web-dev-qa-db-ja.com

公式ブラウザのアドオンは本当に安全ですか?

ChromeまたはFirefox(Firebug、RESTClientなど))にインストールするほとんどすべてのブラウザーアドオン/拡張機能は、次のように警告します。

それ [the add-on] できる:

  • すべてのWebサイトのデータにアクセスする
  • タブと閲覧アクティビティにアクセスする

現在、実質的に言えば、ソースコードを読んでマルウェア(元の作成者が配置したものなど)がないことを確認する時間(またはスキル)がありません。

これを前提として、これらのアドオンは標準/よく知られており、暗黙的に信頼されている場所から来ているため、私のプライバシーを侵害することはありませんChrome Web StoreFirefoxアドオンサイトOperaのアドオンなど) siteSafariの拡張機能ギャラリー 、または EFFサイト

プライバシーを維持し、MiTM攻撃を防ぐためにインストールする HTTPS Everywhere などのアドオンでも、同様に警告します。

ソースコードを読まなくても、インストールするアドオンとインストールしないアドオンをすばやく判断する方法はありますか?

31
Harry

あなたはできませんアドオンは「公式の拡張ギャラリーの1つでホストされているため」安全であると想定しています。

この回答では、一般的なブラウザの拡張機能ギャラリーで拡張機能がどのように終わるかについて説明します。最後に、追加のセクションをChrome専用にします。

どのようにして公式ストアに出品されますか?

  • Googleウォレットをお持ちであれば、5ドルで最大20個の拡張機能/アプリを Chrome Web Store にアップロードできます。バイナリコンポーネントを含む拡張機能( [〜#〜] npapi [〜#〜] )は常に手動で確認されます。他の拡張機能は Googleのシークレットスキャナーによってチェックされます のみであり、必要に応じて拡張機能を保留する場合があります( "保留中のレビュー" )。このスキャナーは完璧ではありません。2か月前に、 開発者プログラムポリシー に違反する悪意のある拡張機能を数多く見つけました。 (私はいくつかの Report abuse フォームを提出しました。一部のアプリは削除されましたが、同じ種類のアドウェアが含まれていても他のアプリは削除されませんでした)。
  • すべての AMOのFirefoxアドオン は送信時にレビューキューに入れられます。すべての editors 誰がアドオンをレビューするかは レビューの実行 に記載されているガイドラインに従う必要があります。拡張機能の開発者は これらの指示 に従う必要があります。
  • Safari拡張機能は Apple Extension gallery に送信できます。開発者は このドキュメントの要件に準拠する必要があります pdf 。レビューに合格すると、拡張機能がギャラリーに表示されます。 Appleは拡張ファイル自体をホストしていません。レビューに合格した後、拡張機能は比較的静かな拡張機能ギャラリーの目立つ場所に表示されます。クリックすると、externalの場所からの拡張機能が確認なしですぐにインストールされます。 Safari 9以降 、拡張機能は、必要に応じて、拡張機能ギャラリーで拡張機能データをホストすることを選択できます。
  • Operaの拡張機能ギャラリー のすべての拡張機能は手動で確認されます。拡張機能は、レビューに合格した場合にのみリストされます( 受け入れ基準 )。
  • IEGallery.com の拡張機能とアドオンは手動で確認されます。ただし、審査基準は非常にあいまいです。さらに、IE拡張はコンパイルされたコードであるため、レビュー担当者はアドオンが安全であるかどうかを確認することさえできません。

自動更新

これらの4つのギャラリーはすべて、拡張機能の自動更新をサポートしています。特に明記しない限り、更新は自動的にインストールされます(ユーザーがオフにしない限り)。

  • Chrome拡張機能の更新は自動的にチェックされ、場合によっては手動による確認が行われます。拡張機能が追加の権限を要求すると、ユーザーが新しい要件を確認するまで、それらは自動的に無効になります。開発者向けドキュメントには、 許可の警告とその意味 のリストが記載されています。 Googleは、ユーザーへの警告を説明するページ(詳細の少ないもの)も作成しました- アプリと拡張機能によって要求される権限 を参照してください。

  • Firefoxアドオンの更新は手動で確認されます。

  • Opera拡張機能の更新は手動で確認されます。 Operaは古い拡張エコシステムを破棄し、Opera 15でChromiumのような拡張APIに切り替えました。以前はOpera 15(Opera 12.xx以前)、更新自動的にインストールされましたOpera 15以降、Chromiumと同様に、新しい権限が追加されると拡張機能は無効になります( Githubのコメント を参照)。

  • 拡張機能ギャラリー自体でホストされているSafari拡張機能は、おそらくAppleによってチェックされます1、(更新)他の場所でホストされているSafari拡張機能はそうではありません。 Safari 9以降、拡張機能は、Appleの拡張機能ギャラリーでホストされている場合にのみ自動更新できます。

  • 開発者がこの機能を構築していない限り、Internet Explorerの拡張機能は自動的に更新されません。

外部コード

ベンダーが外部JavaScriptコードの使用を許可している場合、レビューは役に立ちません。それで、どのギャラリーが外部コードの使用を許可しますか?

