最悪の場合のシナリオ、Chrome拡張機能が「すべてのWebサイトのデータ」と「タブとブラウジングアクティビティ」で何ができるか?
Chrome拡張機能は、他のブラウザと同様に、多くの場合、ブラウザデータへのかなりの広範なアクセスを取得しているようです。実際、私がインストールしたほとんどの拡張機能は、以下にアクセスする必要があります。
- すべてのウェブサイト上のデータ
- タブと閲覧活動
そして、これは何を意味するのか、正確に疑問に思いました。
誰かが邪悪な拡張機能を作成し、それを「I-KNOW-EVERYTHING-YOU-DO、およびRSSリーダー」と呼ぶとします(彼は悪質ですが、正直でもあります)。私はRSSリーダーが本当に好きなので、これをインストールします。すべてのデータへのアクセスを必要とする拡張機能に関するこの大きな警告が表示されますが、他のすべての拡張機能も同様なので、このアクセス権を喜んで付与します。
最悪のシナリオを考えると、この拡張機能は何ができますか?それはできますか:
- 私がアクセスするすべてのWebサイトのリストをメーカーに送信しますか?
- フォームに入力したデータをキャプチャしますか? (私の個人データ、パスワードなど)
- 私がウェブサイトにアクセスしてからどのくらい経ち、どのページにアクセスしたかを確認してください。
- Cookieにアクセスしますか?
- コンピューター上の他のファイルにアクセスしますか? ( サンドボックス 環境が与えられているとは思いませんが、私はまだ疑問に思っています)
- もっと悪いことはありますか?
私がアクセスするすべてのWebサイトのリストをメーカーに送信しますか?
はい
フォームに入力したデータをキャプチャしますか? (私の個人データ、パスワードなど)
はい
私がウェブサイトにアクセスしてからどのくらい経ち、どのページにアクセスしたかを確認してください。
はい
Cookieにアクセスしますか?
更新、これについては Bryan Field からの次のコメントを参照してください。
ブライアンフィールド:素晴らしい答えです。ただし、番号4は除きます。
httponlyフラグのないCookieには、確かにアクセスできますが、それ以外のことはできません。知っている。拡張機能が開いている間にGmailを開いていなくても、拡張機能が手動で呼び出して、たとえばGmailページを呼び出してすべてのメールを受け取る可能性があると付け加えておきます。ログインするだけで、それらのページを呼び出すことができます。したがって、httponlyCookieを直接表示できない場合(番号4)でも、Cookieは間接的かつ効果的に使用できるため、問題にはなりません。コンピューター上の他のファイルにアクセスしますか? (サンドボックス環境を考えると、私はそうではないと思いますが、私はまだ疑問に思っています)
いいえ–サンドボックスがそれを防ぐとあなたが言うように。
もっと悪いことはありますか?
アクセスしたすべてのページのデータを読み取り(送信)します。
これがしばしば必要とされる理由の詳細の一部ですが、常にこの質問で説明されているわけではありません (Chrome拡張機能が「すべてのデータ」と「閲覧アクティビティ」にアクセスする必要があるのはなぜですか?
Googleは、次のブログ投稿で拡張機能のセキュリティモデルについて簡単に説明しています。
http://blog.chromium.org/2009/12/security-in-depth-extension-system.html
信頼できるソースによる拡張機能のみをインストールしてください。