L'ho appena scoperto:
- Puoi creare IFRAME che punta al "chrome-extension: //" protocollo
- Puoi accedere ai contenuti di IFRAME con jQuery
Significa che sono in grado di utilizzare Estensioni di Chrome scritte male per sfruttare lo spazio di lavoro dell'utente?
da
- accedere direttamente ai file di estensione (sqlite db con password, ...)
- utilizzando
chrome.extension.sendRequest
chiamata per interagire con estensioni estranee
ad esempio forzare l'estensione stubleupon a mi piace alla mia pagina, senza che l'utente confermi / crei l'azione?
Questo problema di sicurezza è o no?