公式ブラウザのアドオンは本当に安全ですか？

あなたはできませんアドオンは「公式の拡張ギャラリーの1つでホストされているため」安全であると想定しています。

この回答では、一般的なブラウザの拡張機能ギャラリーで拡張機能がどのように終わるかについて説明します。最後に、追加のセクションをChrome専用にします。

どのようにして公式ストアに出品されますか？

• Googleウォレットをお持ちであれば、5ドルで最大20個の拡張機能/アプリを Chrome Web Store にアップロードできます。バイナリコンポーネントを含む拡張機能（ [〜＃〜] npapi [〜＃〜] ）は常に手動で確認されます。他の拡張機能は Googleのシークレットスキャナーによってチェックされます のみであり、必要に応じて拡張機能を保留する場合があります（ "保留中のレビュー" ）。このスキャナーは完璧ではありません。2か月前に、 開発者プログラムポリシー に違反する悪意のある拡張機能を数多く見つけました。 （私はいくつかの Report abuse フォームを提出しました。一部のアプリは削除されましたが、同じ種類のアドウェアが含まれていても他のアプリは削除されませんでした）。
• すべての AMOのFirefoxアドオン は送信時にレビューキューに入れられます。すべての editors 誰がアドオンをレビューするかは レビューの実行 に記載されているガイドラインに従う必要があります。拡張機能の開発者は これらの指示 に従う必要があります。
• Safari拡張機能は Apple Extension gallery に送信できます。開発者は このドキュメントの要件に準拠する必要があります ^pdf 。レビューに合格すると、拡張機能がギャラリーに表示されます。 Appleは拡張ファイル自体をホストしていません。レビューに合格した後、拡張機能は比較的静かな拡張機能ギャラリーの目立つ場所に表示されます。クリックすると、externalの場所からの拡張機能が確認なしですぐにインストールされます。 Safari 9以降 、拡張機能は、必要に応じて、拡張機能ギャラリーで拡張機能データをホストすることを選択できます。
• Operaの拡張機能ギャラリー のすべての拡張機能は手動で確認されます。拡張機能は、レビューに合格した場合にのみリストされます（ 受け入れ基準 ）。
• IEGallery.com の拡張機能とアドオンは手動で確認されます。ただし、審査基準は非常にあいまいです。さらに、IE拡張はコンパイルされたコードであるため、レビュー担当者はアドオンが安全であるかどうかを確認することさえできません。

自動更新

これらの4つのギャラリーはすべて、拡張機能の自動更新をサポートしています。特に明記しない限り、更新は自動的にインストールされます（ユーザーがオフにしない限り）。

• Chrome拡張機能の更新は自動的にチェックされ、場合によっては手動による確認が行われます。拡張機能が追加の権限を要求すると、ユーザーが新しい要件を確認するまで、それらは自動的に無効になります。開発者向けドキュメントには、 許可の警告とその意味 のリストが記載されています。 Googleは、ユーザーへの警告を説明するページ（詳細の少ないもの）も作成しました- アプリと拡張機能によって要求される権限 を参照してください。

• Firefoxアドオンの更新は手動で確認されます。

• Opera拡張機能の更新は手動で確認されます。 Operaは古い拡張エコシステムを破棄し、Opera 15でChromiumのような拡張APIに切り替えました。以前はOpera 15（Opera 12.xx以前）、更新自動的にインストールされましたOpera 15以降、Chromiumと同様に、新しい権限が追加されると拡張機能は無効になります（ Githubのコメント を参照）。

• 拡張機能ギャラリー自体でホストされているSafari拡張機能は、おそらくAppleによってチェックされます¹、（更新）他の場所でホストされているSafari拡張機能はそうではありません。 Safari 9以降、拡張機能は、Appleの拡張機能ギャラリーでホストされている場合にのみ自動更新できます。

• 開発者がこの機能を構築していない限り、Internet Explorerの拡張機能は自動的に更新されません。

外部コード

ベンダーが外部JavaScriptコードの使用を許可している場合、レビューは役に立ちません。それで、どのギャラリーが外部コードの使用を許可しますか？

• Chrome拡張機能には外部コードが含まれている場合があります。
• FirefoxおよびOperaは、アドオンでの外部JavaScriptコードの使用を禁止します。
• Safari拡張機能は、Appleによって制御されていないサーバーでホストされているため、開発者は必要なものを自由に含めることができます。
• Internet Explorerの拡張機能は通常、クローズドソースのコンパイル済みバイナリなので、開発者は必要なコードを実行できます。

プライバシー

多くの拡張機能は、ユーザーの同意なしに使用統計を収集します。 Chromeも提供 拡張機能でのトラッキングの設定に関するチュートリアル ...

Chrome

FirefoxとOperaは、拡張プラットフォームのセキュリティで非常にうまく機能しています。 Chromeウェブストアはすべての拡張機能を手動で確認するわけではないため、あまり信頼していません。

拡張機能が安全であることを確認する唯一の方法は、自分で確認することです。この目的のために、私は "Chrome extension source viewer" Chrome extension を作成しました。この拡張機能により、Chrome Webストアで拡張機能のソースコードを表示できます。それはそれをより読みやすくするためにコード美化器と一緒に出荷されます。

拡張機能の機能を定義するため、最初に manifest.json というファイルを参照します。疑わしいものはありますか？たとえば、Facebookにスマイリーを追加することを約束する拡張機能は、*://*/*に対して コンテンツスクリプト を定義しますか（= 一致パターン すべてのページに対して）。拡張機能をインストールしないでください。

ファイルのリストを見てください。 analytics.jsというファイルが表示されますか？あなたが追跡されることを知っています。これは必ずしも間違っているわけではありませんが、知っておくと良いでしょう。ファイルで_gaq.Pushを探します。これは、Googleアナリティクスの標準的な使用方法です。

最後の注意：多数のユーザーがいるため、拡張機能を盲目的に信頼しないでください。最近のレビューに目を通し、赤信号を探します。通常のトローリングコメントと「1つ星-機能しません！」を無視します。 （それらのヒープがある場合を除き）、プライバシーやセキュリティに関する懸念を引き起こすコメントに焦点を当てます。

^{1. Appleはこれらのチェックを実行する可能性がありますが、確認されていません。}