l’ordinateur
  1. l’ordinateur
  3. Quelle est la taille d'un risque sont des extensions Chrome populaires?
Intereting Posts
Comment connecter mon panneau audio avant? Comment ARP gère-t-il un déplacement d'une adresse IP vers un autre périphérique? Comment transformer des centaines d'URL de texte en Excel en hyperliens cliquables? Comment installer Google Chrome complètement hors ligne et sans vérifier la nouvelle version? Diff entre s'engage-t-il avec PHP Storm? Gestion des applications sur Mac OS X Comment puis-je trouver le codage du tampon actuel dans vim? Windows 8 Pro, droits de déclassement Windows 7 Pro et droits de mise à niveau Windows 10 Y a-t-il un convertisseur DVI vers HDMI avec audio? Concat vidéos après l'application de filtres Windows 8.1 fichiers de police manquants après le redémarrage Logiciel pour surveiller l'utilisation d'Internet Copier les dossiers d'un serveur Unix vers un autre? Suppression de tous les fichiers qui ne correspondent pas à un certain motif – Ligne de commande Windows Sauvegarde incrémentielle (delta) d'une donnée cryptée

Quelle est la taille d'un risque sont des extensions Chrome populaires?

Je vais passer à Chromium et j'ai installé quelques extensions. Chaque fois que j'ai installé une extension, j'ai été informé des données auxquelles l'extension a eu accès, par exemple:

Entrez la description de l'image ici

Je comprends bien que l'accès à ces données est nécessaire pour que l'extension fonctionne, mais je crains un peu qu'une telle extension puisse un jour décider de mettre à jour et de voler («téléphone à la maison») toutes mes données de navigation.

Un autre exemple de message effrayant (lors de l'activation des extensions pour les fenêtres incognito):

Avertissement: Chromium ne peut empêcher les extensions d'enregistrer votre historique de navigation. Pour désactiver cette extension en mode anonyme, désélectionnez cette option.

Est-ce une menace possible lors de l'utilisation d'extensions Chrome populaires? Il est un peu effrayant de devoir faire confiance à une autre fête pour chaque nouvelle fonction que vous ajoutez au navigateur.

Vous oubliez ce qui suit:

Le plus populaire est une extension, plus il y a de chance de ne pas remarquer que l'add-on rend quelque chose de dangereux.

Contrairement à cela, si vous installez une extension que personne d'autre n'a utilisée auparavant, vous risquez plus que, disons, d'installer AdBlock. Étant donné que beaucoup de gens l'utilisent, il est presque sûr de dire: quelqu'un aurait remarqué un trafic inhabituel.

En fait, toutes les extensions divulguent leur code source, de sorte que tout le monde pourrait essentiellement aller de l'avant et chercher tout ce qui se suspecte eux-mêmes.

Les avertissements sont juste là-bas, donc vous ne pouvez pas responsabiliser les vendeurs du navigateur pour tout dommage effectué, au cas où vous installerez quelque chose qui se déchaîne avec vos données. Toujours lire les commentaires des add-ons qui vous semblent suspects avant de les installer.

Notez également que, par exemple, Google peut vérifier les soumissions:

Bien que Google ne soit pas tenu de surveiller les produits ou leur contenu, Google peut, à tout moment, examiner ou tester vos produits et leur code source pour se conformer à cet accord, aux politiques du programme Google Chrome Web Store et à toute autre clause, obligation, législation applicable , Ou des règlements, et peut utiliser des moyens automatisés pour effectuer cette revue

L'enlèvement d'une extension peut bien sûr causer des problèmes au développeur.

C'est une évaluation des risques difficile à essayer de faire. La popularité apporte deux choses:

  • Plus de gens essaient de l'améliorer (repérer un mauvais code)
  • Plus de personnes essayant de le pirater (et d'introduire un mauvais code) pour attaquer une plus grande base d'utilisateurs

Supposons que pour ces exemples, nous parlons d'un projet open source avec un code hébergé dans quelque chose comme github.

Si quelque chose possède un développeur, c'est une seule personne qui vérifie le code. Si quelqu'un (et non le développeur) veut ajouter un code à ce sujet, il faut soit tromper le développeur en ajoutant un patch malveillant (il arrive), soit cibler l'authentification du développeur afin qu'ils puissent ajouter le code eux-mêmes (se produit également). La chance de l'un ou l'autre de ces événements dépend de la capacité du développeur et de sa sécurité.

S'il y a 10 développeurs, il y a 10 fois plus de vecteurs d'attaque. Mais aussi 10 fois plus de personnes qui pourraient repérer le code.

Je suis sûr qu'il y a un point dans un projet où il gagne assez d'élan pour que les gens effectuent des vérifications de sécurité régulières sur son code. Mais à tout moment avant, c'est des balançoires et des ronds-points.

Tl; dr Il est trop difficile de travailler de façon réaliste. Il y a trop d'éléments humains. Si cela compte, n'hésitez pas à ce que vous ne puissiez pas vérifier le code vous-même.