浏览器扩展的安全风险有多大?

时间:2009-12-21 19:02:25

标签: security browser privacy malware

现代浏览器的一个更强大的功能是软件开发人员能够编写浏览器扩展来增强,修改和调整用户访问的页面。随着我们的生活越来越多地迁移到浏览器上,我们是否有可能将自己暴露于安装恶意浏览器扩展所造成的大量隐私和安全漏洞?

如果作者没有尝试混淆行为,我意识到这些扩展的源代码是可提取的和可读的。但是,这种类型的审查的有效性受到浏览器的影响,该浏览器鼓励用户使其扩展更新。虽然扩展的1.0版本可能是无害的,但用户浏览器可能会建议升级到1.1版,其中可能包含恶意代码,可用于从受感染浏览器的屏幕中抓取信息。

作为浏览器扩展的用户和开发者,开发人员的声誉是唯一能够向用户保证他们的浏览活动是安全的吗?是否有任何机制可以帮助保护用户免受受损浏览器扩展的影响?

是否有任何最佳实践来开发扩展,以便用户确保他们安装和更新的代码本质上是良性的?

4 个答案:

答案 0 :(得分:6)

浏览器扩展几乎可以完成用户可以执行的任何操作。他们可以发送您的银行密码,读取本地磁盘上的文件,执行命令等。浏览器的安全性不仅取决于浏览器本身,还取决于所有已安装的扩展。

答案 1 :(得分:5)

我最近为Chrome编写了一些扩展程序,我不知道扩展在此之前可以做多少伤害。

  • 扩展程序要求权限,但这些权限非常广泛。任何非平凡的扩展很可能最终要求“完全许可”,大多数用户只会敲响“是”按钮。即使是精通技术的用户也可能认为这是合法的,我知道我有。

  • 大多数扩展都是免费的。编写代码需要花费时间和金钱,那么开发人员如何获得投资呢?有些人这样做很有趣,但Chrome网上商店专门询问你是否计划注入添加 - 我只能推断这是扩展开发人员的常见做法。扩展程序还可以用作跟踪Cookie,并将使用情况统计信息出售给任何人。

  • 编写一个扩展密码并将其发送给第三方,这几乎是微不足道的。即使这些密码被“保存”。我的一个扩展程序有一个合法的用例来修改所有页面上的所有输入字段,我发现chrome只是很乐意用纯文本粘贴存储的密码。 CC信息也是如此。

  • 许多扩展包括分析包,以帮助开发人员识别用户是谁,使用应用程序的哪些部分等等。我认为这是一个合法的用例,但您可能不一定同意。

  • 如果您是开发人员,请注意Chrome扩展程序可能会显着影响页面加载时间。我自己的扩展,我不知疲倦地优化为尽可能轻量级,导致所有页面都有额外的50-200ms加载时间。

所以在我看到可能的内容之后,我已经停用Chrome中的所有扩展程序,除了我自己的扩展程序。我真的只想念AdBlock。

答案 2 :(得分:2)

Internet Explorer Browser Helper Objects非常不安全。它们基本上允许浏览器运行本机代码,这可能是任何东西。我不确定它们现在是否像过去几年一样普及,但它们是Internet Explorer比Firefox和其他浏览器安全得多的原因之一。

使用XUL和Microsoft的Silverlight插件的Mozilla样式插件进行沙盒化,以尝试防止恶意行为。最终,它依赖于开发人员对其用户认为值得信赖的任何软件的声誉。即使在开发人员没有尝试编写恶意软件的情况下,程序中的错误也可能会暴露安全漏洞。

答案 3 :(得分:-4)

这就是为什么你有多台机器,如果你买不起新机器,使用虚拟机来运行大部分内容并监控它的行为。这是我在做任何事之前至少做的事情。

RnVja3Mgd2l0aCBtZSBmYW0hIGhpdCBtZSB1cCBhdCB0aGVib3NzODkwN0B5YWhv by5jb20gaWYgeW91IGhhdmUgYW55IHF1ZXN0aW9ucw ==