it-swarm-tr.com

En kötü senaryo, Chrome uzantı "Tüm web sitelerindeki verileriniz" ve "Sekmeleriniz ve göz atma etkinliğiniz" ile ne yapabilir?

Chrome uzantıları ve tıpkı diğer tarayıcılar gibi tarayıcı verilerinize genellikle oldukça kapsamlı erişim sağlıyor gibi görünüyor. Aslında, yüklediğim çoğu uzantı şunlara erişim gerektiriyor:

  • Tüm web sitelerindeki verileriniz
  • Sekmeleriniz ve göz atma etkinliğiniz

Ve bu bana bunun ne anlama geldiğini merak etmemi sağladı.

Diyelim ki biri kötü bir uzantı yazıyor, ona "I-BİLİYORUM-HER ŞEY-SİZ-DO ve bir RSS Okuyucu" (o kötü, ama aynı zamanda dürüst) diyor. RSS okuyucum olmasını gerçekten seviyorum, bu yüzden bunu yüklüyorum. Tüm verilerime erişim gerektiren uzantı hakkında bu büyük uyarıyı görüyorum, ancak daha sonra, diğer tüm uzantılar da öyle, bu nedenle bu erişimi vermekten memnuniyet duyuyorum.

Daha kötü senaryoyu düşünerek, bu uzantı ne yapabilir? Olabilir mi:

  1. Ziyaret ettiğim tüm web sitelerinin bir listesini üreticiye gönderilsin mi?
  2. Formlara girdiğim verileri yakalansın mı? (kişisel verilerim, şifrelerim vb. gibi)
  3. Bir web sitesinde ne kadar süredir bulunduğumu ve hangi sayfaları ziyaret ettiğimi görün?
  4. Çerezlere erişilsin mi?
  5. Bilgisayarımdaki diğer dosyalara erişilsin mi? (Sanırım Sandbox ortamı göz önüne alındığında, ama hala merak ediyorum)
  6. Daha kötüsü var mı?
75
please delete me
  1. Ziyaret ettiğim tüm web sitelerinin bir listesini üreticiye gönderilsin mi?

    Evet

  2. Formlara girdiğim verileri yakalansın mı? (kişisel verilerim, şifrelerim vb. gibi)

    Evet

  3. Bir web sitesinde ne kadar süredir bulunduğumu ve hangi sayfaları ziyaret ettiğimi görün?

    Evet

  4. Çerezlere erişilsin mi?

    Güncellendi, bunun için Bryan Field adresinden aşağıdaki yoruma bakın.

    Bryan Field : 4 sayısı dışında harika bir cevap. httponly bayrağı olmayan çerezlere kesinlikle ulaşılabilir, bunun ötesinde bilmiyorum. Uzantının açıldığı sırada Gmail'iniz açık olmasa bile, uzantının manuel olarak örneğin Gmail sayfanızı arayabileceğini ve tüm e-postalarınızı alabileceğini ekleyeceğim. Sadece giriş yapmanız gerekir ve bu sayfaları arayabilir. Bu nedenle, httponly çerezleri doğrudan görüntülenemese bile (sayı 4), gerçekten önemli değildir, çünkü çerezler hala dolaylı ve etkili bir şekilde kullanılabilir

  5. Bilgisayarımdaki diğer dosyalara erişilsin mi? (Sanırım Sandbox ortamı göz önüne alındığında, ama hala merak ediyorum)

    Hayır - sandbox'ın bunu önleyeceği gibi.

  6. Daha kötüsü var mı?

    Ziyaret ettiğiniz tüm sayfalardaki verileri okuyun (ve gönderin).

Bunun neden sıklıkla gerekli olduğu, ancak bu soruda her zaman tartışılmayan bazı ayrıntılar Neden Chrome uzantıların 'tüm verilerim' ve 'göz atma etkinliğine' erişmesi gerekiyor?

46
Jontas

Google, aşağıdaki blog yayınındaki uzantıların güvenlik modelini kısaca açıklamaktadır:

http://blog.chromium.org/2009/12/security-in-depth-extension-system.html

Uzantıları yalnızca güvenilir kaynaklardan yükleyin.

8
Serdar