Sprawdź rozszerzenia Google Chrome przed ich zainstalowaniem

• Kategoria: Google Chrome

Wypróbuj Nasz Instrument Do Eliminowania Problemów

Wybierz System Operacyjny Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Wybierz Program Projekcji (Opcjonalnie) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Opisz Swój Problem

Dostać Odpowiedź

Wyślij Mi E -Mail Pokaż Na Stronie

Rozszerzenia Google Chrome mogą rozszerzyć funkcjonalność przeglądarki internetowej lub ułatwić życie podczas przeglądania sieci. Chociaż tak jest, mogą być również wykorzystywane przez firmy do śledzenia użytkowników w Internecie, wyświetlania reklam lub pobierania złośliwego kodu do systemu użytkownika.

W tym artykule opisano sposoby weryfikowania rozszerzeń Chrome przed ich zainstalowaniem. Należy to zrobić przed zainstalowaniem rozszerzenia w przeglądarce, ponieważ po instalacji może być już za późno.

Chociaż możesz skonfigurować środowisko testowe dla rozszerzeń przeglądarki, na przykład w piaskownicy i z monitorem ruchu sieciowego, takim jak Wireshark, może nie być to coś, z czym większość użytkowników czuje się komfortowo.

Część 0: Czego nie powinieneś ufać

Chrome Web Store może wydawać się bezpieczną lokalizacją dla wszystkich Twoich potrzeb związanych z rozszerzeniami, ale tak nie jest. Google używa automatycznych kontroli, które skanują rozszerzenia przesyłane przez programistów do sklepu. Kontrole te wychwytują niektóre, ale nie wszystkie formy inwazyjnych lub wręcz złośliwych funkcji.

Odkryto firmę Trend Micro na przykład złośliwe rozszerzenia przeglądarki w oficjalnym sklepie internetowym w 2014 roku i nie jest to jedyna firma, która to zrobiła.

Typową metodą używaną przez rozszerzenia do przechodzenia wszystkich kontroli bezpieczeństwa jest dołączenie skryptu, który załaduje złośliwy ładunek.

Samo rozszerzenie nie zawiera go po przesłaniu do sklepu internetowego Chrome. W ten sposób rozszerzenie przechodzi kontrolę i jest dodawane do sklepu, z którego mogą je pobrać wszyscy użytkownicy Chrome.

Jeśli interesuje Cię jeden nieprzyjemny niedawny przykład, sprawdź złośliwe oprogramowanie w przeglądarce artykuł autorstwa Maxime Kjear.

Opis jest tworzony przez twórcę rozszerzenia i dlatego nie należy mu ufać bez weryfikacji.

Komentarze użytkowników mogą wskazywać na problematyczne rozszerzenia, ale nie zawsze tak jest. Dlatego też nie należy im ufać w tym zakresie bez weryfikacji.

Wreszcie, nie powinieneś ślepo ufać rekomendacjom ani oferować instalacji rozszerzenia, ponieważ jest ono potrzebne lub reklamowane.

Część 1: Opis

Wiele rozszerzeń, które wykorzystują analitykę, śledzenie kliknięć, śledzenie historii przeglądania i inne formularze śledzenia, podkreśla ten fakt w opisie rozszerzenia.

Możesz nie zobaczyć tego pierwszego spojrzenia, ponieważ Google przedkłada styl nad treścią w sklepie. Pole opisu jest małe i często trzeba je przewijać, aby je przeczytać.

Sprawdź popularne Niesamowity zrzut ekranu na przykład rozszerzenie. Wygląda na uzasadnione, prawda? Mnóstwo pozytywnych recenzji, ponad 580 000 użytkowników.

Jeśli poświęcisz trochę czasu i przewiniesz opis, w końcu natkniesz się na następujący fragment:

Korzystanie z rozszerzenia przeglądarki Awesome Screenshot wymaga przyznania mu uprawnień do przechwytywania anonimowych danych strumienia kliknięć.

Chcesz inny przykład? A co z Hover Zoom, rozszerzeniem z ponad 1,2 miliona użytkowników, które w przeszłości było krytykowane za śledzenie integracji? Przewiń w dół i znajdziesz…

Hover Zoom wymaga, aby użytkownicy rozszerzenia udzielili Hover Zoom pozwolenia na gromadzenie informacji o aktywności przeglądania w celu wykorzystania ich wewnętrznie i udostępnienia stronom trzecim do użytku anonimowego i zagregowanego do celów badawczych

Flash Player + to kolejne rozszerzenie, które podkreśla w swoim opisie, że rejestruje dane i udostępnia je stronom trzecim.

Aby stale wspierać i ulepszać to oprogramowanie, użytkownicy, którzy je instalują, zezwalają Fairshare na zbieranie i udostępnianie informacji o sobie i ich aktywności w sieci stronom trzecim w celach biznesowych i badawczych.

Szybkim sposobem znalezienia tych rozszerzeń jest wyszukanie fraz użytych w tych opisach. Na przykład wyszukiwanie opcji rezygnacji ujawnia wiele z nich w wynikach wyszukiwania (obok legalnych rozszerzeń). Wiele z nich używa tego samego opisu, co oznacza, że ​​wyszukiwanie „w celu zebrania i udostępniania informacji o nich” ujawni na przykład rozszerzenia korzystające z tego rodzaju śledzenia.

