web-dev-qa-db-ja.com

悪意のあるアドオンがChrome / Firefoxのインターネット履歴などにアクセスできますか?

Chrome/Firefoxはアドオンが安全であることをどのように確認しますか?悪意のあるアドオンに対する保護はありますか?

アドオンはどのくらいのアクセスが可能ですか?彼らはインターネットの履歴にアクセスしたり、クッキーなどにアクセスしたり、サーバーに送信したりできますか?これについて心配する必要がありますか?

KasperskyとKasperskyのアドオンはありますが、それでもアドオンについて心配する必要がありますか?一部のアドオンが悪意のあるものかどうかを確認するために私ができることは何もないことを考えると、たとえそれらがまだOKの評判を持っているとしてもです。

編集:ボーナス質問、あなたが訪問したウェブサイトのデータを読むことができるとアドオンが言った場合、それは私が訪問したウェブサイトを知ることができ、技術的にそれらをサーバーに送信し、基本的に私の履歴をこのように記録できることを意味しますか? (多くのアドブロッカーとそのようなアドオンがこの許可を持っていることを考慮してください)

19
Mery Ted

最新のブラウザ拡張機能は、許可モデルを適用する WebExtensions API を使用します。基本的に、アドオンは自分が付与したアクセス権しか持つことができません(ただし、個々のアクセス許可を拒否することはできません。いくつかに不快な場合は、アドオンをインストールできません)。

特定の質問について:

  • ブラウザの履歴 リクエストのみ可能history権限が付与されている場合。
  • cookies許可 のみ機能Host permissionこれは、アクセスできるCookieを定義します。機密性の高いすべてのアクション(JavaScriptをページに挿入する、ページのコンテンツを読み取るなど)には、ホストのアクセス許可が必要です。

もちろん、悪意のある拡張機能は隔離されたコンテキストで任意のJavaScriptを実行する可能性があるため、悪意のあるクリプトマイナーのようなものは確かに実現可能です。

明示的な権限を必要としないアクセスについては、関連する質問を参照してください: 権限のないブラウザ拡張の危険?

26
tim

chrome/firefoxはアドオンが安全であることをどのように確認しますか?

彼らは出版する前にそれらを検査し、その権利を乱用していることが判明した人を禁止します。しかし、この禁止には数日から数週間かかることがあります。

アドオンはどの程度のアクセスが可能ですか?

アドオンはできることなら何でも作ることができます。 HTTPSで暗号化されていても、サーバーにアクセスし、Cookieを読み取り、データを変更し、データをどこにでも送信できます。インストール時に許可を求める必要がありますが、たとえば、すべてのWebサイトのデータを読み取る許可を与えると、アドオンはアクセスするすべてのWebサイトのデータを読み取ることができます。

それでもアドオンについて心配する必要がありますか?

はい、そうすべきです。放棄されたアドオンを使用し、所有者がそれを誰かに売った場合、新しい所有者が行う可能性はかなり高くなります 何か厄介な

あなたがすること?信頼できるソースからのものでない限り、拡張機能をインストールしないでください。多数の権限を必要とせず、本当に必要です。優れていると思われるものをすべてインストールすると、セキュリティが危険にさらされます。

9
ThoriumBR