Test di un'estensione del browser non sicura in modo sicuro su macOS

Naviga le tue risposte
3

Ho ricevuto un file .zip che contiene un'estensione del browser per Google Chrome.

Come posso testarlo in sicurezza? Opzioni attuali che considero:

1) Utilizzo di una VM. Installare VirtualBox sui miei macos e quindi eseguirlo da lì. Gli svantaggi sono: lenti e amp; goffo

2) Creazione di un utente separato sul mio sistema e test lì. Svantaggi: devi cambiare utente quando vuoi testare qualcosa.

Come si affronta questo?

    
posta FooBar 22.02.2018 - 15:04
fonte

2 risposte

1

Se si desidera eseguire un software non affidabile, è necessario eseguirlo il più possibile in un ambiente isolato. Come minimo, ciò significa che devi utilizzare una macchina virtuale, ma anche che non devi collegarla a un'interfaccia di rete e non condividere le risorse se non necessario (ad esempio appunti, spazio di archiviazione). Se hai bisogno di connettività di rete, assicurati che la rete sia protetta da servizi sensibili accessibili dalla rete sul tuo computer e sulla rete locale.

Soprattutto in Chrome, le estensioni del browser sono apparentemente ben isolate dal sistema. Per esempio. le estensioni installate dal Chrome Web Store non hanno accesso ai file locali per impostazione predefinita. Ci sono tuttavia delle eccezioni: le estensioni caricate da "Carica estensione non compressa" in chrome://extensions' ottengono l'accesso ai file locali per impostazione predefinita.
E a volte ci sono bug nel browser che permettono alle estensioni di fare più di quanto dovrebbero (questo è il motivo per cui dovresti sempre provare nella versione più recente di un browser - nuovi bug di sicurezza trovati e risolti in ogni versione).

Una macchina virtuale ben configurata offre generalmente una protezione sufficiente contro le estensioni del browser dannose. Ma dovresti fare attenzione a trarre conclusioni:

  • Va bene utilizzare una VM per testare la funzionalità (ad es. se vuoi testare un blocco annunci, puoi visitare un sito web e vedere se gli annunci sono andati.)
  • L'assenza di comportamenti dannosi non può essere utilizzata per dimostrare che l'estensione non è dannosa. Le estensioni potrebbero oscurare o posticipare l'esecuzione di codice dannoso. Ho visto alcune forcelle "ad blocker" che nascondono il codice dannoso anche tra il codice apparentemente legittimo.

Se hai bisogno di un alto livello di certezza dell'estensione, dovresti leggere il suo codice sorgente, ad es. utilizzando Extension Source Viewer (divulgazione: ho creato questo software).

    
risposta data 24.02.2018 - 12:04
fonte
1

Raccomando di utilizzare una VM perché è progettato per essere isolato in modo sicuro dal resto del sistema. Questo è particolarmente importante ora che le vulnerabilità ora note a livello pubblico come Spectre / Meltdown / to-be-discover-vuln consentono a cose semplici come JavaScript di leggere la memoria a cui non dovrebbero avere accesso.

Anche se è molto lento, ho scoperto che l'inconveniente mi ricorda che sono su una VM e che è la casa di un codice non affidabile, non di dati personali.

Per quanto riguarda l'utilizzo di più account di sistema: mette semplicemente il codice non fidato più vicino al tuo sistema di quanto debba essere. Inoltre, posso dirti per esperienza personale (ho provato il n.2 di alcuni anni fa, impostando 6 account in totale) che ti farà impazzire

    
risposta data 23.02.2018 - 20:59
fonte

Leggi altre domande sui tag

Come posso trovare il processo che sta cercando di usare smtp per inviare e-mail? Webgoat lezione di controllo di accesso a livello di funzione mancante