Se si desidera eseguire un software non affidabile, è necessario eseguirlo il più possibile in un ambiente isolato. Come minimo, ciò significa che devi utilizzare una macchina virtuale, ma anche che non devi collegarla a un'interfaccia di rete e non condividere le risorse se non necessario (ad esempio appunti, spazio di archiviazione). Se hai bisogno di connettività di rete, assicurati che la rete sia protetta da servizi sensibili accessibili dalla rete sul tuo computer e sulla rete locale.
Soprattutto in Chrome, le estensioni del browser sono apparentemente ben isolate dal sistema. Per esempio. le estensioni installate dal Chrome Web Store non hanno accesso ai file locali per impostazione predefinita. Ci sono tuttavia delle eccezioni: le estensioni caricate da "Carica estensione non compressa" in chrome://extensions'
ottengono l'accesso ai file locali per impostazione predefinita.
E a volte ci sono bug nel browser che permettono alle estensioni di fare più di quanto dovrebbero (questo è il motivo per cui dovresti sempre provare nella versione più recente di un browser - nuovi bug di sicurezza trovati e risolti in ogni versione).
Una macchina virtuale ben configurata offre generalmente una protezione sufficiente contro le estensioni del browser dannose. Ma dovresti fare attenzione a trarre conclusioni:
- Va bene utilizzare una VM per testare la funzionalità (ad es. se vuoi testare un blocco annunci, puoi visitare un sito web e vedere se gli annunci sono andati.)
- L'assenza di comportamenti dannosi non può essere utilizzata per dimostrare che l'estensione non è dannosa. Le estensioni potrebbero oscurare o posticipare l'esecuzione di codice dannoso. Ho visto alcune forcelle "ad blocker" che nascondono il codice dannoso anche tra il codice apparentemente legittimo.
Se hai bisogno di un alto livello di certezza dell'estensione, dovresti leggere il suo codice sorgente, ad es. utilizzando Extension Source Viewer (divulgazione: ho creato questo software).