将“敏感”文件添加到Chrome Devtools工作区的风险

时间:2018-01-17 21:21:17

标签: google-chrome-devtools

将本地文件系统中的文件夹添加到Chrome DevTools工作区时,您将收到一个对话框标题,警告您在授予访问权限之前“不公开任何敏感信息”。

这样做有哪些具体风险?工作区是否容易受到扩展的访问?脚本注入?

1 个答案:

答案 0 :(得分:1)

Official response -

“我们使用相同的api作为常规网站/ chrome应用程序,因此它不是devtools特有的东西。我认为理论上如果你将工作区地图映射到恶意网站,然后你用devtools实时编辑你的网站打开网站可能能够检测到您的编辑?但这很复杂。

我们假设工作区中的信息是项目的数据。我不会将/ etc / passwd添加到devtools工作区。“

来自review -

“如何撤销访问权限?如果我犯了错误,我可以删除.allow-devtools-edit文件。我没有看到使用新方法执行此操作的方法。

我不确定信息棒足够强大。有一类用户会点击这个,但永远不会愿意或精明到将.allow文件放到他们的机器上。“

以及 -

“该消息应该更加可怕,谈论确保该目录中没有敏感信息。”

并不多,但前一种方法的原始issue(将文件添加到文件夹以允许映射也表示 -

“DevTools需要文件系统访问权限,以允许开发人员编辑/添加源代码(即使那些未从服务器加载的源代码,例如部署描述符,服务器脚本)。

我们计划使用File System API(隔离文件系统)。 要向DevTools添加文件夹,用户需要 1.将空的.allow-devtools-edit文件添加到该文件夹​​中(出于安全目的)“

我想因为Developer Tools扩展可能会读取您映射的文件,它可能会暴露高度敏感的信息,例如可能在配置文件中找到的未加密的用户名和密码。