Come testare se un componente aggiuntivo del browser è sicuro

Sfondo. Innanzitutto, desidero condividere con te alcuni elementi sui componenti aggiuntivi del browser. Esistono due tipi di componenti aggiuntivi: estensioni e plug-in .

• Un'estensione è un componente aggiuntivo basato su Javascript che ottiene l'accesso parziale al browser, ma è (almeno in Chrome) limitato da una sandbox del browser.

• Un plug-in implica un codice eseguibile nativo che ottiene un accesso molto più intimo al browser e non è limitato da alcuna sandbox. Ad esempio, Flash Player è un plug-in.

I plug-in sono molto più pericolosi, perché hanno pieno accesso al tuo filesystem, accesso completo per eseguire programmi sulla tua macchina, pieno accesso al tuo browser (e tutti i siti web che visiti, password, ecc.); possono fare qualsiasi cosa tu possa fare Le estensioni sono più limitate in ciò che possono fare (almeno in Chrome), e quindi (in Chrome) sono più sicure.

Sospetto che tu stia chiedendo un'estensione, non un plug-in. Ad esempio, le estensioni nella Galleria di Chrome sono estensioni.

Come sapere se è sicuro. In generale, non esiste un buon modo per capire se un'estensione è sicura. Puoi guardare recensioni di altri utenti (anche se questo non è completamente dispositive). Puoi vedere se l'estensione è in giro da un po ', ha un numero significativo di utenti e / o proviene da un marchio / azienda / sviluppatore rispettato (sebbene questo sia solo un indicatore e certamente non una garanzia di sicurezza).

E, forse la cosa più importante, in Chrome puoi controllare le autorizzazioni richieste dall'estensione. Questo ti dirà a quali informazioni l'estensione avrà accesso e cosa potrebbe fare, se fosse dannoso. Un'estensione malevola sarà limitata dalle sue autorizzazioni, quindi meno le autorizzazioni, più basso il rischio dell'estensione.

Ulteriori letture. Per ulteriori informazioni, ti suggerisco di leggere quanto segue:

• Quali sono le implicazioni per la sicurezza delle persone che scaricano i plugin, pensando erroneamente che siano sicuri?

• Come posso valutare l'affidabilità di un componente aggiuntivo del browser? .

Non esiste una soluzione generale a questo problema. È la stessa domanda di:

How do I know there isn't a backdoor in [operating system / software / hardware]?

Puoi monitorarlo, decodificarlo, sandbox ma potrebbe comunque fare qualcosa a cui non hai pensato. O qualcosa che la tua combinazione di strumenti non ha raccolto.

La soluzione migliore è lasciarlo ai professionisti e installare il software antivirus che, si spera, lo raccolga.

Ma, naturalmente, il fatto che questo plug-in sia ampiamente utilizzato è sufficiente per attirare l'attenzione delle aziende anti-virus.

Se non vuoi spendere tempo a fare i passi spiegati da Andrew (reverse engineering) e davvero preoccupati per la sicurezza - supponi che tutti i plugin non siano sicuri a meno che non abbiano una solida base di utenti attiva e un autore rispettabile.

Il plug-in che hai descritto non sembra sicuro per me :) Se devi assolutamente usarlo - esegui in vmware per ridurre al minimo la possibile perdita e guarda l'accesso paypal

PS: non credo che l'anti virus ti dia una buona protezione in questo caso