WebサイトからGNOME拡張機能をインストールする:セキュリティの脆弱性?
Google検索(Chromiumを使用)でGNOME拡張機能を見つけましたが、オン/オフスイッチを切り替えるだけで、他の手動手順なしでWebサイトに完全なGNOME拡張機能をコンピューターにインストールさせることができました。 (テスト済み。これはFirefoxでも動作します。)確かに、インストールの確認を求めるダイアログボックスがポップアップ表示されますが、...
これは使いやすさと使いやすさには優れていますが、セキュリティの脆弱性はありませんか?この機能が正確にどのように機能するか、また、ハッカーがマシンに実行可能ファイルを簡単にインストールできる「バックドア」について心配する必要があるかどうかを知りたいと思います。
拡張機能は GNOMEサイト で検証されていますか?拡張機能が安全かどうかを判断する方法はありますか?
この機能を可能にするために、ChromiumおよびFirefoxブラウザーはGNOMEによって変更されていますか?ユーザーが知っておくべきカスタムGNOME Chromium/Firefoxの変更はありますか?
更新:これがどのように機能するかを理解したので、これは特に技術に詳しくないユーザーにとっては本当に素晴らしい機能であると信じていますが、最初に遭遇したときは少し不安になりました。
はいといいえ。
まず、拡張機能をインストールするためにクリックしたリンクは、具体的には(注入する方法としてgnome 3.2に)コーディングされています。その意味で、それは「信頼できる」サイトです。
次に、gnome拡張機能はユーザースクリプトであり、ユーザー専用に保存されます。ユーザーがアクセスできない情報にはアクセスできません。したがって、たとえば、ファイルを/に書き込むためのシェル拡張はありません。
第三に、ブラウザは変更されませんでしたが、gnome Shellは変更されました。
基本的に、インストール方法はtar.gzファイルを提供し、ホームディレクトリに手動で抽出するように指示するより安全です。個々の拡張機能が安全かどうかは、ケースバイケースで判断する必要があります。ただし、gnome.orgは拡張サブドメインと同様に合法的なサイトです。