最近,我工作的公司禁止在 Chrome 中使用任何扩展程序。他们也不允许帐户同步。这几乎影响了所有 Web 开发人员,因为他们使用 Chrome 来测试他们的前端代码并使用一两个扩展来提高生产力(JSON 视图、Redux 开发工具)。
不幸的是,这在没有适当沟通的情况下在一夜之间发生了变化,并且没有明确的原因进行这种变化。
但是,我注意到我能够使用便携式版本的 Firefox 并安装所有需要的扩展。
目前我正在使用 Chrome 62.0 和 Firefox 56.0.2(便携式)。我使用便携式版本,因为该公司正式允许FrontMotion并且我不想弄乱它的安装。
这篇相当老的帖子没有显示谷歌浏览器有任何严重的安全问题(隐私除外)。
问题:是否有任何客观原因禁止谷歌浏览器的扩展,但允许火狐扩展?
我无法回答所提出的问题,但我希望这可以对您的问题有所了解。
公司安全规则是否应该禁止使用某些浏览器扩展程序?
恕我直言,这里的答案是肯定的。浏览器扩展几乎可以代表常规浏览器做任何事情。这意味着本地防火墙不会检测到它们。
是否有客观的理由相信更多的 XXX(在此处放置浏览器扩展的任何浏览器)而不是 YYY(另一个浏览器或浏览器扩展)。
IT 安全信任基于 2 个主要部分:代码审计和声誉。前者是客观的,后者不是,但我必须承认我主要使用后者,因为我没有足够的时间和足够的知识来审查所有内容,所以我只依赖我信任的来源的外部建议。当我依靠 HTTPS 来保护通道时,我必须相信证书所有者在收到数据后不会对数据做坏事,并且我相信证书签名者。长话短说,可以说一个扩展是否比另一个有更好的声誉,但它只能通过扩展而不是全局浏览器。
在您的用例中使用便携式 Firefox 是可接受的解决方案吗?
仍然是我的观点,但除非您处于允许您忽略安全团队规则的分层位置,否则我想说一个很大的不。我的建议是,您应该首先列出您常用的扩展,以及可能的替代扩展。然后你应该尝试收集尽可能多的关于他们的客观安全和他们的声誉的元素(仍然从安全的角度来看)。然后,您应该告诉您的经理,最近禁止 Chrome 扩展程序会导致工作效率的净下降,并要求他向安全团队提出您需要的扩展程序列表以及可能的替代品(例如 Firefox for Chrome)。然后他们要么同意一个可接受的列表,要么这个问题应该在组织层次结构中爬得更高,直到负责全球安全和全球生产力的人做出决定。默默地无视公司规则总是一个糟糕的决定,因为拥有全球权威的人无法知道某些规则没有被遵守。
如果你的老板选择安全性比生产力更重要,或者相反,他有这个选择的权力,而你可能没有。
我怀疑Anders 是对的,而设置 Chrome 扩展禁令的人只是没有考虑 Firefox。如果他们意识到您正在使用 Firefox 来绕过禁令,他们可能也会禁止这样做(或尝试这样做)。
FWIW,是的,从安全角度来看,浏览器扩展可能存在问题,我可以看到在某些情况下禁止或严格限制它们的原因。也就是说,能够安装你自己的软件,包括不同的浏览器,同样有问题,或者更多,所以在禁止扩展的同时允许这样做似乎是不一致的。
无论如何,这里真正的问题似乎是缺乏沟通。如果延期禁令是基于现有的官方政策,则所有员工都应该了解该政策;如果没有,就应该制定并适当宣布这样的政策。
综上所述,作为 Chrome / Firefox 扩展程序 ( SOUP ) 的作者,让我注意到Chrome Web Store 和 Firefox 附加组件之间的安全审查过程存在或至少曾经存在真正的差异。基本上,不同之处在于 Firefox 附加组件曾经有一个强制性的手动安全审查流程,所有扩展都必须通过才能获得批准,而 Chrome 网上应用店只会在未通过自动启发式检查的情况下将扩展标记为手动审查。
基本上,我将扩展程序提交到 Firefox 附加组件和 Chrome 网上应用店的个人经历或多或少如下:
Firefox 附加组件:我注册了一个开发者帐户并提交了扩展。两周后,我收到一封电子邮件,说我的扩展(诚然,当时已经变得相当大)已经过全面审查和批准。审阅者清楚地仔细检查了代码,因为他们发现了一个重要的 HTML 清理错误(在不到 2,000 行相当密集的 JavaScript 中),如果正如他们在审查中所指出的那样,这可能会导致 XSS 漏洞,输入并非来自受信任的来源。扩展的后续更新通常最多在几天内获得批准。
