通过网站安装GNOME扩展：安全漏洞？

我通过Google搜索（使用Chromium）找到了GNOME扩展程序，并且感到非常惊讶，我可以简单地切换“开/关”开关，让网站在我的计算机上安装完整的GNOME扩展程序，而无需执行任何其他手动步骤。（经过测试，它也可以在Firefox上使用。）当然，它确实会弹出一个对话框，要求我确认安装，但是...

1. 尽管这对于易用性和可用性非常有用，但是它不存在安全漏洞吗？我想知道此功能的确切工作方式，以及是否应担心任何“后门”可能会让黑客很容易地在我的计算机上安装可执行文件，我对此很感兴趣。

2. GNOME站点上的扩展是否经过审核？有没有办法判断扩展名是否安全？

3. GNOME是否修改了Chromium和Firefox浏览器以允许此功能？用户是否应该了解其他自定义GNOME Chromium / Firefox更改？

更新：了解了它的工作原理后，我现在认为这确实是一个很棒的功能，特别是对非技术用户而言，但是当我第一次遇到它时，确实让我有些震惊。

是的，没有。

首先，您单击安装扩展的链接被编码，特别是（我认为）gnome 3.2作为注入方法。因此从某种意义上讲，它是一个“受信任”的网站。

其次，gnome扩展是用户脚本，仅为您的用户存储。他们无权访问用户无权访问的任何信息。因此，例如，没有shell扩展可以将文件写入/。

第三，没有修改浏览器，但是修改了gnome shell。

基本上，安装方法并不安全，然后为您提供tar.gz文件并告诉您将其手动提取到主目录中。您需要根据具体情况做出决定，而不管单个扩展名是否安全。但是，gnome.org和扩展子域都是合法站点。