Chrome拡張機能が「すべてのデータ」と「閲覧アクティビティ」にアクセスする必要があるのはなぜですか?
Google Chromeのシンプルなアドオンをインストールすることがよくあります。ただし、ほとんどすべての人が、私のデータへの過度のアクセスと思われるものが必要です。たとえば、ページの任意の部分をクリックできる拡張機能をインストールすると、クリックしたオブジェクトの色がわかります。これは、この拡張機能に必要なものです。
すべてのWebサイトにmyデータが必要なのはなぜですか? (また、これは何を意味しますか?)。そしてなぜそれは私の閲覧活動を知る必要があるのですか?ほとんどすべての拡張機能でこれが発生し、非常に疑わしいようです。
ページの任意の部分をクリックできるプラグインをインストールし、クリックしたオブジェクトの色を取得します
これを機能させるには、プラグインがクリックイベントハンドラーを登録し、現在のHTMLページのドキュメントオブジェクトモデル(---)と対話する必要があります。
HTMLはもともと科学的なドキュメントを共有するために設計されました。そして今日、複雑なWebアプリケーションを構築していますが、その中心はドキュメント指向のままです。
ブラウザは、HTMLページのどの部分に機密情報が含まれているかを知ることができません。たとえば、StackExchangeにログインすると、上部のナビゲーションバーにユーザー名が表示されます。銀行のウェブサイトには、送金と口座残高に関する情報があります。それらの情報と「あなたの答え」と言っているテキストの間に構造的な違いはありません。
Chromeは、悪意のあるプラグインがハードディスクに任意にアクセスできないようにすることで、保護を提供しています。しかし、ウェブページと対話する必要があるプラグインは、それらに何でもすることができます。他のすべてのブラウザには同じ問題があります。それらは 詳細には入りません です。
基本的な問題は、プラグインモデルに適切に定義された/詳細な承認ポリシーがないことです。多くの場合、特定の情報に関しては、そのすべてまたは何もありません。
多分プラグインはあなたがいるページの特定のURLを知る必要があります。まあそれは閲覧履歴などへのアクセスを必要とするかもしれません。問題の他の部分は開発者が吸うことです。彼ら(私たち)は、ユーザーに関する多くの情報を入手できるようにして、潜在的にそれで気の利いたことができるようにします。情報が使われていないのに何度も。
一方、プラグインは、使用状況やその他の悪質なアクティビティを追跡するために、情報をサーバーに送り返す可能性があります。