Quando si installa un componente aggiuntivo in Chrome, è necessario disporre di una serie di autorizzazioni per l'aggiunta. Molti componenti aggiuntivi (compresi quelli popolari come Pocket e Adblock) hanno Read and change all the data on the site .
Questo non significa che teoricamente l'addon può fare tutto ciò che vuole nel browser, incluso spiare e possibilmente lavorare come keylogger (nel browser)?
Non tutti, ma la maggior parte delle estensioni (addon) richiedono un set di permessi che devono dichiarare al file manifest . L'utente non viene informato da un avviso di sicurezza a meno che l'estensione non sia installata da un'estensione di file .crx . In questo o in altri casi successivi, un plug-in che richiede l'autorizzazione dell'utente per l'esecuzione è una minaccia per la sicurezza.
Le estensioni simili che richiedono permessi dell'utente esistono in altri browser ed è davvero un problema critico. Ogni autore di browser si occupa di questo problema in modo diverso. Ad esempio, Mozilla richiede che tali estensioni siano firmate e elencate in Addons Mozilla dove gli addon sono regolarmente scansionati per la presenza di malware. Questo aiuta a prevenire ma non protegge totalmente gli utenti.
Pensa a cosa è un JavaScript dannoso in esecuzione con le autorizzazioni dell'utente sul browser? Può essere lo scenario migliore e l'esempio che posso fornire è il famigerato ZombieBrowserPack che è un progetto opensource (addon) sviluppato prima come < a href="https://en.wikipedia.org/wiki/Proof_of_concept"> POC di Zoltan Balazs e prende di mira alcuni dei browser più utilizzati ( Chrome , Firefox e IE). Questo plug-in può essere manipolato in remoto per sottrarre credenziali di autenticazione e persino bypassare meccanismi di autenticazione a due fattori come quelli implementati da Yahoo e Google. Può anche dirottare il tuo account Facebook o ottenere le credenziali del tuo conto bancario se effettui un acquisto online. Puoi immaginare un tale plug-in finalizzato a soddisfare questa o quella funzione e fare qualcosa di nefasto dietro in background.
Come hai correttamente ipotizzato, l'installazione di componenti aggiuntivi non comporta rischi. Anche se Google rivede il codice sorgente di eventuali estensioni prima di ospitarlo nel Chrome Web Store, il codice dannoso viene comunque trasmesso ( link ).
Se l'estensione è fornita da una singola azienda o da una piccola azienda che non sai nulla di te, probabilmente sei saggio almeno a chiederle perché hanno bisogno di determinati livelli di accesso. Se l'estensione è open source e sei un programmatore esperto, potresti voler eseguire un'ulteriore revisione del codice prima di installarlo.
Le autorizzazioni "Leggi e modifica tutti i dati sul sito" consentono infatti di iniettare JavaScript che inoltra ogni battuta a qualche server remoto. D'altra parte, le estensioni come Adblock richiedono queste autorizzazioni per funzionare correttamente.
La domanda è: ti fidi di Adblock (ecc.) con questo livello di privilegi? (Ricorda anche che l'estensione ha il potenziale per rimuovere aggiunte dannose)
Secondo me, è fondamentalmente una questione di fiducia ...
Alcune eccellenti risposte relative alla sicurezza.se possono essere trovate qui: È Adblock ( Plus) un rischio per la sicurezza?
Come dice Stef, è una questione di fiducia e anche di comprensione del rischio.
Se codice - probabilmente ti piacerebbe provare cose che includono le estensioni di Chrome. Questo è totalmente legittimo.
Quello che vorrei suggerire è separare il tuo ambiente di sviluppo dal tuo ambiente di produzione. Due browser separati: uno (per esempio FF) per home banking e fB e # 2 (per esempio Chrome) per provare cose interessanti e pericolose.
Se sei molto attento, imposta una VM separata e fai le cose interessanti e pericolose ma continua a separarle dal tuo ambiente FB / home banking.
Leggi altre domande sui tag chrome browser-extensions