Chrome 网上应用店:为了能够提交扩展程序,我必须支付 5 美元的注册费。这实际上花了我一段时间,因为我的银行显然将这笔费用标记为可能存在欺诈并拒绝让它通过。最终我设法通过打电话给我的银行并让他们手动允许收费来解决这个问题。完成注册过程后,我提交了扩展,它几乎立即发布(IIRC),显然已经通过了自动检查。
当然,在不确切知道 Google 的自动检查正在检查什么的情况下,我无法确定它们在捕捉错误和恶意软件方面的能力如何。但我确实知道,他们未能在我自己的扩展程序中发现 Mozilla 的审阅者发现的几乎 XSS 错误。
更一般地说,我的印象是谷歌更专注于试图让扩展作者可追踪和负责(通过注册费,这至少意味着他们知道我的信用卡详细信息;尽管我确信恶意行为者可以找到解决方法) 以及检测蓄意的恶意软件。他们似乎也不总是能抓住它。 另一方面,以前的 Firefox 附加组件审查过程不仅阻止了恶意软件,而且实际上还试图发现潜在的安全漏洞,即使是在善意的扩展中也是如此。通过手动检查现有扩展程序的更新,Firefox 附加组件系统还将阻止开发人员帐户劫持攻击,例如最近破坏了几个合法 Chrome 扩展程序的攻击。
不幸的是,正如 Makyen 在下面的评论中指出的那样,这种差异已不复存在:几个月前,Firefox 附加组件已转向半自动扩展审查流程,就像 Chrome Web Store 正在使用的那样。
在链接的博客文章中,更改的动机是“新的 WebExtensions API [不太可能给用户造成安全或稳定性问题”。不幸的是,这种推理并不能真正说服我:WebExtensions——即使是像 SOUP 这样的纯内容脚本扩展——在恶意攻击者手中也会造成很大的破坏。
只是内容脚本 API 基本上可以让扩展程序免费访问您访问的每个网页以及您输入的每个密码或信用卡号。当然,当您安装扩展程序时,您会被告知它可能运行内容脚本的站点开启——但是如此多的扩展程序(包括广告拦截器、隐私扩展程序等)已经需要在每个站点上注入脚本的能力,以至于很少有用户会注意到该警告,即使他们理解它的含义。
就在上面链接的公告发布一周后,已经在 Firefox 附加组件上发现了两个带有嵌入式比特币矿工的扩展。所以看起来,当谈到扩展时,Firefox 过去相对于 Chrome 的安全优势现在只是怀旧。:(
可能有正当理由:
这意味着,如果任何具有“在所有网站上读取您的信息”权限的 Chrome 扩展程序的开发者的帐户被盗用,窃贼可以很快将恶意代码1推送到世界各地——以及从电子邮件到银行的各种帐户账户,会有风险。允许用户以较慢且难以预测的速度进行更新使得 (1) 更有可能在更新完成时发现并删除恶意代码,并且 (2) 攻击本身将是由于(1)中的警告,不太可能尝试。
现在,我不知道这是否是您公司的原因。根据我的经验,人们(甚至谷歌)似乎忘记了这种威胁和/或将这种开发人员妥协的威胁置之不理(在我看来,这是危险的错误)。然而,这是一个合理的担忧,我相信危险的恶意软件通过强制自动更新在全球传播只是时间问题。
1不要太天真地考虑这个问题。如果您正在考虑“但它们运行自动化测试”或“但它们错开更新”或[其他],请意识到恶意代码不需要立即显示恶意活动的迹象,尤其是网络活动。它可以在推出更新时简单地处于休眠状态,然后设置为稍后激活,并且在同时全球激活之后,它可以在被捕获和禁用之前将大量用户和网站的凭据发送回其母舰。
也许在您的公司中,有些用户因为 Google Chrome 扩展程序而遇到恶意软件或数据被盗问题。
发生在我身上,所以我不会打折。
我不知道 Firefox 扩展,但我在 Chrome 扩展中发现了恶意软件,它正在操纵我的浏览器输出。我自己调查并报告给谷歌,但什么也没发生。从表面上看,它是一个非常有用的插件,它允许我在同一域的每个选项卡中进行单独的会话。
因此,根据我的个人经验,谷歌在监控/审核应用程序/扩展程序方面表现不佳。您在 Chrome 中拥有的每个插件都有许多危险的功能。