Chrome 扩展程序,就像其他浏览器一样,似乎经常可以对您的浏览器数据进行相当广泛的访问。事实上,我安装的大多数扩展都需要访问:
这让我想知道这到底意味着什么。
假设有人编写了一个邪恶的扩展程序,称其为“I-KNOW-EVERYTHING-YOU-DO, and a RSS Reader”(他是邪恶的,但也是诚实的)。我真的很喜欢有一个 RSS 阅读器,所以我安装了这个。我看到这个关于扩展程序需要访问我的所有数据的重大警告,但话又说回来,所有其他扩展程序也是如此,所以我很乐意授予此访问权限。
考虑更坏的情况,这个扩展能做什么?可以吗:
将我访问的所有网站的列表发送给制造商?
是的
捕获我输入表单的数据?(如我的个人资料、密码等)
是的
查看我在网站上停留了多长时间,以及我访问了哪些页面?
是的
访问 cookie?
已更新,请参阅Bryan Field的以下评论。
Bryan Field:很好的答案,除了 4 号。没有
httponly标志的 Cookie 肯定可以访问,除此之外我不知道。我要补充一点,即使您在打开扩展程序期间没有打开 Gmail,该扩展程序也可能会手动调用,例如您的 Gmail 页面并获取您的所有电子邮件。您只需要登录,它就可以调用这些页面。因此,即使httponly无法直接查看 cookie(第 4 点),也没关系,因为 cookie 仍然可以间接有效地使用
访问我电脑上的其他文件?(我猜不是,考虑到沙盒环境,但我仍然想知道)
不——就像你说的沙盒会阻止这种情况。
做坏事吗?
阅读(并发送)您访问的所有页面上的数据。
关于为什么经常需要这样做的更多细节,但并不总是在这个问题中讨论为什么 Chrome 扩展程序需要访问“我的所有数据”和“浏览活动”?
Google 在以下博客文章中简要解释了扩展的安全模型:
http://blog.chromium.org/2009/12/security-in-depth-extension-system.html
仅安装受信任来源的扩展程序。