我是Workflowy(在线大纲/笔记工具)的狂热用户,我安装了 Chrome 扩展程序“ Workflowy for Coders ”,它可以格式化笔记中的文本。
我发现我的一个笔记触发了 Javascript XSS(因为它是 XSS ( <script>document.location="http://google.com";</script>) 的样本)。当我禁用扩展时,漏洞停止了。
我向 Workflowy 和扩展创建者都发送了注释,但我很好奇,谁在技术上负责?Workflowy、扩展创建者还是 Chrome?我想不出这个问题的明确答案。
如果没有明确的答案,可能会对 Web 开发人员产生更广泛的影响。
几乎可以肯定是 Workflowy 扩展的问题。扩展开发人员有责任确保他们的扩展是安全的,并避免在他们的扩展中引入 XSS 漏洞等错误。
XSS 漏洞在浏览器扩展中很常见。扩展开发者很容易搞砸并引入 XSS 漏洞,并且扩展开发者通常并不主要关注安全性,并且可能不太了解安全问题,因此浏览器扩展中的安全漏洞很常见。
实际上,Chrome 处于开发针对此类漏洞的缓解措施的最前沿。虽然责任最终由扩展开发者承担,但 Chrome最近引入了强大的缓解措施,降低了新扩展中 XSS 漏洞的可能性。这些缓解措施依赖于限制扩展,使用内容安全策略,以帮助防止 XSS 漏洞的方式。
出于向后兼容性的原因,新限制仅适用于新扩展。这些新的防御措施需要一些时间才能完全分阶段实施。也就是说,这是一个伟大的发展。这将真正有助于保护用户。我希望其他浏览器也能效仿。
有关此主题的更多信息,这是最近关于此主题的研究论文:
论文中的一些样本发现:
对 100 个随机选择的 Chrome 扩展的分析发现,40% 的 Chrome 扩展至少存在一个安全漏洞。
同样的分析还发现,Chrome 的新防御措施应该可以消除 94% 的最严重漏洞。
另请参阅总结论文发现的博客文章和另一篇后续文章。