Część 2: Informacje bezpośrednie

Poniższe informacje są wyświetlane na stronie profilu rozszerzeń w Chrome Web Store:

Firma lub osoba, która go stworzyła / oferuje.
Ocena zbiorcza i liczba użytkowników, którzy ją ocenili.
Całkowita liczba użytkowników.
Ostatnia aktualizacja data.
Wersja.
Informacje dają wskazówki, ale nie są one wystarczające do oceny przedłużenia. Wiele z nich można na przykład podrobić lub sztucznie nadmuchać.

Google nie udostępnia linku do wszystkich rozszerzeń firmy lub osoby fizycznej i nie ma możliwości uzyskania weryfikacji.

Chociaż możesz użyć wyszukiwania, aby znaleźć inne rozszerzenia przez firmę lub osobę fizyczną, nie ma gwarancji, że wyniki zawierają je wszystkie.

Część 3: Uprawnienia

Zwykle nie jest możliwe ustalenie, czy rozszerzenie jest legalne, śledzące Cię lub wręcz złośliwe na podstawie samych uprawnień, o które prosi.

Są jednak na to wskazówki. Na przykład, jeśli rozszerzenie, które ulepsza żądania Facebooka, aby `` odczytać i zmienić wszystkie dane w odwiedzanych witrynach internetowych '', możesz dojść do wniosku, że lepiej nie instalować rozszerzenia na tej podstawie. Ponieważ powinien działać tylko na Facebooku, nie ma potrzeby nadawania mu daleko idących uprawnień do przeglądania i manipulowania danymi we wszystkich witrynach.

Jest to jednak tylko wskazówka, ale jeśli będziesz kierować się zdrowym rozsądkiem, możesz uniknąć instalowania problematycznych rozszerzeń. Zwykle dostępna jest alternatywa, która oferuje podobną funkcjonalność, ale bez szeroko zakrojonych wniosków o pozwolenie.

Możesz również sprawdzić te uprawnienia dla wszystkich zainstalowanych rozszerzeń. Załaduj chrome: // extensions / i kliknij link szczegółów pod każdym rozszerzeniem. Spowoduje to ponowne wyświetlenie wszystkich wniosków o pozwolenie tego rozszerzenia jako wyskakującego okienka w przeglądarce.

Część 4: Polityka prywatności

Pod warunkiem, że rozszerzenie prowadzi do strony Polityki prywatności, możesz znaleźć w nim informacje, które ujawnią, czy użytkownicy są przez nie śledzeni. To nie zadziała nieświadomie w przypadku złośliwych rozszerzeń.

Na przykład, jeśli sprawdzisz Politykę prywatności Fairshare, do której prowadzą linki z rozszerzeń, takich jak Hover Zoom, znajdziesz w niej następujący fragment:

Firma może korzystać z plików cookie przeglądarki, danych przechowywanych w Internecie i DOM, plików cookie Adobe Flash, pikseli, sygnałów nawigacyjnych i innych technologii śledzenia i gromadzenia danych, które mogą obejmować anonimowy unikalny identyfikator.

Technologie te mogą być wykorzystywane do gromadzenia i przechowywania informacji o korzystaniu z Usług, w tym między innymi o stronach internetowych, funkcjach i treściach, do których uzyskano dostęp, zapytaniach wyszukiwania, informacji o adresie URL odsyłających, klikniętych linkach i reklamach, które widziałem.

Dane te są wykorzystywane do celów biznesowych, takich jak dostarczanie bardziej odpowiednich reklam i treści oraz badania rynku

Część 5: Kod źródłowy

Przeglądanie kodu źródłowego może być najlepszą opcją, którą musisz sprawdzić, czy rozszerzenie Cię śledzi, czy jest złośliwe.

Może to nie być tak techniczne, jak się wydaje, i często można to stwierdzić za pomocą podstawowych umiejętności HTML i JavaScript.

Pierwszą rzeczą, której potrzebujesz, jest rozszerzenie, które umożliwia pobranie kodu źródłowego rozszerzenia bez jego instalowania. Przeglądarka źródeł rozszerzenia Chrome to rozszerzenie open source dla Chrome, które Ci w tym pomaga.

Alternatywą jest uruchomienie Chrome w środowisku piaskownicy, zainstalowanie w nim rozszerzeń, aby uzyskać dostęp do swoich plików.

Jeśli korzystasz z przeglądarki źródeł rozszerzeń, możesz kliknąć ikonę crx na pasku adresu w Chrome Web Store, aby pobrać rozszerzenie jako plik zip lub od razu wyświetlić jego źródło w przeglądarce.

Możesz od razu zignorować wszystkie pliki .css i pliki graficzne. Pliki, którym należy się bliżej przyjrzeć, mają zwykle rozszerzenie .js lub .json.

Możesz najpierw sprawdzić plik manifest.json i sprawdzić wartość content_security_policy, aby zobaczyć listę domen, ale to zwykle nie wystarcza.

Niektóre rozszerzenia używają oczywistych nazw do śledzenia plików, na przykład reklam, więc możesz zacząć od tego.

Możesz nie być w stanie stwierdzić, czy nie znasz JavaScript, ale jeśli tak nie jest.

Teraz ty : Czy korzystasz z rozszerzeń Chrome? Czy zweryfikowałeś je przed instalacją?