพยายามแฮ็คมันมากขึ้น (และแนะนำรหัสที่ไม่ดี) เพื่อโจมตีฐานผู้ใช้ที่ใหญ่กว่า

สมมติว่าตัวอย่างเหล่านี้เรากำลังพูดถึงโครงการโอเพ่นซอร์สที่มีโค้ดที่โฮสต์ในบางสิ่งเช่น Github

หากบางสิ่งมีนักพัฒนาเพียงคนเดียวนั่นเป็นเพียงคนเดียวที่เช็คอินโค้ด หากใครบางคน (ไม่ใช่นักพัฒนาซอฟต์แวร์) ต้องการเพิ่มรหัสให้พวกเขาต้องหลอกนักพัฒนาให้เพิ่มโปรแกรมแก้ไขที่เป็นอันตราย (เกิดขึ้น) หรือกำหนดเป้าหมายการตรวจสอบสิทธิ์ของนักพัฒนาซอฟต์แวร์เพื่อให้พวกเขาสามารถเพิ่มรหัสเองได้ โอกาสของการเกิดเหตุการณ์เหล่านี้ขึ้นอยู่กับความสามารถของผู้พัฒนาและความปลอดภัยของพวกเขา

หากมีผู้พัฒนา 10 คนจะมีเวกเตอร์การโจมตีจำนวน 10 เท่า แต่ก็มีผู้คนจำนวนมากที่อาจมองเห็นโค้ดได้ถึง 10 เท่า

ฉันแน่ใจว่ามีจุดหนึ่งในโครงการที่ได้รับแรงกระตุ้นมากพอที่จะให้คนทำการตรวจสอบความปลอดภัยเป็นประจำในรหัสของมัน แต่ก่อนหน้านั้นมันมีการแกว่งและวงเวียน

tl; drมันยากเกินไปที่จะออกกำลังกายอย่างแนบเนียน มีองค์ประกอบมนุษย์มากเกินไป หากเป็นเรื่องสำคัญอย่าไว้ใจถ้าคุณไม่สามารถตรวจสอบรหัสด้วยตนเองได้

Oli
แหล่งที่มา
+1 ยังเป็นคำอธิบายที่ดีมาก
slhck
2
ฉันเชื่อในแฮ็กเกอร์เคอร์เนลหลายร้อยคน ... มันเป็นเรื่องแปลกที่ 'ลงทุน' ไว้วางใจให้กับบุคคลที่สามเพิ่มเติมสำหรับฟังก์ชั่นเบราว์เซอร์ที่เรียบง่ายเช่นการสนับสนุนท่าทางเมาส์ (ทำไมส่วนขยายดังกล่าวทำให้มีโอกาสติดต่อโลกภายนอกตั้งแต่แรก ?)
htorque
จุดที่สองของ Oli คือเหตุผลที่ผู้ใช้ Linux และ Mac ยืนยันว่าแพลตฟอร์มของตนเหนือกว่าและปลอดภัยกว่าสำหรับ Windows ผิด แฮกเกอร์ส่วนใหญ่ไม่ได้แฮ็ค Linux หรือ Mac เพราะมีรางวัลไม่เพียงพอในการทำเช่นนั้น หากมีอยู่จำนวนของช่องโหว่จะระเบิด (อาจไม่สูงเท่ากับ Windows แต่ก็ยัง ... ) มันเหมือนกันกับซอฟต์แวร์ใด ๆรวมถึงส่วนขยาย ยิ่งได้รับความนิยมมากเท่าไรก็ยิ่งมีแรงจูงใจในการแฮ็คมากเท่านั้น (เพียงแค่ดูจำนวนที่เพิ่มขึ้นของ Facebook / Twitter / ฯลฯ แฮ็ก.)
Synetech
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.