it-swarm-id.com

Skenario kasus terburuk, apa yang bisa dilakukan oleh ekstensi Chrome dengan "Data Anda di semua situs web" dan "Tab dan aktivitas penjelajahan Anda"?

Ekstensi Chrome, dan seperti halnya peramban lain, tampaknya sering mendapatkan cukup banyak akses ke data peramban Anda. Bahkan, sebagian besar ekstensi yang saya instal memerlukan akses ke:

  • Data Anda di semua situs web
  • Tab dan aktivitas menjelajah Anda

Dan ini membuat saya bertanya-tanya apa implikasinya, tepatnya.

Katakanlah seseorang menulis ekstensi jahat, menyebutnya "AKU-TAHU-SEMUA-KAMU LAKUKAN, dan pembaca RSS" (dia jahat, tetapi juga jujur). Saya sangat suka memiliki pembaca RSS, jadi saya menginstal ini. Saya melihat peringatan besar ini tentang ekstensi yang membutuhkan akses ke semua data saya, tetapi sekali lagi, begitu pula setiap ekstensi lainnya, jadi saya dengan senang hati memberikan akses ini.

Memikirkan skenario yang lebih buruk, apa yang dapat dilakukan ekstensi ini? Bisakah itu:

  1. Kirim daftar semua situs web yang saya kunjungi ke pembuat?
  2. Menangkap data yang saya masukkan ke dalam formulir? (seperti data pribadi saya, kata sandi, dll.)
  3. Lihat sudah berapa lama saya berada di situs web, dan halaman mana yang telah saya kunjungi?
  4. Akses cookie?
  5. Akses file lain di komputer saya? (Saya kira tidak, mengingat kotak pasir lingkungan, tapi saya masih bertanya-tanya)
  6. Apakah ada yang lebih buruk?
75
please delete me
  1. Kirim daftar semua situs web yang saya kunjungi ke pembuat?

    Iya

  2. Menangkap data yang saya masukkan ke dalam formulir? (seperti data pribadi saya, kata sandi, dll.)

    Iya

  3. Lihat sudah berapa lama saya berada di situs web, dan halaman mana yang telah saya kunjungi?

    Iya

  4. Akses cookie?

    Diperbarui, Lihat komentar berikut dari Lapangan Bryan untuk yang ini.

    Bryan Field : Jawaban yang bagus, kecuali untuk nomor 4. Cookie tanpa bendera httponly dapat diakses pasti, di luar itu saya tidak saya tidak tahu. Saya akan menambahkan bahwa kemungkinan ekstensi dapat memanggil secara manual, misalnya halaman Gmail Anda dan mendapatkan semua email Anda, bahkan jika Anda tidak membuka Gmail selama ekstensi dibuka. Anda hanya perlu login dan dapat memanggil halaman-halaman itu. Jadi walaupun cookie httponly tidak dapat dilihat secara langsung (nomor 4), tidak masalah, karena cookie masih dapat digunakan secara tidak langsung dan efektif

  5. Akses file lain di komputer saya? (Kurasa tidak, mengingat lingkungan Sandbox, tapi aku masih bertanya-tanya)

    Tidak - seperti yang Anda katakan kotak pasir akan mencegahnya.

  6. Apakah ada yang lebih buruk?

    Baca (dan kirim) data di semua halaman yang Anda kunjungi.

Beberapa perincian lebih lanjut tentang mengapa ini sering diperlukan, tetapi tidak selalu dibahas dalam pertanyaan ini Mengapa Chrome ekstensi memerlukan akses ke 'semua data saya' dan 'aktivitas penelusuran'?

46
Jontas

Google menjelaskan secara singkat model keamanan untuk ekstensi dalam posting blog berikut:

http://blog.chromium.org/2009/12/security-in-depth-extension-system.html

Instal ekstensi hanya oleh sumber tepercaya.

8
Serdar