  • Chrome拡張機能には外部コードが含まれている場合があります。
  • FirefoxおよびOperaは、アドオンでの外部JavaScriptコードの使用を禁止します。
  • Safari拡張機能は、Appleによって制御されていないサーバーでホストされているため、開発者は必要なものを自由に含めることができます。
  • Internet Explorerの拡張機能は通常、クローズドソースのコンパイル済みバイナリなので、開発者は必要なコードを実行できます。

プライバシー

多くの拡張機能は、ユーザーの同意なしに使用統計を収集します。 Chromeも提供 拡張機能でのトラッキングの設定に関するチュートリアル ...

Chrome

FirefoxとOperaは、拡張プラットフォームのセキュリティで非常にうまく機能しています。 Chromeウェブストアはすべての拡張機能を手動で確認するわけではないため、あまり信頼していません。

拡張機能が安全であることを確認する唯一の方法は、自分で確認することです。この目的のために、私は "Chrome extension source viewer" Chrome extension を作成しました。この拡張機能により、Chrome Webストアで拡張機能のソースコードを表示できます。それはそれをより読みやすくするためにコード美化器と一緒に出荷されます。

拡張機能の機能を定義するため、最初に manifest.json というファイルを参照します。疑わしいものはありますか?たとえば、Facebookにスマイリーを追加することを約束する拡張機能は、*://*/*に対して コンテンツスクリプト を定義しますか(= 一致パターン すべてのページに対して)。拡張機能をインストールしないでください。

ファイルのリストを見てください。 analytics.jsというファイルが表示されますか?あなたが追跡されることを知っています。これは必ずしも間違っているわけではありませんが、知っておくと良いでしょう。ファイルで_gaq.Pushを探します。これは、Googleアナリティクスの標準的な使用方法です。

最後の注意:多数のユーザーがいるため、拡張機能を盲目的に信頼しないでください。最近のレビューに目を通し、赤信号を探します。通常のトローリングコメントと「1つ星-機能しません!」を無視します。 (それらのヒープがある場合を除き)、プライバシーやセキュリティに関する懸念を引き起こすコメントに焦点を当てます。


1. Appleはこれらのチェックを実行する可能性がありますが、確認されていません。

34
Rob W

ここに2つの問題がありますいいえ、100%それらを信頼することはできません。ここでの理由は、片方でコードを確認していないためです。悪意のある開発者によって、または組織によって意図的に挿入された悪意のあるコードが含まれている可能性があります。標準的な組織の場合、これは通常非常に一般的ではありませんが、 Appleが追跡データを送信する などの場合があります。

不正なものは通常(うまくいけば)品質保証(QA)プロセス中に発見されます(GoogleとMozillaに厳密なQAプロセスがないとは思えません)。しかし、100%水密性はありません。

ソースコードがある場合でも、コードのすべての1行を精査する仕事をしていますか?時間もスキルもないので、たぶんできません。

次に、別の問題があります...プロジェクトがクローズドかオープンソースかに関係なく、攻撃者がデータにアクセスできる脆弱性が存在します。プラグイン自体、プラグインを実行するエンジン、ブラウザー、またはこれをさらに拡張すると、オペレーティングシステムのいずれかになります。

セキュリティは常にユーザビリティとのトレードオフでした。最も安全なサーバーは、電源が切られている鉱山に囲まれた爆弾シェルター内のサーバーであると誰かがかつて私に言った。つまり、安全な間は使用できません。これは、覚えておかなければならないことです。あなたのプライバシーにリスクがあるかもしれませんが、そのリスクは通常のプログラムを使用できることと比較して重荷になりますか?あんまり。

7
Lucas Kauffman

いいえそうではありません。しかし、それらがオープンソースである場合(一部はそうです)、開発者にコードを提供するよう依頼できます(コードがまだ彼のWebサイトまたはリポジトリに公開されておらず、自分でコンパイルできる場合、または単にそれが何かのために使用する場合)ウェブなど)そしてあなたや他の誰かがあなたがコードとそれが何をするかを分析するのを助けることができますオープンソースを使用するか、理想的な場合はコードを確認できるフリーソフトウェアを使用しない限り、他に100%確実な方法はありません。信頼しない著者以外の誰もコードをレビューしていないため(おそらくリバースエンジニアを除いて)、プロプライエタリソフトウェアに対して100%。 「悪い」ブラウザのアドオンが発生しました。

http://www.pcadvisor.co.uk/news/internet/3212049/firefox-browser-add-ons-contained-malware/

または最近

http://thenextweb.com/facebook/2013/05/13/Microsoft-warns-users-of-new-malicious-chrome-extension-and-firefox-add-on-that-Hijack-facebook-アカウント/

しかし現実的に言えば、他のアドオンとの速度/効率を維持したい場合は、これらすべてのアドオンを使用する必要があります。したがって、最終的には、いくつかのリスクを冒してそれらをインストールする必要があります。

4
user13779