我即将切换到Chromium,并安装了两个扩展程序。每次安装扩展程序时,都会通知我该扩展程序可以访问哪些数据,例如:
我确实知道访问该数据对于扩展程序的正常运行是必不可少的,但是我有点担心这样的扩展程序可能有一天决定更新并窃取(“电话回家”)我的所有浏览数据。
可怕消息的另一个示例(在启用隐身窗口扩展名时):
警告:Chromium无法阻止扩展程序记录您的浏览历史记录。要在隐身模式下禁用此扩展名,请取消选择此选项。
使用流行的Chrome扩展程序时,这可能构成威胁吗?对于添加到浏览器中的每个新功能,必须信任另一方有点令人恐惧。
Answers:
您忘记了以下内容:
扩展越流行,没人注意到附件会执行有害操作的机会就越小。
相比之下,如果您安装一些以前没有其他人使用过的扩展程序,则可能比安装AdBlock承担更多的风险。考虑到有这么多人在使用它,几乎可以肯定地说:有人会注意到流量异常。
实际上,所有扩展都公开其源代码,因此任何人基本上都可以继续寻找自己可疑的东西。
警告就在那儿,因此,如果您安装了一些会损坏数据的内容,则不能责怪浏览器供应商造成任何损害。在安装前,请务必阅读对您来说可疑的附件的评论。
另请注意,例如Google可以检查提交的内容:
尽管Google没有义务监视产品或其内容,但Google可以随时检查或测试您的产品及其源代码,以确保其符合本协议,《 Google Chrome Web Store计划政策》以及任何其他适用的条款,义务和法律或法规,并可能使用自动方式进行此类审核
当然,删除扩展会给开发人员带来麻烦。
:-(
尝试进行这项艰巨的风险评估。流行带来两件事:
让我们假设对于这些示例,我们正在谈论一个开源项目,其代码托管在诸如github之类的东西中。
如果某人有一名开发人员,那就是一个签入代码的人。如果有人(不是开发人员)想要向其中添加代码,则他们要么愚弄开发人员添加恶意补丁(这确实发生了),要么以该开发人员的身份验证为目标,以便他们可以自己添加代码(也发生)。这两种情况发生的机会取决于开发人员的能力及其安全性。
如果有10个开发人员,则攻击向量的数量是10倍。但是,发现该代码的人数也增加了10倍。
我敢肯定,在一个项目中,它有足够的动力使人们对其代码进行定期的安全审核。但在此之前的任何时间,它都是摇摆和回旋处。
tl; dr很难实际解决。人为因素太多。如果有关系,除非您可以亲自验证代码,否则请不要信任它。