it-swarm.dev

Nel peggiore dei casi, cosa può fare un Chrome con "I tuoi dati su tutti i siti Web" e "Le tue schede e attività di navigazione"?

Le estensioni di Chrome, e proprio come altri browser, sembrano avere spesso un accesso abbastanza ampio ai dati del browser. In effetti, la maggior parte delle estensioni che ho installato richiedono l'accesso a:

  • I tuoi dati su tutti i siti Web
  • Le tue schede e attività di navigazione

E questo mi ha fatto chiedermi cosa implichi esattamente.

Diciamo che qualcuno scrive un'estensione malvagia, la chiama "I-KNOW-EVERYTHING-YOU-DO, e un lettore RSS" (è cattivo, ma anche onesto). Mi piace molto avere un lettore RSS, quindi lo installo. Vedo questo grande avvertimento sull'estensione che richiede l'accesso a tutti i miei dati, ma poi di nuovo, così fa ogni altra estensione, quindi concedo volentieri questo accesso.

Pensando allo scenario peggiore, cosa può fare questa estensione? Può:

  1. Invia un elenco di tutti i siti Web che visito al produttore?
  2. Cattura i dati che inserisco nei moduli? (come i miei dati personali, password, ecc.)
  3. Vedi da quanto tempo sono su un sito Web e quali pagine ho visitato?
  4. Accedere ai cookie?
  5. Accedere ad altri file sul mio computer? (Suppongo di no, dato l'ambiente Sandbox , ma mi sto ancora chiedendo)
  6. Fare qualcosa di peggio?
75
please delete me
  1. Invia un elenco di tutti i siti Web che visito al produttore?

  2. Cattura i dati che inserisco nei moduli? (come i miei dati personali, password, ecc.)

  3. Vedi da quanto tempo sono su un sito Web e quali pagine ho visitato?

  4. Accedere ai cookie?

    Aggiornato, vedere il seguente commento da Bryan Field per questo.

    Bryan Field : ottima risposta, tranne per il numero 4. È possibile accedere con certezza ai cookie senza la bandiera httponly, oltre a quelli che non non lo so. Aggiungo che è probabile che l'estensione possa chiamare manualmente, ad esempio la tua pagina Gmail e ottenere tutte le tue e-mail, anche se Gmail non è aperto durante l'apertura dell'estensione. Devi solo aver effettuato l'accesso e può chiamare quelle pagine. Quindi anche se i cookie httponly non possono essere visualizzati direttamente (numero 4), non importa, perché i cookie possono comunque essere utilizzati indirettamente ed efficacemente

  5. Accedere ad altri file sul mio computer? (Immagino di no, dato l'ambiente Sandbox, ma mi chiedo ancora)

    No - come dici tu, la sandbox lo impedirà.

  6. Fare qualcosa di peggio?

    Leggi (e invia) i dati su tutte le pagine che visiti.

Qualche dettaglio in più sul perché questo è spesso necessario, ma non sempre è discusso in questa domanda Perché fare Chrome hanno bisogno di accedere a "tutti i miei dati" e "attività di navigazione"?

46
Jontas

Google spiega brevemente il modello di sicurezza per le estensioni nel seguente post di blog:

http://blog.chromium.org/2009/12/security-in-depth-extension-system.html

Installa le estensioni solo da fonti attendibili.

8
Serdar