인기있는 Chrome 확장 프로그램이 얼마나 위험할까요?

Chromium으로 전환하려고하는데 몇 가지 확장 프로그램을 설치했습니다. 확장 프로그램을 설치할 때마다 확장 프로그램이 액세스 할 수있는 데이터에 대한 알림을 받았습니다. 예 :

확장 프로그램이 작동하려면 해당 데이터에 대한 액세스가 필요하다는 것을 알고 있지만 언젠가는 확장 프로그램이 언젠가 내 모든 인터넷 사용 데이터를 업데이트하고 도용 ( "전화 홈")하기로 결정할지 걱정됩니다.

무서운 메시지의 또 다른 예 (시크릿 창에서 확장 프로그램을 사용하는 경우) :

경고 : Chromium에서는 확장 프로그램이 인터넷 사용 기록을 기록하지 못하게 할 수 없습니다. 시크릿 모드에서이 확장 프로그램을 사용 중지하려면이 옵션을 선택 취소하십시오.

인기있는 Chrome 확장 프로그램을 사용할 때 이것이 가능한 위협입니까? 브라우저에 추가하는 각각의 새로운 기능에 대해 다른 당사자를 신뢰해야하는 것은 약간 무섭습니다.

다음을 잊고 있습니다.

확장 기능이 널리 보급 될수록 애드온이 해로운 일을한다는 사실을 아무도 모르게됩니다.

이와 달리 이전에 다른 사람이 사용하지 않은 확장 프로그램을 설치하면 AdBlock을 설치하는 것 이상의 위험이 있습니다. 너무 많은 사람들이 그것을 사용하고 있다고 생각하면 거의 안전합니다. 누군가 비정상적인 트래픽을 발견했을 것입니다.

실제로 모든 확장 프로그램은 소스 코드를 공개하므로 기본적으로 누구나 기본적으로 의심스러운 것을 찾을 수 있습니다.

경고는 바로 거기에 있으므로 데이터에 악의적 인 것을 설치하는 경우 브라우저 공급 업체가 피해를 입은 것에 대해 책임을지지 않습니다. 설치하기 전에 항상 의심스러워 보이는 추가 기능에 대한 리뷰를 읽으십시오.

예를 들어 Google은 제출물을 확인할 수 있습니다.

Google은 제품 또는 콘텐츠를 모니터링 할 의무가 없지만, 언제든지 본 계약, Chrome 웹 스토어 프로그램 정책 및 기타 적용 가능한 약관, 의무, 법률을 준수하기 위해 귀하의 제품 및 소스 코드를 검토하거나 테스트 할 수 있습니다 또는 규정에 따라 자동화 된 수단을 사용하여 그러한 검토를 수행 할 수 있습니다.

확장을 제거하면 개발자에게 약간의 문제가 발생할 수 있습니다.

시도하는 것은 어려운 위험 평가입니다. 인기는 두 가지를 가져옵니다.

• 더 많은 사람들이 그것을 개선하려고합니다 (잘못된 코드를 발견)
• 더 큰 사용자층을 공격하기 위해 더 많은 사람들이 해킹하려고 시도하고 잘못된 코드를 도입하려고합니다.

이 예제에서는 github와 같은 코드로 호스팅되는 오픈 소스 프로젝트에 대해 이야기하고 있다고 가정 해 봅시다.

무언가 개발자가 한 명이라면 코드를 확인하는 사람은 한 사람뿐입니다. 개발자가 아닌 누군가가 코드를 추가하려는 경우 개발자가 악성 패치를 추가하도록 속이거나 (발생하는 경우) 해당 개발자의 인증을 대상으로하여 코드를 직접 추가 할 수도 있습니다 (일어남). 이러한 상황이 발생할 가능성은 개발자의 능력과 보안에 달려 있습니다.

개발자가 10 명인 경우 공격 수의 10 배가됩니다. 그러나 코드를 발견 할 수도있는 10 배 많은 사람들이 있습니다.

프로젝트에서 사람들이 코드에 대해 정기적으로 보안 감사를 수행 할 수있는 충분한 추진력을 얻는 것이 중요하다고 확신합니다. 그러나 그 전에는 언제든지 그네와 원형 교차로입니다.

tl; dr 현실적으로 해결하기가 너무 어렵다. 인간 요소가 너무 많습니다. 중요한 경우 코드를 직접 확인할 수 없다면 믿지 마십시오.