Chrome/Firefox 如何确保插件安全?他们有针对恶意插件的保护措施吗?
附加组件可以拥有多少访问权限?他们可以访问互联网历史记录甚至 cookie 等并将它们发送到服务器吗?我需要担心这个吗?
我确实有卡巴斯基和卡巴斯基附加组件,但我仍然想知道我是否还应该担心附加组件?考虑到我无法确保某些附加组件是恶意的或不是恶意的,即使它们仍然具有良好的声誉。
编辑:额外的问题,如果一个插件说它可以读取您访问的网站上的数据,这是否意味着它可以知道我访问了哪些网站并且在技术上可以将它们发送到服务器并基本上以这种方式记录我的历史?(考虑到许多广告拦截器和此类插件都有此权限)
现代浏览器扩展使用WebExtensions API,它强制执行权限模型;基本上,插件只能拥有您授予它们的访问权限(但您不能拒绝个别权限;如果您对某些权限感到不舒服,则无法安装插件)。
关于您的具体问题:
history被许可,cookies权限仅与host permission将定义可以访问哪些 cookie 的 a 一起使用。所有敏感操作(例如将 JavaScript 注入页面、读取页面内容等)都需要主机权限。恶意扩展当然可以在孤立的上下文中执行任意 JavaScript,所以像恶意加密矿工这样的东西当然是可行的。
对于不需要显式权限的访问,请参阅我的相关问题:没有任何权限的浏览器扩展的危险?.
chrome/firefox 如何确保插件安全?
他们在发布前对其进行检查,并禁止那些被发现滥用其权利的人。但这项禁令可能需要几天到几周的时间。
插件可以有多少访问权限?
插件可以做任何你能做的事情,甚至更多。他们可以访问任何服务器,读取任何 cookie,更改任何数据,甚至通过 HTTPS 加密,并在任何地方发送任何数据。他们必须在您安装时征求您的许可,但是一旦您授予许可,例如读取所有网站上的数据,插件就可以读取您访问的所有网站上的数据。
我还应该担心插件吗?
是的你应该。如果您使用了一个被废弃的插件并且所有者将它卖给了其他人,那么新所有者很可能会做一些令人讨厌的事情。
你做什么?不要安装扩展,除非它们来自信誉良好的来源,不需要大量的权限,并且确实需要。安装所有你认为很酷的东西最终会危及你的安全。