与其他浏览器一样,Chrome扩展程序似乎经常可以相当广泛地访问您的浏览器数据。实际上,我安装的大多数扩展程序都需要访问:


您在所有网站上的数据
您的标签和浏览活动

我想知道这到底意味着什么。

假设有人写了一个邪恶的扩展名,称其为“ I-KNOW-EVERYTHING-YOU-DO和RSS阅读器”(他是邪恶的,但也是诚实的)。我真的很喜欢RSS阅读器,因此我安装了它。我看到有关扩展名需要访问我的所有数据的警告,但是其他所有扩展名也是如此,因此我很乐意授予此访问权。

考虑到更坏的情况,此扩展程序可以做什么?可以:


发送我访问制造商的所有网站的列表吗?
我输入表格中的捕获数据? (例如我的个人数据,密码等)
查看我在网站上呆了多长时间以及访问过哪些页面?
访问cookie?
访问计算机上的其他文件? (鉴于沙盒环境,我想不是,但我仍然想知道)
还有什么更糟的吗?


评论

我猜他可以用恶意软件exe替换您下载的下一个.exe,然后拥有您的计算机。

我认为是个人信息(网络钓鱼)...

#1 楼




发送我访问制造商的所有网站的列表吗?


是的



捕获我输入到表单中的数据? (例如我的个人数据,密码等)


是的



看看我在网站上呆了多长时间,我访问过哪些页面?


是的



是否访问cookie?


已更新,请参见以下注释来自Bryan Field的代码。


Bryan Field:很好的答案,除了数字4。可以肯定地访问没有httponly标志的cookie,除此之外,我不知道。我要补充一点,即使您在扩展程序打开期间未打开Gmail,该扩展程序也可能会手动调用(例如,您的Gmail页面并获取所有电子邮件)。您只需要登录就可以调用这些页面。因此,即使无法直接查看httponly cookie(第4个)也没关系,因为cookie仍可以间接有效地使用。




访问我计算机上的其他文件吗? (鉴于沙盒环境,我想不是,但我仍然想知道)


否–就像您说的那样,沙盒可以防止这种情况。



还有更糟的事情吗?


读取(发送)您访问的所有页面上的数据。


更多详细信息为什么经常需要,但在这个问题中讨论的并不总是如此?为什么Chrome扩展程序需要访问“我的所有数据”和“浏览活动”?

评论


很好的答案,除了数字4。可以肯定地访问没有httponly标志的cookie,除此之外,我不知道。我要补充一点,即使您在扩展程序打开期间未打开Gmail,该扩展程序也可能会手动调用(例如,您的Gmail页面并获取所有电子邮件)。您只需要登录就可以调用这些页面。因此,即使不能仅直接查看httponly cookie(第4号),也没有关系,因为cookie仍可以间接有效地使用。

–布莱恩·菲尔德(Bryan Field)
2012年5月22日20:03



@GeorgeBailey-我不确定他们如何有效地使用带有现代内容安全策略(防止内联脚本;加载外部非https脚本)/同源策略的纯HTTP cookie。两者之间的差别不大,因为只要您实际登录某个地方,他们仍然可以捕获您的实际用户名/密码。

– jimbob博士
2012年5月22日21:42

哇,哇,这真是太糟糕了!令人难以置信的是,浏览器扩展是以这种方式设置的。我们真的应该对此表示强烈的抱怨,现在,我将删除我拥有的所有扩展。感谢你的回答!

–请删除我
2012年5月24日12:22

那么,这是否意味着对您在所有网站上的数据的扩展允许访问我在银行网站上输入的银行密码?

–用户
15年4月18日在1:07

@User是-像对待您安装的程序一样对待它-如果我们禁用扩展名,扩展名将无法执行许多有用的操作。拥有权限的全部目的是能够确定该应用程序需要多少访问权限,因此用户可以知道该权限,并可以决定是否信任作者。

– Sebi
16年9月9日,11:10

#2 楼

Google在以下博客文章中简要说明了扩展程序的安全模型:

http://blog.chromium.org/2009/12/security-in-depth-extension-system.html

仅通过受信任的来源安装扩展程序。