Le estensioni del browser non rappresentano un rischio critico per la sicurezza?

Naviga le tue risposte
2

Ultimamente, è stata data molta pubblicità a rischi di sicurezza esotici come Spectre e Meltdown, con le reazioni immediate di Pavlov da Microsoft, Mozilla ecc. Comunque recentemente mi sono imbattuto nel fatto curioso (altrimenti ampiamente noto) che quasi tutto il browser terzo le estensioni di partito richiedono le autorizzazioni per accedere a tutto nelle pagine Web a cui accedi, inclusi i dati che inserisci nei moduli Web.

Citazione di Mozilla:

"C'è un permesso in particolare," Accedi ai tuoi dati per tutti i siti web ", che abbiamo ricevuto molte domande da quando la funzionalità è stata lanciata. Il motivo per cui è formulata in questo modo è perché una pagina web può contenere praticamente qualsiasi cosa, e alcune estensioni devono leggere tutto su di esso per eseguire un'azione basata su ciò che la pagina contiene. Ad esempio, un blocco annunci deve leggere tutto il contenuto della pagina Web per identificare e rimuovere il codice dell'annuncio. Un gestore di password deve rilevare e scrivere nei campi nome utente e password. Un'estensione per lo shopping potrebbe dover leggere i dettagli dei prodotti che stai cercando. Poiché questi tipi di estensioni non saprebbero se una particolare pagina web contiene il bit che deve modificare fino a quando non viene caricata, e neanche Firefox, ha bisogno di accedere a tutto su una pagina in modo che possa cercare e modificare le parti appropriate. Ciò significa che in teoria, sebbene raro, uno sviluppatore malintenzionato potrebbe dire che la propria estensione fa una cosa mentre in realtà fa qualcos'altro. "

Ma questo include raschiare tutte le tue password, numeri di carte di credito, ecc ..

Questo sembra non essere solo "un rischio per la sicurezza" ma "IL rischio per la sicurezza". È folle: la crittografia, come ho capito, non significa nulla ora e l'utente, assicurato dall'etichetta verde "Secure" nella barra degli indirizzi, inserisce felicemente il suo numero di carta di credito solo per averlo inviato immediatamente ad un server remoto che non è il uno che aveva in mente ..

La mia domanda è: perché viene prestata così poca attenzione a quello che sembra essere un enorme rischio per la sicurezza? Ad esempio, mi aspetto che non appena hai eventuali estensioni del browser di terze parti con il permesso di visualizzare "tutti i tuoi dati", l'etichetta verde "sicura" per i siti HTTPS venga sostituita con qualcos'altro .

E le estensioni dei browser di terze parti non dovrebbero essere vietate in nessuna organizzazione che tratta dati personali sensibili?

    
posta John Donn 12.09.2018 - 08:46
fonte

1 risposta

2

Gli addon possono fare quasi tutto nel browser e possono essere un rischio per la sicurezza.

Mozilla ha sia controlli automatici che manuali per i componenti aggiuntivi. Prima che un addon venga posto su addons.mozilla.org il codice viene prima controllato da uno strumento automatico e successivamente esaminato da a human .

Chrome ha solo controlli automatici, ma se vuoi pubblicare il tuo addon ti serve un numero di carta di credito. Ciò significa che possono bloccare te e la tua carta di credito se fai qualcosa di spiacevole.

Inoltre, su Chrome su Windows è particolarmente difficile installare un'estensione che non si trova nel webstore. Chrome cerca di impedire l'installazione di eventuali estensioni malware nel browser.

    
risposta data 12.09.2018 - 09:04
fonte

Leggi altre domande sui tag

Il client OpenVPN può ancora connettersi al server dopo che la chiave tls-auth del client è cambiata Rischi di lasciare che il browser apra l'elenco del file system locale / di rete